Windows-клиенты PPP и классовые подсети

Базовая функциональность RouterOS
Ответить
Аватара пользователя
Chupaka
Сообщения: 2145
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Windows-клиенты PPP и классовые подсети

Сообщение Chupaka » 05 мар 2019, 15:31

Подытоживая тему Windows-клиентов PPP и их маршрутов на локальные сети, оставлю это здесь для истории.

- Если раздавать PPTP, L2TP и прочий SSTP - то винда при подключении может добавлять себе маршрут на классовую подсеть. Если remote address (получаемый клиентом) из диапазона 1.0.0.0-126.255.255.255 - добавляется маршрут с маской /8, если 128.1.0.0-191.255.255.255 - то /16, если 192.0.0.0-223.255.254.255 - то /24. Т.е. можно выбрать сеть нужной ширины, побить её на подсети для локальных юзеров и впн - и спокойно пользоваться без ручного прописывания маршрутов.

- Можно раздавать маршруты через IPSec IKEv2 Mode Config, но Винда умеет его только с сертификатами, в pre-shared key она не умеет, поэтому для реализации надо будет генерить ключики на роутере и устанавливать сертификат на клиента.

Ну и всегда остаётся костыль в виде выдачи клиентам VPN адресов из подсети локалки и использования Proxy-ARP на локалку.

chexov
Сообщения: 5
Зарегистрирован: 07 апр 2019, 14:40
Контактная информация:

Re: Windows-клиенты PPP и классовые подсети

Сообщение chexov » 07 апр 2019, 15:13

172.16.0.0/16
Еще бы статью по созданию site-to-site и client-to-site на классовой маршрутизации в VPN без ручного прописывания маршрутов и выключенного удаленного шлюза на компьютере.

128.1.0.0/16 а разве windows понимает, он все видит сети класса B и может маршрутизировать?

https://mum.mikrotik.com/presentations/ ... smghCoge8E

Аватара пользователя
Chupaka
Сообщения: 2145
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Windows-клиенты PPP и классовые подсети

Сообщение Chupaka » 07 апр 2019, 22:15

Без выключенного удалённого шлюза на компьютере - увы, никак. По умолчанию всё течёт в VPN на венде.
chexov писал(а):
07 апр 2019, 15:13
128.1.0.0/16 а разве windows понимает, он все видит сети класса B и может маршрутизировать?
Перефразируйте, пожалуйста, а то я пока не понимаю вопроса...

chexov
Сообщения: 5
Зарегистрирован: 07 апр 2019, 14:40
Контактная информация:

Re: Windows-клиенты PPP и классовые подсети

Сообщение chexov » 08 апр 2019, 02:12

Chupaka писал(а):
07 апр 2019, 22:15
Без выключенного удалённого шлюза на компьютере - увы, никак. По умолчанию всё течёт в VPN на венде.
Вроде как правильно с выключенным (снять галочку) "Использовать основной шлюз в удаленной сети" https://www.youtube.com/watch?v=4wW9rPoDi_k
Последний раз редактировалось chexov 08 апр 2019, 02:21, всего редактировалось 1 раз.

chexov
Сообщения: 5
Зарегистрирован: 07 апр 2019, 14:40
Контактная информация:

Re: Windows-клиенты PPP и классовые подсети

Сообщение chexov » 08 апр 2019, 02:18

Если вы используете 10.0.0.0.8 или 172.16.0.0/16 то не надо маршруты прокидывать и Использовать основной шлюз в удаленной сети на компьютере.
chexov писал(а):
07 апр 2019, 15:13
128.1.0.0/16 а разве windows понимает, он все видит сети класса B и может маршрутизировать?
Перефразируйте, пожалуйста, а то я пока не понимаю вопроса...

chexov
Сообщения: 5
Зарегистрирован: 07 апр 2019, 14:40
Контактная информация:

Re: Windows-клиенты PPP и классовые подсети

Сообщение chexov » 08 апр 2019, 02:51

Хотеться настраивать VPN чтоб интернет трафик не шел через удаленный шлюз.

Аватара пользователя
Chupaka
Сообщения: 2145
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Windows-клиенты PPP и классовые подсети

Сообщение Chupaka » 08 апр 2019, 11:45

chexov писал(а):
08 апр 2019, 02:12
Вроде как правильно с выключенным (снять галочку) "Использовать основной шлюз в удаленной сети"
Всё верно, я так и сказал.
chexov писал(а):
08 апр 2019, 02:18
Если вы используете 10.0.0.0.8 или 172.16.0.0/16 то не надо маршруты прокидывать и Использовать основной шлюз в удаленной сети на компьютере.
Скажем так, вы мыслите стереотипными масками подсетей. При любом адресе может быть подобрана конфигурация, когда не надо "маршруты прокидывать". Например, выбираем 192.168.123.0/24, выделяем для локалки подсетку 192.168.123.0/25 (адреса 192.168.123.2-192.168.123.125, шлюз 192.168.123.1), а для VPN-клиентов - 192.168.123.128/25 (пул 192.168.123.128-192.168.123.255).
chexov писал(а):
08 апр 2019, 02:51
Хотеться настраивать VPN чтоб интернет трафик не шел через удаленный шлюз.
Для этого надо снимать галку, как написано выше, и правильно планировать адресное пространство, как написано выше :)

Ответить