vpn сервер для удаленных сотрудников (pptp) ?

Обсуждение оборудования и его настройки
vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

14 авг 2013, 21:07

да вы все верно поняли как сформирована сеть, 10.5.50.1 это мусор был я его убрал

 
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.11.250 192.168.11.22 25
81.211.***.*** 255.255.255.255 192.168.11.250 192.168.11.22 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.5.0 255.255.255.0 192.168.5.1 192.168.5.3 26
192.168.5.3 255.255.255.255 On-link 192.168.5.3 281
192.168.11.0 255.255.255.0 On-link 192.168.11.22 281
192.168.11.22 255.255.255.255 On-link 192.168.11.22 281
192.168.11.255 255.255.255.255 On-link 192.168.11.22 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.11.22 281
224.0.0.0 240.0.0.0 On-link 192.168.5.3 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.11.22 281
255.255.255.255 255.255.255.255 On-link 192.168.5.3 281


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

14 авг 2013, 22:13

А 192.168.5.1 пингуется сейчас с клиента?
Если да, то проблема вот в этом маршруте на Микротике:
6 S 192.168.100.0/24 192.168.5.1 192.168.5.1 1
Вариантов решения несколько. Можно поиграться с маршрутами на клиенте и добавить ему напрямую маршрут в 192.168.100.0 через 192.168.5.1. Но этот вариант я считаю неприемлемым, т.к. клиентов может быть много и каждому вручную добавлять маршрут неохота.
Я предлагаю отказаться вообще от 192.168.5 подсети и выдавать клиентам адреса сразу с 192.168.100 подсети. В таком случаи проблем с маршрутами не будет.
Если я не прав, пусть местные гуру меня подправят.
Вот примерная реализация:
Изображение


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

14 авг 2013, 23:09

вполне логичное умозаключение. сейчас просматривал старые заметки, и когда в роли шлюза/vpn сервера стоял pfsense то все было настроено в единой подсети, и снятие галочки убирало заворот трафика. завтра проверю вашу мысль, за ранее спасибо.


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

15 авг 2013, 15:20

Да сделал все в одном диапазоне и тут же все заработало как нужно, всем большое спасибо за участие и оказанную помощь.


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

15 авг 2013, 21:06

Пожалуйста, но свой вопрос про возможность реализации ситуации, когда пользователь подключается с этой галкой и у него есть сеть, но нет интернета, я оставлю открытым. Возможно кто-то ответит...


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

15 авг 2013, 23:13

может просто стоит попробовать убрать из настроек vpn сервера шлюз? Или тогда вообще связь не пойдет?


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

15 авг 2013, 23:42

Убрать вообще он не дает. Можно поставить вместо адреса шлюза другой несуществующий адрес, но в этом случаи также все прекрасно работает, что непонятно... Можно еще поставить в качестве шлюза свой собственные впн-адрес, но в таком случаи не работает ни сеть ни интернет... Но это уже так, эксперименты пошли, когда точно не понимаешь что делаешь. Не люблю такого...


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

15 авг 2013, 23:49

согласен, пальцем в небо но гуру то молчат (

по мне дак нужно правило писать с запретом но тут надо что то тонко продумать.


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

16 авг 2013, 00:18

Я тоже думаю, что делать это нужно с помощью фаервола, но не знаю как указать имя интерфейса pptp, оно ведь разное для каждого клиента. Можно было бы блокировать не весь интернет, а только 80 порт для впн-клиентов. Тогда точно никто с этой галкой работать не захочет, придется снимать.
Есть идея в правиле указать connection type pptp 80 порт дроп, но не работает что-то, хотя возможно так делать и не можно. В общем, подожду, может появится кто-то, кто делал уже что-то подобное...


Abus56
Сообщения: 30
Зарегистрирован: 11 мар 2012, 12:06

16 авг 2013, 12:33

а не проще для адресов выдаваемых pptp запретить forward по 80 порту? или всем кто не через локальный интерфейс микротика запретить 80 порт


Ответить