L2TP без интернета / только локальная сеть

Обсуждение ПО и его настройки
Ответить
niabu
Сообщения: 3
Зарегистрирован: 01 апр 2020, 15:39

Всем привет.

Прошу совета.
Ситуация проста, но почему-то нигде вменяемо не описано (или я плохо ищу).
Есть локальная сеть предприятия, есть микрот на шлюзе, есть л2тп (поднят и настроен) с айписек, есть виндовые и макос клиенты. Всё работает, подключается и так далее.
Но, естественно, есть нюанс. Весь клиентский траффик заворачивается в туннель со всеми вытекающими. А хочется - чтобы только в локалку ходили, а в интернет из дома.

Первое решение, которое очевидное - это снять галку (вот ещё глубже её винда не могла закопать конечно же) "гнать весь траффик через впн" и роут адд шлюз микрот локальная сеть -р. Схема имеет очевидные недостатки: галку можно поставить обратно (ок, пришибли в фаерволе всё кроме локалки с л2тп). Надо прописывать вручную роуты. Вопросы с айОС (благо, там хотя бы эта галочка на самом видном месте наоборот).
Но ведь хочется то без батников! Чтобы вот красиво!

Можно ли как-то на микроте настроить, чтобы он отдавал роут клиенту обратно (с учётом того, что шлюз у клиента может быть любым). Это вообще реально в л2тп?
А может быть имеет смысл вообще использовать не л2тп, а какой-нибудь ССТП вообще? Я с ним только академически знаком, но микротик вроде бы умеет.

Поделитесь, подскажите, может куда смотреть надо, куда не смотрел?
Спасибо заранее.


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Со всеми вытекающими.....
Я вижу 2 варианта
1) выпускать клиентов в инет через микротик. Тогда у клиентов будет и локальные ресурсы офиса и инет. Инет через инет офиса скажем так.....
2) убирать галку и пописывать роут в клиенте.

По поводу второго пункта есть автоматизация. Можно воспользоваться CMAK, собрать пакет для автонастройки клиентского vpn. Там есть возможность задать все параметры, в том числе снять вашу галку и подсунуть файл с роутами. Выглядеть будет так: вы отправляете клиенту скомпилированный exe файл, он его запускает, создается впн со всеми настройками. Клиенту нужно лишь вбить логин и пароль. всё.
Минусы: только винда. ПОд каждую ОС отдельный пакет собрать. Под 7 свой. под 10 свой. Под 10 норм отрабатывает и на 8.
Если интересно гуглите автонастройка VPN СМАК


niabu
Сообщения: 3
Зарегистрирован: 01 апр 2020, 15:39

imaoskol писал(а): 01 апр 2020, 16:58 Со всеми вытекающими.....
Я вижу 2 варианта
1) выпускать клиентов в инет через микротик. Тогда у клиентов будет и локальные ресурсы офиса и инет. Инет через инет офиса скажем так.....
2) убирать галку и пописывать роут в клиенте.

По поводу второго пункта есть автоматизация. Можно воспользоваться CMAK, собрать пакет для автонастройки клиентского vpn. Там есть возможность задать все параметры, в том числе снять вашу галку и подсунуть файл с роутами. Выглядеть будет так: вы отправляете клиенту скомпилированный exe файл, он его запускает, создается впн со всеми настройками. Клиенту нужно лишь вбить логин и пароль. всё.
Минусы: только винда. ПОд каждую ОС отдельный пакет собрать. Под 7 свой. под 10 свой. Под 10 норм отрабатывает и на 8.
Если интересно гуглите автонастройка VPN СМАК
Ага, спасибо. Пошёл изучать.


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

Ikev2 умеет split tunneling понятный windows и без костылей


niabu
Сообщения: 3
Зарегистрирован: 01 апр 2020, 15:39

Подниму ещё раз тему.
От L2TP пришлось отказаться по известной проблеме "несколько клиентов за одним нат".
Перешёл полностью на SSTP, пока полёт нормальный, даже страшилки "тормоза канала" оказались враньём. Ну или HEx хватает ресурсов всё на лету обрабатывать.
Но вопрос с трафиком в канал остаётся актуальным. Пробовал играться с полем "роут" в настройках пользователя, пока успехов нет. Пишу там условные 192.168.88.0/24 (где 88.0 это сеть предприятия), может быть не правильно пишу?
Ещё прочитал, что можно отработать классом сети, буду благодарен, если кто подскажет и в эту сторону. Или вообще не туда копаю?


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

niabu писал(а): 02 апр 2020, 15:04 Подниму ещё раз тему.
От L2TP пришлось отказаться по известной проблеме "несколько клиентов за одним нат".
Перешёл полностью на SSTP, пока полёт нормальный, даже страшилки "тормоза канала" оказались враньём. Ну или HEx хватает ресурсов всё на лету обрабатывать.
Но вопрос с трафиком в канал остаётся актуальным. Пробовал играться с полем "роут" в настройках пользователя, пока успехов нет. Пишу там условные 192.168.88.0/24 (где 88.0 это сеть предприятия), может быть не правильно пишу?
Ещё прочитал, что можно отработать классом сети, буду благодарен, если кто подскажет и в эту сторону. Или вообще не туда копаю?
Так вроде и ответ остается актуальным.
1) Галка "Использовать шлюз в удаленной сети". Поработал на удаленке, отключился, пользуешься инетом
2) Прописываешь роут на клиенте. Как автоматизировать описывал.


Ответить