Bum469, ты сам это делал?
По описанию - не то, и, судя по беглому гуглению, люди только и делали, что обламывались пытаясь так поднять впн до локалки.
Насколько я понял, в этом режиме на все ПК, которые должны быть доступны через VPN ставится Hamachi, но только Hamachi шлюза соединяется с сервером и удаленной машиной через интернет, собственно поэтому он и является шлюзом для других Hamachi в локальной сети.
То есть, в нашем случае, придется ставить Hamachi на сервер, без этого ему тупо неоткуда взять маршрут до сети VPN - пакеты уйдут на маршрутизатор, а не на хамачи-шлюз, и так как у роутера нет маршрута до этой подсети, и она, наверняка, из частного диапазона, маршрутизатор просто дропнет пакет.
Если был успешный опыт настройки подобной сети, пожалуйста, поделитесь. Мне безумно интересно, так как я не понимаю как она может работать.

Делал - на один-единственный комп в локалке ставится Hamachi и этот комп назначается шлюзом в локалку.
Все остальные клиенты Hamachi это удаленные домашние компы или ноутбуки.

Можно еще подключиться с работы к домашнему VPN серверу, сделать ЛАН подключение рабочего ПК общим и будет НАТ - все проблемы с маршрутами можно забыть, при необходимости можно пробросить порты.
Не очень удобно, но работать должно.

То есть он и интернет в локалке раздавал, верно?
Если же нет, можно ли инициировать соединение с удаленным клиентом хамачи из локалки?

Вот пример для создания в Hamachi доступа в сеть через рабочий комп:


Вот это уже интересно, спасибо за наводку,но там внизу оговорка

Сеть со шлюзом
Сеть со шлюзом беспрепятственно интегрируется в вашу физическую сеть в отношении IP-адресации. Ваш шлюз будет обеспечивать доступ ко всей физической сети для обычных участников. В сети данного типа должен присутствовать один единственный выделенный шлюз и может иметься произвольное число обычных пользователей.
Примечание. Клиент Hamachi не будет выступать в качестве шлюза в операционных системах рабочих станций, если они являются членами домена.

Если есть домен, то значит сеть довольно серьезная - поэтому лучше всё таки найти подходы к админам или начальству )

свяжись с админами, расскажи в 3х словах, тебе скажут - у тебя должен быть статический IP. Сходишь подключишь постоянный айпишник, стоит это копейки, и тебя пустят в сеть с внешки. А начальство на то и начальство, чтоб тупить, уведомить их можно и по факту.

Не везде так, можно также "по факту" получить уведомление в отделе кадров и СБ.

У меня похожая ситуация. На работе есть терминал, подключение к которому идет через внутреннюю доменную сеть. Мне нужно из дома подключиться к этому терминалу, для этого мне нужен внешний IP, но дома у меня подключение по Wi-Fi. Я подключу внешний IP у провайдера, но он будет относиться к роутеру. Вот дальше я теряюсь. Понятное дело, что роутер назначит моему компьютеру свой IP. Какой IP при этом мне нужно сообщить своему админу на работе?

badbeat внешний.

Bum469 Ну в случае, если это будет согласовано с админами, ничего они не скажут. Если всё самим сделать, то можно и не уведомлять вовсе. Раз это такая фигня, с которой не стоит маяться, то и фиг с ней

Т.е. Wi-Fi ни на что не влияет и если я зайду на сайт 2ip.ru, то у всех подключенных к роутеру устройств будет показан внешний IP? Странно как-то.

badbeat, да, только ни до одного из них по этому ip нельзя будет достучаться. Если роутер умеет vpn сервер - это и не требуется, если же сервер будет на станции в твоей домашней сети, то потребуется еще прокинуть порты и включить форвард gre, если роутер это умеет.

SmaSheR, т.е. в моем случае будет недостаточно просто сказать свой внешний IP админу?

badbeat, конечно недостаточно.
Если на работе есть внешний IP - тебе внешний не нужен, на роутере админы пробрасывают порты и ты просто коннектишься к удаленному рабочему столу с использованием внешнего IP и, вероятного, нестандартного порта.
Если же IP на работе только частный, потребуется установить VPN сервер дома, клиентом подключаться с работы, лучше если это будет тоннель, настроенный между маршрутизаторами, доступ к VPN сети стоит заблокировать фаерволлом всем, кроме твоего ПК.
P.S. Ну когда же уже перейдем на IPv6...
P.P.S. У меня корыстный интерес

У меня этот случай. Подключаюсь к терминалу через удаленный рабочий стол, а в название компьютера вбиваю айпишник. Что мне тогда нужно?

Попинать админов, чтобы они пробросили RDP порт и выдали тебе IP и порт для подключения.
Дальше просто подключаешься, используя эти данные.

А что за проблемы поднять у себя впн-сервер, и рабочий комп сделать клиентом - пусть инициирует. Если порты не порезаны на исходящий траффик все будет работать. Статический IP даже не обязателен, есть же dynamic dns.

А как вообще происходит блокировка подключений извне?

badbeat, если сервер подключен напрямую к интернету, то фаерволлом, если же за NAT'ом, то там по умолчанию все порты закрыты, ты фактически обращаешься к маршрутизатору и он должен знать (должно быть прописано правило), что запрос соединения на такой-то порт должен быть перенаправлен дальше на сервер.

SmaSheR, а рабочий компьютер по какому правилу он пропускает для подключения?

badbeat дают тебе адрес и порт + логин-пароль + с внешки пускают только список адресов, куда тебя должны добавить, а дальше по созданному правилу, или как проброшены порты - ты подключаешься к той или иной машине по рдп, к терминальному серваку или вообще на виртуалку, если у тебя там требования минимальные.