Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

RIP, OSFP, BGP, MPLS/VPLS
anto$hka
Сообщения: 6
Зарегистрирован: 28 дек 2018, 03:09

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение anto$hka » 28 дек 2018, 03:28

Добрый день, уважаемые форумчане.

Для меня очень актуальна информация из этой темы.
Я тоже настраиваю Remote Access - доступ для людей в полях для подключения к Офису.
Само подключение L2TP я настроил и проблем с ним нет( использовал вот эту статью https://bozza.ru/art-248.html ).
Галочку "Использовать основной шлюз в удаленной сети" я убрал и моя сеть стала работать хорошо, но вот в офисную локалку-то маршрута нет.
Пока я так и не понял как добавить нужный мне маршрут для доступа к офисной сети, ну то есть сам я вручную маршрут на MS Win могу добавить, но пользователи точно не будут этого делать.
Помогите, пожалуйста, советом как прокинуть нужный мне маршрут на удаленных хостах, которые цепляются к этому VPN.

P.S. Решил вывернуться так сделал пул адресов из той же сети что и локальная сеть и включил proxy-arp на бридже.
И да смог зайти на серваки в офисе.
Всем спасибо и с наступающими праздниками! :D

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Chupaka » 28 дек 2018, 12:50

К сожалению, "та же сеть" ничего не объясняет, ибо нужна конкретика. Вот я месяц назад в одном чатике писал, сохраню и тут для истории:
В общем, подытоживая тему Windows-клиентов PPP и их маршрутов на локальные сети.

- Если раздавать PPTP, L2TP и прочий SSTP - то винда при подключении может добавлять себе маршрут на классовую подсеть. Если remote address (получаемый клиентом) из диапазона 1.0.0.0-126.255.255.255 - добавляется маршрут /8, если 128.1.0.0-191.255.255.255 - /16, если 192.0.0.0-223.255.254.255 - /24. Т.е. можно выбрать сеть нужной ширины, побить её на подсети для локальных юзеров и впн - и спокойно пользоваться без ручного прописывания маршрутов.

- Можно раздавать маршруты через IPSec IKEv2 Mode Config, но Венда умеет его только с сертификатами, в pre-shared key она не умеет, поэтому для реализации надо будет генерить ключики на роутере и устанавливать сертификат на клиента.

Ну и всегда остаётся костыль в виде выдачи клиентам VPN адресов из подсети локалки и использования Proxy-ARP на локалку.
Т.е. маска подсети для добавляемого маршрута выбирается на основании получаемого адреса; у 192.168.1.2 и 10.168.1.2 совершенно разные результаты :)

anto$hka
Сообщения: 6
Зарегистрирован: 28 дек 2018, 03:09

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение anto$hka » 11 янв 2019, 08:38

Уважаемый Chupaka, спасибо за полезную инфу.

Мой вариант это сеть с маской 24. У меня в локалке с серверами сеть 192.168.10.0/24. Поскольку там всего 20 хостов, я нарезал пул на 30 адресов из этой сети, планируемый для remote-юзеров. И да заработало это всё только после включения Proxy-ARP на бридже с этой сетью.

И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку. Проверить правда не успел CMAK в винде там вроде есть этап когда можно маршрутную инфу вставить.

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Chupaka » 11 янв 2019, 11:05

anto$hka писал(а):
11 янв 2019, 08:38
И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку.
Так я же написал, что он автоматом должен добавляться, если не снимать соответствующую галку в подключении.

Т.е. клиент подключается, получает 192.168.10.123 - и автоматом добавляет маршрут на 192.168.10.0/24 через VPN.

anto$hka
Сообщения: 6
Зарегистрирован: 28 дек 2018, 03:09

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение anto$hka » 12 янв 2019, 15:46

Что-то не пойму про какую галку идет речь.
Про галочку, которая в свойствах соединения - Использовать в качестве основного шлюза шлюз в удаленной сети ?
Так даже если ее снять хост все равно получит маршрут в сеть 192.168.10.0/24, только уже через временный шлюз.
Вот как сейчас у меня дома с включенным L2TP на win7:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.13.1 192.168.13.243 25
95.154.66.127 255.255.255.255 192.168.13.1 192.168.13.243 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 192.168.10.80 192.168.10.79 26
192.168.10.79 255.255.255.255 On-link 192.168.10.79 281

А чтобы я сразу из дома смог пойти скажем в сеть 192.168.0.0/16 то есть не только в мой офис но и в локальные сети соседних филиалов, нужно прописать маршрут типа такого:
route add 192.168.0.0 netmask 255.255.0.0 gw 192.168.10.79
При этом 192.168.10.79 это я так понимаю адрес временного туннеля на стороне микротика ?

Правда, дома у меня используется уже сеть 192.168.13.0/24, но это частности.

Аватара пользователя
Chupaka
Сообщения: 1452
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Chupaka » 12 янв 2019, 16:19

Там вторая галка ещё должна быть рядом с использованием основного шлюза в удалённой сети. Что-то про классовый маршрут.

А про добавление нужного маршрута я написал выше. Т.е. если сеть 192.168.10.0/24 заменить на 172.16.10.0/24 - то при подключении клиент получит, например, адрес 172.16.10.79 - и добавит маршрут к подсети 172.16.0.0/16 (а не /24, как с сетью 192.168). Так что в компьютерных сетях тоже желательно планировать заранее, какие маршруты будут нужны, и выбирать адресацию соответственно. Если вы выбрали 192.168.13.0/24 и сейчас хотите автоматический маршрут /16 - вы ССЗБ, используйте какие-нибудь костыли в виде ручного добавления маршрута :)

Ответить