Спасибо, @unifiMynet, за быстрый ответ. Допустим, я использую для своей VPN-сети подсеть 192.9.100.249/29, тогда у меня получится получить доступ к локальной сети 192.9.200.x. Если я это сделаю, как я могу назначить VPN-пользователю (клиенту) статический IP 192.9.200.250, который мне конкретно нужен? Это возможно?

Окей... после того как увидел другой пост, я сменил VPN на _VPN: Remote User VPN (L2TP): 192.168.1.1/24 с маской 10.255.255.0. По умолчанию могу подключаться с любого устройства в сети. Спасибо!

@Homeconcepts

Из тех изображений, что ты показал, единственное отличие в наших настройках — для моего Radius-пользователя я не задавал Vlan, Tunnel Type или Tunnel Medium Type (оставил эти поля пустыми). Пару мыслей на этот счёт:

Когда ты подключаешься по VPN, можешь ли ты пинговать устройства в своей сети?  
Не находится ли локальная сеть, с которой ты подключаешься, в другом диапазоне, чем сеть, к которой ты подключаешься удалённо? Если диапазоны совпадают, будут проблемы с маршрутизацией.

По тем настройкам контроллера, что ты показал, как именно ты к нему подключаешься?  
И ещё один момент: пробовал ли ты через контроллер задать DHCP-резервацию для cloudkey? Это может решить твою проблему. Для этого в контроллере зайди в клиенты, вкладка конфигурация, раздел сеть.

Всем привет, надеюсь, у вас всё хорошо. Следующий вопрос-проблема. Масштабируем предыдущую настройку. У меня два USG в разных физических местах. В месте A настроен удалённый VPN для пользователей — схема на изображении scale 1. Он находится за статическим IP, который предоставляет провайдер. Там же расположен Cloud Key, который через этот статический IP управляет контроллером для обоих мест. В месте B настройка показана на фото scale 2. USG работает в режиме моста с динамическим IP от провайдера. Оба сетевых узла управляются Cloud Key, который находится в месте A. Был запущен Site-to-Site VPN с авто IPsec VTI через контроллер на Cloud Key, но с обеих сторон пинг не проходит. В ответ получаю «destination host unreachable». Есть идеи? Очень запутанно. Спасибо!

У меня похожий вопрос, который нельзя решить предложенным здесь способом. Мне нужно подключаться к своей сети через VPN и оказаться в той же подсети, что и устройства на LAN1. Дело в том, что я использую приложения, которые работают только с устройствами из той же подсети. Возможно ли сделать так, чтобы IP-адреса LAN1 были в диапазоне 10.0.1.1-100, а VPN — 10.0.1.101-200?

Это была трудная победа! Рад, что теперь всё отлично работает.

Рад, что VPN к сети 192.168.1.x теперь работает. Что касается доступа к сети 192.9.200.104, вам нужно как-то организовать маршрутизацию между ними. Если у вас есть устройства с адресами 192.168.1.x и 192.9.200.x, и все они подключены к одним и тем же коммутаторам, то у вас фактически две сети, лежащие одна поверх другой. Похоже, что сейчас это работает, потому что вы назначаете несколько IP-адресов прямо на самих ПК.

Проблема возникает, когда хотите применять правила маршрутизации (например, направлять VPN-трафик в сеть 192.9.200.x). Для маршрутизации следующий хоп должен находиться в том же IP-диапазоне, что и источник, либо в маршрутизаторе должны быть несколько интерфейсов, чтобы он понимал, через какой интерфейс отправлять данные дальше. Если Cisco с адресом 192.9.200.108 подключена к тем же коммутаторам (при условии, что VLAN не используются), как и 192.168.1.x, вы не сможете настроить USG так, чтобы он понимал, как достучаться до неё, потому что маршрут назначения должен быть в известной маршрутизатору сети.

Единственное решение, которое я могу предложить, — использовать LAN2 на вашем USG. Если сможете изменить конфигурацию сети, оставьте ПК с адресами 192.168.1.x на LAN1. Затем создайте новую сеть на USG для диапазона 192.9.200.x, используя LAN2, и подключите к ней все устройства с адресами из этого диапазона (в том числе ваш Cisco). Тогда USG будет находиться в обеих сетях — 192.168.1.x и 192.9.200.x — и сможет маршрутизировать между ними. ПК из сети 192.168.1.x смогут обращаться к устройствам в 192.9.200.x, а устройства, подключающиеся по VPN, получат доступ к обеим сетям.

Думаю, это будет вашим лучшим вариантом для решения этой задачи.

Настройки выглядят хорошо. Если вы можете подключиться к VPN без ошибок, но не можете подключиться к Windows-хосту в корпоративной сети, я бы попробовал отключить брандмауэр на компьютере, к которому пытаетесь подключиться. Это довольно частая проблема при первом подключении к Windows-хосту.

Рад помочь! Если перенести вашу VPN-сеть на 192.9.100, это должно позволить вам получить доступ к сети 192.168.1. Что касается вашей второй сети, 192.200.x, как она подключена к вашей сети 192.168.1.x? Используется другой коммутатор или роутер? Настроена ли она на USG? Вы упомянули, что клиенту VPN нужно назначить IP 192.9.200.250. Вы не сможете присвоить этот IP, так как он не входит в вашу VPN-сеть. Возможно, можно что-то сделать с NAT на USG, но расскажите подробнее про вашу сеть, может, найдётся более простое решение для вашей задачи.