Здравствуйте.
Стоит обычная задача - создать vpn тунели и объединить офисы, плюс подключить удаленных клиентов.
С туннелями проблем не возникло. А вот с клиентами есть трудности следующего характера:
при подключении vpn клиента, он получает все настройки, включая шлюз, днс.. И интернет клиента начинает идти через vpn сервер.
Мне нужно просто предоставить доступ к внутренней сети. Всё.
Раньше всё работало на Kerio и его собственном vpn клиенте. Там всё автоматом настраивалось и проблем не было. Но было принято решение избавиться от этой армии системников да и kerio vpn клиента под андроид нет На 6-ой версии). С RouterOS тоже особого контакта не имел.
Подскажите, где заветная настроечка, чтобы клиент получал только доступ к сети, а не слал весь трафик в впн.
Спасибо!
Настройка pptp без маршрутиризации.
-
- Модератор
- Сообщения: 3313
- Зарегистрирован: 01 окт 2012, 14:48
Нет никаких настроек в ROS. К сожалению через PPtP передать маршруты невозможно.
Дело в VPN клиенте.
В Windows при подключении к VPN меняется шлюз по умолчанию, на шлюз VPN, во и все
Если найдете соответствующий клиент, то все будет работать. Возможно клиент от Kerio будет работать и с Микротиком. И маршруты в нем может быть можно настраивать?
Можно написать bat файл, который будет запускать vpn соединение и менять таблицу route, но это своего рода кастыль, так как при отключении от vpn надо снова править таблицу.
Самый простой способ, это клиентам VPN запретить доступ в инет через vpn канал. Тогда все клиенты будут подключатся к VPN только для работы по мере необходимости. Либо, если клиенту нужно работать много и такой вариант неудобен, то ставим у клиента тоже микротик, например hAP Lite, у тут уж вы можете разрулить все как вам угодно. Можно любой другой роутер, поддерживающий vpn подключения.
Еще рекомендую ознакомится с этой статьей http://habrahabr.ru/post/239141/
но там все далеко не так просто и я никогда не пробовал.
Для windows есть чудо-утилита CMAK - Connection Manager Administration Kit, которая создает подключение, и умеет маршрутизацию настраивать, но я не уверен, что она есть для всех версий windows.
Дело в VPN клиенте.
В Windows при подключении к VPN меняется шлюз по умолчанию, на шлюз VPN, во и все
Если найдете соответствующий клиент, то все будет работать. Возможно клиент от Kerio будет работать и с Микротиком. И маршруты в нем может быть можно настраивать?
Можно написать bat файл, который будет запускать vpn соединение и менять таблицу route, но это своего рода кастыль, так как при отключении от vpn надо снова править таблицу.
Самый простой способ, это клиентам VPN запретить доступ в инет через vpn канал. Тогда все клиенты будут подключатся к VPN только для работы по мере необходимости. Либо, если клиенту нужно работать много и такой вариант неудобен, то ставим у клиента тоже микротик, например hAP Lite, у тут уж вы можете разрулить все как вам угодно. Можно любой другой роутер, поддерживающий vpn подключения.
Еще рекомендую ознакомится с этой статьей http://habrahabr.ru/post/239141/
но там все далеко не так просто и я никогда не пробовал.
Для windows есть чудо-утилита CMAK - Connection Manager Administration Kit, которая создает подключение, и умеет маршрутизацию настраивать, но я не уверен, что она есть для всех версий windows.
-
- Сообщения: 6
- Зарегистрирован: 02 май 2013, 16:36
Спасибо большое! Да, именно ручным вводом route add решал проблему с виндовыми клиентами. Но есть пользователи смартфонов и.. Я думал, что с микротиком можно всё и просто мне не хватает знаний. Жаль..
Спасиюо Вам большое!
Спасиюо Вам большое!
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
В Windows, после того как создали подключение, зайдите в его свойства, перейдите на вкладку "сеть" , затем выберете свойства интересующего вас протокола (скорее всего ipv4), нажмите "дополнительно" и снимите галочку "использовать основной шлюз в удаленной сети", после всего этого, у клиентов останутся только маршруты до удаленной сети, а интернет будет идти как и должен.
-
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
KARaS'b писал(а):после всего этого, у клиентов останутся только маршруты до удаленной сети, а интернет будет идти как и должен.
позволю себе уточнить . маршрут останется до сети серой сети , /24 от той которую выдал PPTP. если сети различаются писать придется руками
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Vladimir22 писал(а):KARaS'b писал(а):после всего этого, у клиентов останутся только маршруты до удаленной сети, а интернет будет идти как и должен.
позволю себе уточнить . маршрут останется до сети серой сети , /24 от той которую выдал PPTP. если сети различаются писать придется руками
Парданирую и подтверждаю. Писал на автомате, бо "живым" клиентам всегда так выдаю, что бы не гемороится)
-
- Сообщения: 6
- Зарегистрирован: 02 май 2013, 16:36
Спасибо большое! Да, всё верно, в винде руками можно это сделать. К сожалению, руками прописывать геморройно, но можно. Но минимум, как у пяти есть маки, айфоны у многих, смартфоны на андроиде. И всем им нужен доступ во внутреннюю сеть. Я надеялся, что это можно реализовать через стандартные средства. Как подсказал уважаемый gmx через DHCP Classless Route, но всё не так просто, как большенство функций в микротике.
-
- Сообщения: 6
- Зарегистрирован: 02 май 2013, 16:36
Точнее буду пытаться реализовать это через open vpn.
-
- Модератор
- Сообщения: 3313
- Зарегистрирован: 01 окт 2012, 14:48
По-моему проще у всех поставить дома микротик hAP, как минимум.