Недоступны хосты за l2tp соединением

[organ2]

Всем привет.
Исходные данные:
1)Роутер TP-ling MR3020 (прошивка Openwrt 19.07.0-rc2 с vpn (pptp, l2tp, openvpn, wireguard, взята с 4PDA). + подключен 3g модем.
2) ip камера. Подключена к роутеру.
192.168.1.0/24 - сеть
192.168.1.1/24 - адрес роутера
12.12.12.201/24 - адрес роутер, при подключении с помощью l2tp к kerio
192.168.1.115/24 - адрес камеры

3) Удаленный офис с Kerio Control 9.2.6. с включенным ipsec vpn.
10.0.0.0/16 - локальная сеть
10.0.0.1/16 - локальный адрес Kerio
12.12.12.0/24 - сеть vpn
12.12.12.1/24 - адрес kerio vpn

Роутер без проблем подключается через интернет к сети офиса с kerio. Из сети роутера (192.168.1.0/24) я могу подлючаться к ресурсам сети 10.0.0.0/16. Всё пингуется - всё круто.
Но из сети 10.0.0.0/16 ресурсы из 192.168.1.0/24 не пингуются. Да и сам kerio не может достучаться, например, до 192.168.1.115
Неверно прописан маршрут? В Поле "интерфейс" у меня доступно только Local и Ethernet.
Или при таком подключении так и должно быть, что клиенты со стороны Kerio не должны видеть клиентов за роутером? Если так, то как я могу организовать доступ к ресурсам за роутером?

[naliman]

должен быть доступ и туда и обратно и за роутером и за керио

Цитата

Сообщение от organ2

12.12.12.201/24

так внатуре или это для того что бы было немного непонятнее?

на Openwrt маршруты прописаны? трафик разрешен?

Добавлено через 5 минут

впн-интерфейс на openwrt - в какой зоне фоервола находится?

[organ2]

Цитата:

Сообщение от naliman

Цитата
Сообщение от organ2
12.12.12.201/24
так внатуре или это для того что бы было немного непонятнее?

Клиент подключается к серверу VPN, получаешь ip из сети VPN. Что тут не так?

Цитата:

Сообщение от naliman

на Openwrt маршруты прописаны? трафик разрешен?
впн-интерфейс на openwrt - в какой зоне фоервола находится?

Отказался я от openwrt, временно. Тяжело сразу разобраться в нем. Намудрил с фаерволом и маршрутами - перестало всё работать.

Нашел роутер D-link dir825. Сеть стала 192.168.0.0. Создал l2tp подключение. Прописал статические маршруты на роутере, чтобы трафик ходил на компы в локальной сети Kerio.
Но со стороны Kerio ресурсы всё равно не пингуются.

Трасировка прикрепил во вложении: с добавлением статического маршрута на 12.12.12.201 и без.

Цитата:

Сообщение от naliman

на Openwrt маршруты прописаны? трафик разрешен?

Если бы был затык в роутере, то при трасировке было бы что-то подобное:
Трассировка маршрута к 192.168.0.1 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.0.0.1
2 <1 мс <1 мс <1 мс 12.12.12.1
3 * * 12.12.12.1 сообщает: Заданный узел недоступен.
Или я ошибаюсь?

Но у меня только один прыжок и дальше не идет. Склоняюсь, что проблема в Kerio
1 <1 мс <1 мс * 10.0.0.1
2 10.0.0.1 сообщает: Заданный узел недоступен.

Также пробовал добавить вот такой маршрут на клиенте: route add 192.168.0.0 mask 255.255.255.0 12.12.12.201 metric 1
Хотя, думаю, это лишнее и неправильно.

[naliman]

Цитата

Сообщение от organ2

Что тут не так?

адресация
12.12.12.х



сам придумал использовать для своего впн реальные адреса или подсказал кто?

давай так сделаем: ты сначала адресацию своего впн поменяешь на правильную,
а потом будем дальше разбираться

[organ2]

Цитата:

Сообщение от naliman

давай так сделаем: ты сначала адресацию своего впн поменяешь на правильную,
а потом будем дальше разбираться
Изображения

Сделал. Теперь vpn сеть - 172.16.0.0/24.

Хосты за роутером всё равно не пингуются. Вот если бы в моем статическом маршруте "to_router" в Kerio в "интерфейсе" можно было выбрать VPN-сервер, мне кажется пинги пошли бы.

[naliman]

Цитата

Сообщение от organ2

Сделал. Теперь vpn сеть - 172.16.0.0/24.

молодец

Цитата

Сообщение от organ2

Хосты за роутером всё равно не пингуются

а из-за роутера керио и хосты за керио пингуются
так?

[naliman]

Цитата

Сообщение от organ2

Вот если бы в моем статическом маршруте "to_router" в Kerio в "интерфейсе" можно было выбрать VPN-сервер, мне кажется пинги пошли бы.

а он там не выбирается?

Добавлено через 3 минуты

Цитата

Сообщение от organ2

Из сети роутера (192.168.1.0/24) я могу подлючаться к ресурсам сети 10.0.0.0/16. Всё пингуется - всё круто.

если так же и осталось, то:
если бы маршрут на керио не работал, то из сети роутера ты бы не достучался до хостов "за керио"

я уверен что дело в фоерволе роутера

[organ2]

Цитата:

Сообщение от naliman

я уверен что дело в фоерволе роутера

Опробовал на 4х разных роутера - одно и тоже. Фаерволы отключал.

Сделаю потом статический ip адрес на роутере и буду пробовать подымать туннель между роутером и керио.

[naliman]

Цитата

Сообщение от organ2

Опробовал на 4х разных роутера - одно и тоже. Фаерволы отключал.

их не отключать надо а настраивать
4 разных роутера и на всех разные прошивки?

покажи трассировку из каждого "конца тоннеля" (при поднятом тоннеле соответственно) до хоста на "обратном конце"