Есть настроенные VPN подключения L2TP + IPSEC и OpenVPN
Подключение проходит отлично, могу зайти на вебморду роутера и по ssh на него же. Все устройства в сети пингуются без проблем.
А вот подключится ко внутреннему веб ресурсу или по ssh на другой внутренний сервер, никак не могу.
Доступ клиентов VPN к ресурсам внутренней сети
-
- Сообщения: 3
- Зарегистрирован: 09 авг 2021, 17:56
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Смотрите цепочку forward в firewall'е на микротике и firewall'ы на самих устройствах.
Telegram: @thexvo
-
- Сообщения: 3
- Зарегистрирован: 09 авг 2021, 17:56
firewall`ов на устройствах нет.
forward на микромире акцептует все соединения из сети VPN в локалку
forward на микромире акцептует все соединения из сети VPN в локалку
-
- Сообщения: 3
- Зарегистрирован: 09 авг 2021, 17:56
Тестировал подключение с работы, а у нас банально в сети оказалась точно такая же подсеть как у меня дома.
Попробовал через мобильную сеть, все работает.
Пришел в гости, подключился из их WiFi, не работает вообще. Устройства даже не пингуются.
Я так понимаю, что проблема в маршрутизации. Наверное когда я подключался к рабочему VPN, у меня автоматом прописались маршруты в указанную подсеть, после преподключения через телефон, маршруты не пропали. А когда я пришел в другое место, то маршруты сбросились.
В общем, вопрос такой, можно ли как-то на клиента автоматически передавать маршруты?
Дело все в том, что до этого был Asus и там при подключении к VPN маршрутизация настраивалась автоматически. Я уверен, что и на микроток это можно сделать, но вопрос как?
Попробовал через мобильную сеть, все работает.
Пришел в гости, подключился из их WiFi, не работает вообще. Устройства даже не пингуются.
Я так понимаю, что проблема в маршрутизации. Наверное когда я подключался к рабочему VPN, у меня автоматом прописались маршруты в указанную подсеть, после преподключения через телефон, маршруты не пропали. А когда я пришел в другое место, то маршруты сбросились.
В общем, вопрос такой, можно ли как-то на клиента автоматически передавать маршруты?
Дело все в том, что до этого был Asus и там при подключении к VPN маршрутизация настраивалась автоматически. Я уверен, что и на микроток это можно сделать, но вопрос как?
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Это не совсем маршрутизация. Я где-то натыкался что в микроте есть функция:
Если пакет идёт на 192.168.m.8 то отправляем его на этот интерфейс и меняем адрес назначения на 192.168.n.8(условно)
Где не помню, но я бы начал поиски с NAT.
P.S. именно по этому я сменил адресацию в своей сети с 192.168.0.0/24 на 192.168.66.0/24 дабы при подключении к рандомной сети минимизировать риски пересечения адресов.
Если пакет идёт на 192.168.m.8 то отправляем его на этот интерфейс и меняем адрес назначения на 192.168.n.8(условно)
Где не помню, но я бы начал поиски с NAT.
P.S. именно по этому я сменил адресацию в своей сети с 192.168.0.0/24 на 192.168.66.0/24 дабы при подключении к рандомной сети минимизировать риски пересечения адресов.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
В случае с L2TP - нельзя.Viktor.Polyakov писал(а): ↑10 авг 2021, 20:13 В общем, вопрос такой, можно ли как-то на клиента автоматически передавать маршруты?
Дело все в том, что до этого был Asus и там при подключении к VPN маршрутизация настраивалась автоматически. Я уверен, что и на микроток это можно сделать, но вопрос как?
Микротик не умеет.
Либо использовать IKEv2, либо выдавать клиентам VPN адреса из той же сети, а на внутреннем интерфейсе включать proxy-arp.
Telegram: @thexvo
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Это не то.
Это микротик может прописать себе маршруты при подключении к серверу (или при подключении клиента, если он сервер).
А задача - централизованно передать маршруты клиенту.
В теории оно в L2TP такое есть, но не в основном стандарте, а в каком-то расширении.
И микротик это не умеет.
Впрочем, наверняка и далеко не все клиенты тоже.
Telegram: @thexvo
-
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
А если схитрить? Расширить адресное пространство внутри (например до /16 маски) и выдывать клиентам адреса из этого же диапазона, не натя их?xvo писал(а): ↑12 авг 2021, 15:56Это не то.
Это микротик может прописать себе маршруты при подключении к серверу (или при подключении клиента, если он сервер).
А задача - централизованно передать маршруты клиенту.
В теории оно в L2TP такое есть, но не в основном стандарте, а в каком-то расширении.
И микротик это не умеет.
Впрочем, наверняка и далеко не все клиенты тоже.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Да собственно и расширять что-то не обязательно, можно и просто из той же /24 подсети выдавать, разницы никакой.
Тут ключевым является включение proxy-arp на внутреннем бридже.
Вернее даже так, расширение маски скорее всего не сработает вообще.
Потому что, по идее, у клиента маршрут должен бы быть только до адреса сервера с /32 маской.
А создание маршрута до всей подсети вокруг этого адреса - это типа частная инициатива, и создает нон их е просто так, а на основе классов: то есть если сервер выдаст адрес вида 192.168.X.Y - создастся маршрут до подсети 192.168.X.0/24 (класс С).
А вот если выдать адрес вида 172.16...32.X.Y - создастся маршрут 172.16...32.0.0/16 (класс B).
А в случае с 10.X.Y.Z - маршрут будет 10.0.0.0/8 (класс А).
Так что чтобы это использовать, адреса и в локалке и на VPN должны быть либо из диапазона 172.16.0.0/12, либо из 10.0.0.0/8 - тогда оно сработает, и даже без всякого proxy-arp.
Тут ключевым является включение proxy-arp на внутреннем бридже.
Вернее даже так, расширение маски скорее всего не сработает вообще.
Потому что, по идее, у клиента маршрут должен бы быть только до адреса сервера с /32 маской.
А создание маршрута до всей подсети вокруг этого адреса - это типа частная инициатива, и создает нон их е просто так, а на основе классов: то есть если сервер выдаст адрес вида 192.168.X.Y - создастся маршрут до подсети 192.168.X.0/24 (класс С).
А вот если выдать адрес вида 172.16...32.X.Y - создастся маршрут 172.16...32.0.0/16 (класс B).
А в случае с 10.X.Y.Z - маршрут будет 10.0.0.0/8 (класс А).
Так что чтобы это использовать, адреса и в локалке и на VPN должны быть либо из диапазона 172.16.0.0/12, либо из 10.0.0.0/8 - тогда оно сработает, и даже без всякого proxy-arp.
Telegram: @thexvo