Mikrotik VPN сервер. Возможно ли выдавать маршруты клиентам? #797260

Собственно, как выдавать маршруты при dhcp знаю, а возможно ли как-то выдавать маршруты клиентам VPN сервера? гуглил много, но что-то ничего не нашел. Адреса в этом случае выдает сам VPN сервер

суть в том что если в настройках соединения оставить использовать шлюз из удаленной сети, то и интернет на клиенте пойдет через удаленный хост, а если снять - то нужно ручное прописание маршрутов, что не есть хорошо

смотря какой впн ты используешь. Опенвпн можно, пптп нельзя.

+ просто смотри, что впн протокол поддерживает. По сути микротик может все стандартное.

в том то и дело что pptp с ipsec. openvpn что-то мне не очень нравится. Да и использование виндового клиента удобней по мне

как бы в windows, cisco можно выдавать используя dhcp опции. а вот в микротике видимо не сделали это

раньше я только openvpn и использовал, но с появлением win10 это стало намного сложнее. Я так понимаю никто так и не собирается исправлять баги его в свежей системе?

там же можно указать адрес роутера, который выдаётся клиенту... в PPP secret

ну, и что это дает в моем случае? сейчас и так указан адрес, это конечно упрощает дальнейшую настройку маршрутизации, но не автоматизирует ее

+ или ты предлагаешь там указывать адрес локального шлюза клиента? только где же его взять, подключения могут быть разные у клиентов и шлюзы тоже,  и меняться они могут

ну так указываешь там адрес микротика, а дальше рули маршруты на нем

Не понял сути вопроса? Создаешь DHCP сервер, указываешь на каком интерфейсе он будет работать (интерфейс VPN сервера) Настраиваешь этот DHCP сервер - какой шлюз он будет раздавать, какие DHS сервера, какие маршруты, каким клиентам, по каким признакам. Все.

какие косяки в опенвпн тебя не устроили. Нормально с 10 все раблтает

на чем на микротике? каким образом? ты видимо не понял проблемы. клиент подключается к удаленному vpn серверу и мне надо на клиенте указать маршрут через vpn к определенной сети

в автозапуск не добавить, без прав админа не работает

а вот с этого момента подробней можно. У меня создается новое подключение для каждого клиента

пптп виндовый клиент  немного по другому работает.он только маршрут на сеть сервера устанавливает

давно уже все работает.

А в чем проблема? Для начала кто шлюз? Микротик? Если так, то снимаем галку - трафик который адресован не в локальную сеть идет на шлюз, т.е на микротик, там уже пишем маршрут на какой интерфейс его кинуть и все. Ничего клиентам не раздавая.

У тебя что там - pptp?

клиентам всё-таки желательно дать адрес микротика, а в остальном я так-же думаю

шлюз у клиента? кто угодно, от usb модема начиная или мобилки раздающей вайфай. У клиента, подключающегося к vpn может вообще не быть никакого роутера. ага

при подключении к VPN создаётся новое подключение со своим шлюзом(адрес микрота)

В опенвпн добавили в клиентскую часть службу. Клиентский интерфейс уже этой службой рулит от прав обычного юзера. Даже сохранение учётных данных сделали

попробую еще раз объяснить если птица стоит, то шлюзом в системе становится удаленный микротик, и все запросы идут через него. Удаленная локалка работает, но и интеренет тоже через удаленный хост. Если птицу снять, то локальный шлюз не меняется, интернет работает как надо, но только и винда ничего не знает о существовании удаленной сети. что бы все заработало, надо указать маршрут на винде route ADD УДАЛЕННАЯСЕТЬ MASK 255.255.255.0 АДРЕСМИКРОТИКА (УДАЛЕННЫЙ ШЛЮЗ) Вот его и хочу выдавать автоматом при подключении

надо будет посмотреть

точнее у меня l2tp

набери в поисковике "DHCP option 249"

я с них то собственно тему и начал. Как их прикрутить к l2tp в микротике? и возможно ли это в принципе

Еще раз спрошу кто шлюз у клиента? У каждого клиента настроено подключение к локальной сети. В настройках подключения указаны как минимум- 1)Шлюз 2)ДНС сервера. 3)Маска Настройки заданы либо вручную, либо раздаются клиентам дхцп сервером. Так вот - у клиентов по умолчанию какой шлюз указан? Адрес микротика, или другого роутера?

смотри Если птица стоит, то шлюзом становится удаленный микротик, если нет - то локальный шлюз (заранее не известен и может меняться)

В итоге надо чтобы весь трафик кроме предназначеного VPN ходил по прежнему шлюзу? Так? Вот в микротике открой вкладку ppp-> secrets там у тебя в списке настройка твоего сервера, открой ее, что там написано

именно. в vpn должна идти только запросы для удаленной локалки

в пользователях задаю только имя, пароль, сервис и профиль

+ выдача адресов настроена в профиле

Ну вот же первые выдачи в гугле

Выдачу адресов отдай на откуп дхцп серверу. И там уже укажешь опцию 249

я это знаю. А теперь скажи какой dhcp сервер раздает адреса клиентам vpn?

подскажи как? я пока не пойму как это сделать

+если такая возможность есть в микротике, то тогда все нормально можно раздавать

маршруты как сейчас добавляешь? зачем в автозагрузку ставить добавление? добавляй с параметром -р и всё

ip -pool создать пул адресов. ip- dhcp server  создать дхцп сервер указать интерфейс на который он будет раздавать и пул который он будет раздавать, и прочие плюшки

-->

Я вот другого не понимаю. Обрисуй точнее схему сети. У тебя где-то стоит впн сервер на микротике, к нему через интернет цепляется клиент, используя стандартный виндовый л2тп клиент так?

