VPN и доступ к ресурсам

RIP, OSFP, BGP, MPLS/VPLS
Ответить
sanya_rnd
Сообщения: 5
Зарегистрирован: 15 дек 2016, 13:45

VPN и доступ к ресурсам

Сообщение sanya_rnd »

Добрый день.

Есть микротик с белым IP, на котором настроен SSTP сервер.
Клиент подключается к микротику, траффик клиента идет через микротик, все хорошо.
Хочется чтобы клиент мог также достучаться до ресурсов за микротиком, и наоборот -- клиенты за микротиком могли достучаться до VPN-клиента.

В одну сторону задачу я смог решить при помощи включения proxy-arp для моста, в который объединены все интерфейсы (ether/wi-fi) и выделением пула адресов для VPN в той же подсети, что и у клиентов за микротиком (если пул для VPN в другой подсети -- ничего не работает). Но я все также не могу достучаться до VPN-клиента из сети за микротиком.

Вопроса два:
1) Как реализовать доступ для клиентов за микротиком к VPN-клиенту в текущей конфигурации?
2) Не то чтобы важно, но как можно связать другую подсеть (для VPN) и подсеть за микротиком? Я предполагаю, что проблема в маршрутизации, но как-то не соображу, что нужно настроить и как.
То есть есть две пула адресов:
192.168.88.0/24 -- за микротиком (указан в DNS сервере и привязан к LAN bridge)
192.168.99.0/24 -- для VPN (указан в vpn profile)
При подключении к VPN клиент из 99 пула может обращаться к 88, и наоборот.

Я не системный администратор, задача домашняя, если можно, то с ответом добавьте объяснение/скажите про что почитать.


Конфигурация:

bridge:

Код: Выделить всё

[mikrotik@MikroTik hAP AC] > /interface bridge export 

/interface bridge
add admin-mac=6C:3B:6B:11:FA:B9 arp=proxy-arp auto-mac=no fast-forward=no name=lan-bridge protocol-mode=none
add fast-forward=no name=voip-bridge protocol-mode=none

/interface bridge port
add bridge=lan-bridge interface=lan-wifi-5ghz
add bridge=lan-bridge interface=lan-wifi-2.4ghz
add bridge=lan-bridge interface=lan-eth2
add bridge=voip-bridge hw=no interface=voip-eth1
add bridge=voip-bridge interface=voip-vlan-sfp-tagged
add bridge=lan-bridge interface=lan-eth3
add bridge=lan-bridge interface=lan-eth4
add bridge=lan-bridge interface=lan-eth5
PPP:

Код: Выделить всё

[mikrotik@MikroTik hAP AC] > /ppp export 

/ppp profile
add local-address=vpn-pool name=vpn-ppp-profile remote-address=vpn-pool use-encryption=required

/ppp secret
add name=user password=****** profile=vpn-ppp-profile
Pool:

Код: Выделить всё

[mikrotik@MikroTik hAP AC] > /ip pool export 

/ip pool
add name=lan-dhcp-pool ranges=192.168.88.10-192.168.88.100
add name=vpn-pool ranges=192.168.88.160-192.168.88.200
Firewall:

Код: Выделить всё

[mikrotik@MikroTik hAP AC] > /ip firewall export

/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON

/ip firewall filter
add action=drop chain=input in-interface=wan-pppoe src-address-list=BOGON
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add chain=input connection-state=established
add chain=input connection-state=related

/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan-pppoe
address :

Код: Выделить всё

[mikrotik@MikroTik hAP AC] > /ip address  export 

/ip address
add address=192.168.88.1/24 interface=lan-bridge network=192.168.88.0
dhcp-server:

Код: Выделить всё

[mikrotik@MikroTik hAP AC] > /ip dhcp-server export  

/ip dhcp-server
add address-pool=lan-dhcp-pool authoritative=after-2sec-delay disabled=no interface=lan-bridge lease-time=2d name=lan-dhcp-server

/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 netmask=24
Ответить