Настройка на Mikrotik VPN Server L2TP

Обсуждение ПО и его настройки
friis
Сообщения: 6
Зарегистрирован: 15 фев 2017, 11:16

Настраиваю по этой статье(http://howitmake.ru/blog/waildhand/177.html) - 3011UiAS



Конфигурация сети:
> pool L2tp - 192.168.3.0
> local DHCP- 192.168.2.0
> external network - 192.168.1.0
> the computer inside Mikrotik- 192.168.2.254
> computer outside Mikrotik - 192.168.1.39
> Внешний компьютер подключается к Mikrotik к L2TP и получает IP -192.168.3.250

Все отлично работает, но
Так как канал в центральном офисе очень узкий (5 мбит\сек) хотелось бы чтобы ВПН пользователи для выхода в интернет использовали свои домашние каналы, а не выходили в интернет через центральный офис

Как Вариант попробовал убрать на клиенте галочку "использовать шлюз в удаленной сети", при этом подключение к VPN серверу происходит, адрес выдается из пула 192.168.3.0, в интернет выходит через свой домашний шлюз(на офисный шлюз уже не лезет) - но доступа к ресурсам сети за VPN (192.168.2.0) Уже нет (ну и маршрута к сети 192.168.2.0 нет (его по статье не было))ю После того как ручками на Винде добавляю маршрут к 192.168.2.0(через 192.168.3.1) - все работает


Т.к. Я не могу управлять домашними пользователями и прописывать на них маршруты руками хотелось бы:
1. Каким либо образом не анонсировать "шлюз в удаленной сети"
2. Что бы клиент как то знал маршрут к сети 192.168.2.0(через 192.168.3.1)

Спасибо за ответ !


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Однозначного решения нет.
Самое правильно ставить клиенту микротик и на нем поднимать VPN и разруливать маршруты.

viewtopic.php?f=3&t=7288&hilit=bat+%D1%84%D0%B0%D0%B9%D0%BB

В этой теме (несмотря на название) все это очень подробно обсуждалось.


friis
Сообщения: 6
Зарегистрирован: 15 фев 2017, 11:16

Добрый день!
спасибо за ответ

"Самое правильно ставить клиенту микротик и на нем поднимать VPN и разруливать маршруты."
ну это Вы сгоряча - так микротиков не напасешься ! да и саму логику ВПН сервера ломает - человек же из Аэропорта хочет подключаться - из Поезда и т.д. так что не вариант
а по той ссылке что вы дали - только ручками прописывать - что можно сказать тоже не реально

"1. Каким либо образом не анонсировать "шлюз в удаленной сети"
2. Что бы клиент как то знал маршрут к сети 192.168.2.0(через 192.168.3.1)"

----- Все же в циске реализовано


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да и в микротике тоже все есть, все это реализовано в DHCP option. Только сложновато это немного.

http://wiki.netair.by/wiki/settings/dhcp249
https://habrahabr.ru/post/239141/
http://www.anticisco.ru/forum/viewtopic.php?t=5983

У меня подход немного другой: подключился к VPN - все нету у тебя инета. Делай свои дела, нечего по инету шастать. Захотелось инету - отключайся.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

gmx писал(а):У меня подход немного другой: подключился к VPN - все нету у тебя инета. Делай свои дела, нечего по инету шастать. Захотелось инету - отключайся.

+1
можно и пожалеть пользователей , например поставить проксю, и научить прописывать проксю в браузере.
будут и контроль , и регулирование


friis
Сообщения: 6
Зарегистрирован: 15 фев 2017, 11:16

Спасибо за наводку
http://wiki.netair.by/wiki/settings/dhcp249 - о боже!!!

математика в моей голове сломалась в середине статьи
ну да бог с ним осилю

но вот загвоздка: у меня в WinBox IP-POOL - 2 пула - для обычных компов в корпоративной сети(192.168.2.0) и для впн клиентов(192.168.3.0)(ну по статье что я говорил выше)
а в IP-DHCP Server-Network только одна сеть - для внутренних компов (192.168.2.0)

1. как тут быть ?
2. Как убрать в выдаче параметров DHCP дефолтовый шлюз - чтоб пользователю не нужно было крутить(отключать) "использовать шлюз в удаленной сети " ? Только маршрут к 192.168.2.0 через 192.168.3.1 , а дефолтовый пусть свой домашний шлюз остается

PS
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
адрес назначения может быть сетью? 192.168.2.0


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

gmx писал(а):Да и в микротике тоже все есть, все это реализовано в DHCP option. Только сложновато это немного.

http://wiki.netair.by/wiki/settings/dhcp249
https://habrahabr.ru/post/239141/
http://www.anticisco.ru/forum/viewtopic.php?t=5983

Спасибо за интересные ссылки.
Но как это прикрутить к VPN на микротике ?


Александр
friis
Сообщения: 6
Зарегистрирован: 15 фев 2017, 11:16

algerka - не знаю поняли ли вы - речь идет о point-to-site, а не о site-to-site

ребята давайте докурим, а - а то лед то тронулся уже


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Думаю, никак
viewtopic.php?t=6687

Я ведь предупреждал в самом начале. Работающего решения нет.
Надеемся на 7 версию ROS.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

friis писал(а):Спасибо за наводку
http://wiki.netair.by/wiki/settings/dhcp249 - о боже!!!

Вау....Хорошая статья, увы, жалко что не наткнулся на неё в то время, когда потратил ночь, чтобы
осилить эти премудрости DHCP в Микротике. В любом случаи - DHCP после настроек этих,
отдаёт нужные маршруты, и таблица маршрутизации нужная получается,
и статически её описывать на клиентах также не надо.

friis писал(а):PS
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
адрес назначения может быть сетью? 192.168.2.0

Да...вроде



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить