vpn сервер для удаленных сотрудников (pptp) ?

Обсуждение оборудования и его настройки
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

помоему тут надо посмотреть на метрики маршрутов, которые у вас образуются при подключении vpn в windows. по умолчанию они помоему там максимальные у vpn соединений, как то они там должны руками настраиваться. вобщем ищите на тему "как изменить метрику маршрута в windows" или что то похожее. с микротиком этот вопрос никак не пересекается.


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

охотно верю но на данную мысль натолкнул тот факт что ранее у меня стоял шлюз под PFsense и там у клиента под win просто снимая галочку я решал эту проблему а с микротиком не прокатило, сняв галочку я вообще зарезал хождения трафика.

"галочка" - использовать как шлюз по умолчанию


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

не знаю, что вы там убили, сейчас подключился ради интереса через pptp к нашему офису, без "галки", интернет через ipoe, офисная сеть через vpn


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

может что то делаю не так и не там? Прошу помочь, потому что сам найти причину не могу (
все делал по данному топику.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

если винда . то

cmd>route print

под споллер


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Как удачно я попал на этот форум) И Астериск обсуждают и впн в связке с Микротиком, как раз то, что у меня сейчас вызывает вопросы.
Проблема почти такая же как и в ТС, но немного не такая) Впн настроил пока что только для себя, для теста.
Все работает, но тоже заметил, что весь интернет трафик на клиенте бегает через впн. Убрал галку "Использовать основной шлюз в удаленной сети". Теперь все подключается без проблем и трафик бегает через интернет-соединение на клиенте, а трафик в сеть за Микротиком - через впн. Все как и должно быть.
Но вопрос в том можно ли не выпускать на Микротике трафик от впн-клиента в интернет, даже если эта галка стоит? Т.е если клиент подключается через впн с этой галкой, у него есть сеть, но нет интернета. Со времен когда у меня была ISA 2006, знаю что такое возможно.
Подозреваю, что делать это нужно в таблице фильтр в фаерволе, но как указать имя интерфейса pptp (он ведь для каждого клиента свой? pptp-имя_клиента?). Та и вообще построение такого правила вызывает вопросы. Никто таким не заморачивался?

ТС, а какая у Вас ошибка? Или клиент подключается успешно, но не ходит трафик?
У Вас подсеть на клиенте не совпадает случайно с сетью за Микротиком?


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

Да подключение при снятой галочке коннектится, но трафик и пинги не бегают, хотя одо одного адреса пинг бежит хотя по этому адресу стоит NAS а не шлюз
Подсети не совпадают.

Сегодня выложу виндовые выводы по маршрутам, на Linux кстати трафик также все ведет себя (


P.S.
Я вот думаю, а может в микротике что то не так настроил я ? может тоже выложить выводы какие-то ?


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Я думаю, что проблема в маршрутах. Какая внутренняя сеть за Микротиком и какие адреса выдаются клиентам по впн? Они из разных подсетей?
Еще не помешал бы /ip route print на Микротике.


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

2 seven

микротик

 
> /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 81.211.***.*** 1
1 S 0.0.0.0/0 192.168.11.250 1
2 ADC 10.5.50.0/24 10.5.50.1 bridge-local 0
3 ADC 81.211.***.0/24 81.211.***.*** ether1-gateway 0
4 ADC 192.168.5.3/32 192.168.5.1 <pptp-sergey> 0
5 ADC 192.168.100.0/24 192.168.100.2 bridge-local 0
6 S 192.168.100.0/24 192.168.5.1 192.168.5.1 1
[admin@MikroTik] >


винда при подключенном VPN c галочкой использовать как шлюз по умолчанию

 
>route print
===========================================================================
Список интерфейсов
20...........................office
17...f2 df 9a a1 2c 72 ......Microsoft Virtual WiFi Miniport Adapter
15...d0 df 9a a1 2c 72 ......Atheros AR9285 Wireless Network Adapter
13...f0 de f1 77 9a 39 ......Realtek PCIe GBE Family Controller
12...38 59 f9 f1 3d a0 ......Устройства Bluetooth (личной сети)
1...........................Software Loopback Interface 1
18...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
22...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
21...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
16...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.11.250 192.168.11.22 4250
0.0.0.0 0.0.0.0 On-link 192.168.5.3 26
81.211.***.*** 255.255.255.255 192.168.11.250 192.168.11.22 4251
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
192.168.5.3 255.255.255.255 On-link 192.168.5.3 281
192.168.11.0 255.255.255.0 On-link 192.168.11.22 4506
192.168.11.22 255.255.255.255 On-link 192.168.11.22 4506
192.168.11.255 255.255.255.255 On-link 192.168.11.22 4506
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 192.168.11.22 4507
224.0.0.0 240.0.0.0 On-link 192.168.5.3 26
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 192.168.11.22 4506
255.255.255.255 255.255.255.255 On-link 192.168.5.3 281
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
16 58 ::/0 On-link
1 306 ::1/128 On-link
16 58 2001::/32 On-link
16 306 2001:0:5ef5:79fd:1880:2bba:3f57:fafc/128
On-link
15 281 fe80::/64 On-link
16 306 fe80::/64 On-link
16 306 fe80::1880:2bba:3f57:fafc/128
On-link
15 281 fe80::206e:8ea8:5cde:5964/128
On-link
1 306 ff00::/8 On-link
16 306 ff00::/8 On-link
15 281 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует



81.211.***.*** звездочками закрыл свой реальник )
Последний раз редактировалось vic 15 май 2014, 07:29, всего редактировалось 1 раз.


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Давайте все разложим по полочкам:
192.168.11.22 - ip клиента, с которого подключаемся
192.168.5.3 - ip который получает клиент, после установления впн-соединения
192.168.5.1 - ip впн сервера
192.168.100.0 - локальная сеть за Микротиком
192.168.100.2 - ip Микротика
10.5.50.1 - ???

И покажите еще route print на клиенте без галочки. Интересуют только активные маршруты, в частности как изменится вторая строка: 0.0.0.0 0.0.0.0 On-link 192.168.5.3 26


Ответить