Настраиваю по этой статье(http://howitmake.ru/blog/waildhand/177.html) - 3011UiAS
Конфигурация сети:
> pool L2tp - 192.168.3.0
> local DHCP- 192.168.2.0
> external network - 192.168.1.0
> the computer inside Mikrotik- 192.168.2.254
> computer outside Mikrotik - 192.168.1.39
> Внешний компьютер подключается к Mikrotik к L2TP и получает IP -192.168.3.250
Все отлично работает, но
Так как канал в центральном офисе очень узкий (5 мбит\сек) хотелось бы чтобы ВПН пользователи для выхода в интернет использовали свои домашние каналы, а не выходили в интернет через центральный офис
Как Вариант попробовал убрать на клиенте галочку "использовать шлюз в удаленной сети", при этом подключение к VPN серверу происходит, адрес выдается из пула 192.168.3.0, в интернет выходит через свой домашний шлюз(на офисный шлюз уже не лезет) - но доступа к ресурсам сети за VPN (192.168.2.0) Уже нет (ну и маршрута к сети 192.168.2.0 нет (его по статье не было))ю После того как ручками на Винде добавляю маршрут к 192.168.2.0(через 192.168.3.1) - все работает
Т.к. Я не могу управлять домашними пользователями и прописывать на них маршруты руками хотелось бы:
1. Каким либо образом не анонсировать "шлюз в удаленной сети"
2. Что бы клиент как то знал маршрут к сети 192.168.2.0(через 192.168.3.1)
Спасибо за ответ !
Настройка на Mikrotik VPN Server L2TP
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Однозначного решения нет.
Самое правильно ставить клиенту микротик и на нем поднимать VPN и разруливать маршруты.
viewtopic.php?f=3&t=7288&hilit=bat+%D1%84%D0%B0%D0%B9%D0%BB
В этой теме (несмотря на название) все это очень подробно обсуждалось.
Самое правильно ставить клиенту микротик и на нем поднимать VPN и разруливать маршруты.
viewtopic.php?f=3&t=7288&hilit=bat+%D1%84%D0%B0%D0%B9%D0%BB
В этой теме (несмотря на название) все это очень подробно обсуждалось.
-
- Сообщения: 6
- Зарегистрирован: 15 фев 2017, 11:16
Добрый день!
спасибо за ответ
"Самое правильно ставить клиенту микротик и на нем поднимать VPN и разруливать маршруты."
ну это Вы сгоряча - так микротиков не напасешься ! да и саму логику ВПН сервера ломает - человек же из Аэропорта хочет подключаться - из Поезда и т.д. так что не вариант
а по той ссылке что вы дали - только ручками прописывать - что можно сказать тоже не реально
"1. Каким либо образом не анонсировать "шлюз в удаленной сети"
2. Что бы клиент как то знал маршрут к сети 192.168.2.0(через 192.168.3.1)"
----- Все же в циске реализовано
спасибо за ответ
"Самое правильно ставить клиенту микротик и на нем поднимать VPN и разруливать маршруты."
ну это Вы сгоряча - так микротиков не напасешься ! да и саму логику ВПН сервера ломает - человек же из Аэропорта хочет подключаться - из Поезда и т.д. так что не вариант
а по той ссылке что вы дали - только ручками прописывать - что можно сказать тоже не реально
"1. Каким либо образом не анонсировать "шлюз в удаленной сети"
2. Что бы клиент как то знал маршрут к сети 192.168.2.0(через 192.168.3.1)"
----- Все же в циске реализовано
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Да и в микротике тоже все есть, все это реализовано в DHCP option. Только сложновато это немного.
http://wiki.netair.by/wiki/settings/dhcp249
https://habrahabr.ru/post/239141/
http://www.anticisco.ru/forum/viewtopic.php?t=5983
У меня подход немного другой: подключился к VPN - все нету у тебя инета. Делай свои дела, нечего по инету шастать. Захотелось инету - отключайся.
http://wiki.netair.by/wiki/settings/dhcp249
https://habrahabr.ru/post/239141/
http://www.anticisco.ru/forum/viewtopic.php?t=5983
У меня подход немного другой: подключился к VPN - все нету у тебя инета. Делай свои дела, нечего по инету шастать. Захотелось инету - отключайся.