конечно можно добавить один раз статические, но это иногда не удобно. Например у меня на ноутбуке порядка 15 подключений, и сети порой пересекаются, но шлюзы удаленные меняются. Так что руками статику прописывать не получается. Вот и хочу автоматизировать при подключении

да. Есть локалка на входе в которую стоит микротик, к нему цепляются удаленные клиенты (win машины через виндовый стандартный клиент)

там же для каждого подключения клиента новый интерфейс создаётся

при создании нового дхцп сервера доступны только физические интерфейсы и бридж

В таком случае клиенту нахрен не нужно маршрутов раздавать. У него на компьютере поднимается интерфейс с адресом VPN сети. Пакет адресованный этой сети в любом случае пойдет именно на эту сеть, а не на шлюз. Т.е клиенту достаточно снять галку и трафик будет ходить через шлюз по умолчанию, а трафик в эту сеть уйдет напрямую в интерфейс без всяких маршрутов.

В локальной сети трафик ходит без маршрутов и они нафиг не нужны. Маршруты нужны чтобы знать через какой шлюз выйти в другую сеть. В твоем случае клиент автоматически оказывается в впн сети, и для доступа к ней никаких маршрутов не нужно!!!! Теперь скажи - какой какие адреса раздаются клиентам, и куда клиенты должны ходить через впн - на какие адреса?

как это он туда вдруг попадет? например у клиента адрес 192.168.2.2 на впн, vpn впн сервер имеет адрес 192.168.2.1 со стороны клиентов и адрес 192.168.1.1 со стороны локалки, а попасть клиенту надо на 192.168.1.2. И как такое произойдет без маршрутов? можно конечно удаленных клиентов в ту же подсеть засунуть, но не хотелось конечно

Так ты себе хочешь или юзерам?

Маска сети какая? Смотри  допустим впн сервер имеет 192.168.3.1 маска 255.255.255.0 Клиенту он выдаст адрес обязательно из этой же подсети. Т.е адреса от 192.168.3.2 До 192.168.3.254 И клиент автоматически и без всяких проблем будет ходить в эту сеть.

Ему нужно в другую подсеть за впн сервером.

и себе и юзерам. проще все делать на сервере, нежели перенастраивать у кучи пользователей

именно, а мне нужно в 192.168.1.0 за роутером

к сожалению микротик не пользуется дхцп сервером, только пулом.

жди версии ros 7

Не поможет. Тут нужно прописать маршрут в ОС клиента. Клиент опенвпн это умеет, а вот стандартный виндовый клиент l2tp такого банально не сделает. Тут либо конфигурацию сети менять, либо раздавать клиентам батник который будет добавлять маршрут в нужную сеть.

умеет клиент. Ему просто микротик команды для этого не отправляет. Как говорил топик стартер в цирке эта проблема решена, тоже такое про циску где то видел

как раз таки  стандартный виндовый клиент l2tp такое умеет с помощью дхсп опций, не умеет микротик в общем наверное пока клиентов сделаю в той же сети что и локалка, их не очень много, поместятся все

Хм, завтра попробую на микротике раздать.

отпишись потом о результатах

еще можно попробовать создать интерфейсы (L2TP Server Binding) для пользователей и для них уже прописать маршруты на микротике... сам правда не пробовал ещё :)

так подскажи как их создать? сейчас они создаются динамически. Может тогда можно будет на них дхцп натравить

заходишь в Interfaces, там "+", выбираешь L2TP Server Binding и там на вкладке General указываешь пользователя для которого он создаётся

+ в DHCP нельзя, только в Routes

уже вижу. Только в правилах на самом микротике мне не надо

почему? если на микротике прописать маршруты с этого интерфейса в нужные сети разве не будет работать?

потому что задача иная совсем. Маршрут надо выдать удаленному клиенту

задача же клиенту попасть в сеть, а не получить маршрут... дать клиенту маршрут - это одно из решений, но не единственное

Без маршрута на доп сеть на клиенте, пакеты уйдут по дефолтному маршруту клиента.

выявился странный глюк. Имеем настроенный 750 с vpn. К нему цепляюсь своим ПК все ок. Берем еще один 750 и настраиваем клиентом (пользователь другой) дабы пустить удаленную сеть в локалку, все работает, но мой комп выкидывает и больше не дает подключиться, до момента отключения второго микротика. Что за х..? логически объяснить пока не получается. На 951 такой проблемы не замечено

апну, может у кого будет идея по

пропадает маршрут к интерфейсу на котором слушает винбокс

пропадает полностью доступ по всем протоколам. Но главный вопрос почему? чем клиент микротика отличается от виндового клиента

если маршрут пропал протоколы тут не помогут. Не понятно что к чему подключено физически. Надо пускать трассировки на все айпишники внешний внутренний впновский первого и второго микротика и с трех сторон. Еще у микротика интерфейсы автоматически в мост не объединяются, надо хорошо понимать какой настройки не хватает

но виндовый клиент с тем же логином не приводит к пропаданию маршрута

Подскажите. Mikrotik hAP (RB951UI-2nD) для небольшого офиса в 20 компов, 50 мегабитным инетом подойдёт? Толкьо начинаю изучать его. себе домой заказал лайт, буду играться. Этот по сути тот же лайт, но памяти поболее. В будущем возможно объединю 2 удалённых компа с офисом VPNом. Вот и всё что от него нужно. ну и пробдрос портов для RDP.

без проблем, похожий выжирал проц, если 50+ клиентов впн держал

просто он позиционируется как домашний...поэтому меня это и смущает

20 компов ни о чем