Доступ клиентов VPN к ресурсам внутренней сети

Обсуждение ПО и его настройки
Ответить
Viktor.Polyakov
Сообщения: 3
Зарегистрирован: 09 авг 2021, 17:56

Есть настроенные VPN подключения L2TP + IPSEC и OpenVPN
Подключение проходит отлично, могу зайти на вебморду роутера и по ssh на него же. Все устройства в сети пингуются без проблем.
А вот подключится ко внутреннему веб ресурсу или по ssh на другой внутренний сервер, никак не могу.
Последний раз редактировалось Viktor.Polyakov 10 авг 2021, 19:40, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Смотрите цепочку forward в firewall'е на микротике и firewall'ы на самих устройствах.


Telegram: @thexvo
Viktor.Polyakov
Сообщения: 3
Зарегистрирован: 09 авг 2021, 17:56

firewall`ов на устройствах нет.
forward на микромире акцептует все соединения из сети VPN в локалку


Viktor.Polyakov
Сообщения: 3
Зарегистрирован: 09 авг 2021, 17:56

Тестировал подключение с работы, а у нас банально в сети оказалась точно такая же подсеть как у меня дома.
Попробовал через мобильную сеть, все работает.
Пришел в гости, подключился из их WiFi, не работает вообще. Устройства даже не пингуются.
Я так понимаю, что проблема в маршрутизации. Наверное когда я подключался к рабочему VPN, у меня автоматом прописались маршруты в указанную подсеть, после преподключения через телефон, маршруты не пропали. А когда я пришел в другое место, то маршруты сбросились.

В общем, вопрос такой, можно ли как-то на клиента автоматически передавать маршруты?
Дело все в том, что до этого был Asus и там при подключении к VPN маршрутизация настраивалась автоматически. Я уверен, что и на микроток это можно сделать, но вопрос как?


Lurker
Сообщения: 159
Зарегистрирован: 29 апр 2021, 10:45

Это не совсем маршрутизация. Я где-то натыкался что в микроте есть функция:
Если пакет идёт на 192.168.m.8 то отправляем его на этот интерфейс и меняем адрес назначения на 192.168.n.8(условно)
Где не помню, но я бы начал поиски с NAT.
P.S. именно по этому я сменил адресацию в своей сети с 192.168.0.0/24 на 192.168.66.0/24 дабы при подключении к рандомной сети минимизировать риски пересечения адресов.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Viktor.Polyakov писал(а): 10 авг 2021, 20:13 В общем, вопрос такой, можно ли как-то на клиента автоматически передавать маршруты?
Дело все в том, что до этого был Asus и там при подключении к VPN маршрутизация настраивалась автоматически. Я уверен, что и на микроток это можно сделать, но вопрос как?
В случае с L2TP - нельзя.
Микротик не умеет.

Либо использовать IKEv2, либо выдавать клиентам VPN адреса из той же сети, а на внутреннем интерфейсе включать proxy-arp.


Telegram: @thexvo
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Я ни в коем разе не называю себя экспертом, но вот тут в разделе site to site есть пример с задействованием пункта routes. Возможно Вам это поможет. У меня была как-то давно подобная задача и именно по такой же схеме я и решил её.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Inner писал(а): 12 авг 2021, 15:42 Я ни в коем разе не называю себя экспертом, но вот тут в разделе site to site есть пример с задействованием пункта routes.
Это не то.
Это микротик может прописать себе маршруты при подключении к серверу (или при подключении клиента, если он сервер).
А задача - централизованно передать маршруты клиенту.
В теории оно в L2TP такое есть, но не в основном стандарте, а в каком-то расширении.
И микротик это не умеет.
Впрочем, наверняка и далеко не все клиенты тоже.


Telegram: @thexvo
Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

xvo писал(а): 12 авг 2021, 15:56
Inner писал(а): 12 авг 2021, 15:42 Я ни в коем разе не называю себя экспертом, но вот тут в разделе site to site есть пример с задействованием пункта routes.
Это не то.
Это микротик может прописать себе маршруты при подключении к серверу (или при подключении клиента, если он сервер).
А задача - централизованно передать маршруты клиенту.
В теории оно в L2TP такое есть, но не в основном стандарте, а в каком-то расширении.
И микротик это не умеет.
Впрочем, наверняка и далеко не все клиенты тоже.
А если схитрить? Расширить адресное пространство внутри (например до /16 маски) и выдывать клиентам адреса из этого же диапазона, не натя их?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Да собственно и расширять что-то не обязательно, можно и просто из той же /24 подсети выдавать, разницы никакой.
Тут ключевым является включение proxy-arp на внутреннем бридже.

Вернее даже так, расширение маски скорее всего не сработает вообще.
Потому что, по идее, у клиента маршрут должен бы быть только до адреса сервера с /32 маской.
А создание маршрута до всей подсети вокруг этого адреса - это типа частная инициатива, и создает нон их е просто так, а на основе классов: то есть если сервер выдаст адрес вида 192.168.X.Y - создастся маршрут до подсети 192.168.X.0/24 (класс С).
А вот если выдать адрес вида 172.16...32.X.Y - создастся маршрут 172.16...32.0.0/16 (класс B).
А в случае с 10.X.Y.Z - маршрут будет 10.0.0.0/8 (класс А).

Так что чтобы это использовать, адреса и в локалке и на VPN должны быть либо из диапазона 172.16.0.0/12, либо из 10.0.0.0/8 - тогда оно сработает, и даже без всякого proxy-arp.


Telegram: @thexvo
Ответить