-
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
gmx писал(а):У меня подход немного другой: подключился к VPN - все нету у тебя инета. Делай свои дела, нечего по инету шастать. Захотелось инету - отключайся.
+1
можно и пожалеть пользователей , например поставить проксю, и научить прописывать проксю в браузере.
будут и контроль , и регулирование
-
- Сообщения: 6
- Зарегистрирован: 15 фев 2017, 11:16
Спасибо за наводку
http://wiki.netair.by/wiki/settings/dhcp249 - о боже!!!
математика в моей голове сломалась в середине статьи
ну да бог с ним осилю
но вот загвоздка: у меня в WinBox IP-POOL - 2 пула - для обычных компов в корпоративной сети(192.168.2.0) и для впн клиентов(192.168.3.0)(ну по статье что я говорил выше)
а в IP-DHCP Server-Network только одна сеть - для внутренних компов (192.168.2.0)
1. как тут быть ?
2. Как убрать в выдаче параметров DHCP дефолтовый шлюз - чтоб пользователю не нужно было крутить(отключать) "использовать шлюз в удаленной сети " ? Только маршрут к 192.168.2.0 через 192.168.3.1 , а дефолтовый пусть свой домашний шлюз остается
PS
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
адрес назначения может быть сетью? 192.168.2.0
http://wiki.netair.by/wiki/settings/dhcp249 - о боже!!!
математика в моей голове сломалась в середине статьи
ну да бог с ним осилю
но вот загвоздка: у меня в WinBox IP-POOL - 2 пула - для обычных компов в корпоративной сети(192.168.2.0) и для впн клиентов(192.168.3.0)(ну по статье что я говорил выше)
а в IP-DHCP Server-Network только одна сеть - для внутренних компов (192.168.2.0)
1. как тут быть ?
2. Как убрать в выдаче параметров DHCP дефолтовый шлюз - чтоб пользователю не нужно было крутить(отключать) "использовать шлюз в удаленной сети " ? Только маршрут к 192.168.2.0 через 192.168.3.1 , а дефолтовый пусть свой домашний шлюз остается
PS
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
адрес назначения может быть сетью? 192.168.2.0
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
gmx писал(а):Да и в микротике тоже все есть, все это реализовано в DHCP option. Только сложновато это немного.
http://wiki.netair.by/wiki/settings/dhcp249
https://habrahabr.ru/post/239141/
http://www.anticisco.ru/forum/viewtopic.php?t=5983
Спасибо за интересные ссылки.
Но как это прикрутить к VPN на микротике ?
Александр
-
- Сообщения: 6
- Зарегистрирован: 15 фев 2017, 11:16
algerka - не знаю поняли ли вы - речь идет о point-to-site, а не о site-to-site
ребята давайте докурим, а - а то лед то тронулся уже
ребята давайте докурим, а - а то лед то тронулся уже
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Думаю, никак
viewtopic.php?t=6687
Я ведь предупреждал в самом начале. Работающего решения нет.
Надеемся на 7 версию ROS.
viewtopic.php?t=6687
Я ведь предупреждал в самом начале. Работающего решения нет.
Надеемся на 7 версию ROS.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
friis писал(а):Спасибо за наводку
http://wiki.netair.by/wiki/settings/dhcp249 - о боже!!!
Вау....Хорошая статья, увы, жалко что не наткнулся на неё в то время, когда потратил ночь, чтобы
осилить эти премудрости DHCP в Микротике. В любом случаи - DHCP после настроек этих,
отдаёт нужные маршруты, и таблица маршрутизации нужная получается,
и статически её описывать на клиентах также не надо.
friis писал(а):PS
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
адрес назначения может быть сетью? 192.168.2.0
Да...вроде