Добрых дел. Помогите пожалуйста с дельными советами.
Есть два офиса в разных городах, в каждом стоит микротик и соединены между собой по VPN.(один имеет белый ip и выступает в роли VPN сервера для другого микротика).
Все компьютеры в двух локальных сетях друг друга "видят" и работаю общие шары.То есть будем считать что маршрутизация настроена правильно между двумя сетями.
Первая внутренняя сеть на микротике который VPN сервер имеет 192.168.32.0/24 Вторая сеть 192.168.60.0/24
Начальство дало задание предоставить доступ из вне удаленным сотрудникам которые работают из дома. Так как у нас с микротиками дружат не все сис админы на предприятии,был развернут сервер 2012 r2 и добавлена роль ему VPN (внутренний его адрес 192.168.32.220(полученный от микротика), адрес в настройках его роли в качестве VPN сервера 192.168.100.10). Внутри сети пользователи к нему имеют подключение (192.168.100.10 логин+пароль)(тобишь проверили его функционал -работает).
Вопрос в следующем -как правильно перенаправлять на него из вне пользователей.
При перенаправленные портов (1723)на микротике(с белым ip) -перестает работать VPN мост между двумя офисами.
Многие наверное скажут- зачем городить огород.Заводи пользователей на Центральном микротике,выдавай им логин и пароль для VPN.И это наверное абсолютно правильно(выход из положения,я так из дома и подключаюсь).Но на предприятие развернута AD и часто бывает необходимость дать доступ пользователю когда на рабочем месте нет спеца по микротику.
Да и вообще чисто для познавательных целей.
В идеале задача будет считаться решенной если заработает следующий алгоритм:
Пользователь у себя дома настраивает VPN соединение типо 80.12.14.24:4512 (белый IP) и подключается к VPN серверу 2012R2 ,вводит соответственно логин и пароль как заведен в AD, далее получает доступ в сеть к ресурсам сети (первая сеть 192.168.32.0/24 Вторая сеть 192.168.60.0/24)
СПАСИБО.
VPN на микротике и VPN за микротиком
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Измените тип тоннеля между офисами на отличный от pptp, который вы сейчас используете, а pptp пробросьте до вашего windows сервера и будет все как вы хотите.
Но я бы не спешил на вашем месте, если кого из местных завсегдатых гуру заинтересует ваш вопрос, то может они подскажут, как подружить микротики с AD через radius для прозрачности авторизации и меньшей возни с учетками пользователей.
Но я бы не спешил на вашем месте, если кого из местных завсегдатых гуру заинтересует ваш вопрос, то может они подскажут, как подружить микротики с AD через radius для прозрачности авторизации и меньшей возни с учетками пользователей.