Настройка pptp без маршрутиризации.

Обсуждение ПО и его настройки
Ответить
IEEE1394
Сообщения: 6
Зарегистрирован: 02 май 2013, 16:36

Здравствуйте.
Стоит обычная задача - создать vpn тунели и объединить офисы, плюс подключить удаленных клиентов.
С туннелями проблем не возникло. А вот с клиентами есть трудности следующего характера:
при подключении vpn клиента, он получает все настройки, включая шлюз, днс.. И интернет клиента начинает идти через vpn сервер.
Мне нужно просто предоставить доступ к внутренней сети. Всё.
Раньше всё работало на Kerio и его собственном vpn клиенте. Там всё автоматом настраивалось и проблем не было. Но было принято решение избавиться от этой армии системников да и kerio vpn клиента под андроид нет На 6-ой версии). С RouterOS тоже особого контакта не имел.
Подскажите, где заветная настроечка, чтобы клиент получал только доступ к сети, а не слал весь трафик в впн.
Спасибо!


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Нет никаких настроек в ROS. К сожалению через PPtP передать маршруты невозможно.


Дело в VPN клиенте.
В Windows при подключении к VPN меняется шлюз по умолчанию, на шлюз VPN, во и все

Если найдете соответствующий клиент, то все будет работать. Возможно клиент от Kerio будет работать и с Микротиком. И маршруты в нем может быть можно настраивать?

Можно написать bat файл, который будет запускать vpn соединение и менять таблицу route, но это своего рода кастыль, так как при отключении от vpn надо снова править таблицу.


Самый простой способ, это клиентам VPN запретить доступ в инет через vpn канал. Тогда все клиенты будут подключатся к VPN только для работы по мере необходимости. Либо, если клиенту нужно работать много и такой вариант неудобен, то ставим у клиента тоже микротик, например hAP Lite, у тут уж вы можете разрулить все как вам угодно. Можно любой другой роутер, поддерживающий vpn подключения.

Еще рекомендую ознакомится с этой статьей http://habrahabr.ru/post/239141/
но там все далеко не так просто и я никогда не пробовал.

Для windows есть чудо-утилита CMAK - Connection Manager Administration Kit, которая создает подключение, и умеет маршрутизацию настраивать, но я не уверен, что она есть для всех версий windows.


IEEE1394
Сообщения: 6
Зарегистрирован: 02 май 2013, 16:36

Спасибо большое! Да, именно ручным вводом route add решал проблему с виндовыми клиентами. Но есть пользователи смартфонов и.. Я думал, что с микротиком можно всё и просто мне не хватает знаний. Жаль..
Спасиюо Вам большое!


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

В Windows, после того как создали подключение, зайдите в его свойства, перейдите на вкладку "сеть" , затем выберете свойства интересующего вас протокола (скорее всего ipv4), нажмите "дополнительно" и снимите галочку "использовать основной шлюз в удаленной сети", после всего этого, у клиентов останутся только маршруты до удаленной сети, а интернет будет идти как и должен.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

KARaS'b писал(а):после всего этого, у клиентов останутся только маршруты до удаленной сети, а интернет будет идти как и должен.

позволю себе уточнить . маршрут останется до сети серой сети , /24 от той которую выдал PPTP. если сети различаются писать придется руками


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Vladimir22 писал(а):
KARaS'b писал(а):после всего этого, у клиентов останутся только маршруты до удаленной сети, а интернет будет идти как и должен.

позволю себе уточнить . маршрут останется до сети серой сети , /24 от той которую выдал PPTP. если сети различаются писать придется руками

Парданирую и подтверждаю. Писал на автомате, бо "живым" клиентам всегда так выдаю, что бы не гемороится)


IEEE1394
Сообщения: 6
Зарегистрирован: 02 май 2013, 16:36

Спасибо большое! Да, всё верно, в винде руками можно это сделать. К сожалению, руками прописывать геморройно, но можно. Но минимум, как у пяти есть маки, айфоны у многих, смартфоны на андроиде. И всем им нужен доступ во внутреннюю сеть. Я надеялся, что это можно реализовать через стандартные средства. Как подсказал уважаемый gmx через DHCP Classless Route, но всё не так просто, как большенство функций в микротике.


IEEE1394
Сообщения: 6
Зарегистрирован: 02 май 2013, 16:36

Точнее буду пытаться реализовать это через open vpn.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

По-моему проще у всех поставить дома микротик hAP, как минимум.


Ответить