Маршрутизация в l2tp ipsec
-
- Сообщения: 29
- Зарегистрирован: 07 ноя 2017, 09:47
Маршрутизация в l2tp ipsec
Есть микротик с lan ip 10.96.1.1 и соответсвенно сеть 10.96.1.0/24. На нём настроен l2tp ipsec с такой адресацией 10.96.0.0/24. Как настроить микротик, чтобы при подключении клиента по l2tp ipsec ему выдавался маршрут на сеть 10.0.0.0 с маской 255.0.0.0
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация в l2tp ipsec
Если клиент Windows - то он сам должен добавлять такой маршрут. Чтобы не добавлял, надо в свойствах VPN-подключения, свойствах "IP версии 4", Дополнительно - снять галку "Использовать основной шлюз в удалённой сети" и поставить "Отключить добавление маршрута, основанное на классе".
Форсировать добавление маршрута со стороны сервера нельзя.
Если клиент какой-нибудь Android - в свойствах подключения можно задать список маршрутов, которые будут создаваться при подключении.
Форсировать добавление маршрута со стороны сервера нельзя.
Если клиент какой-нибудь Android - в свойствах подключения можно задать список маршрутов, которые будут создаваться при подключении.
-
- Сообщения: 29
- Зарегистрирован: 07 ноя 2017, 09:47
Re: Маршрутизация в l2tp ipsec
Всё, что вы сказали, я понимаю. Сейчас столкнулся с интересной ситуацией. Есть железка DFL800 где настроен l2tp ipsec vpn с параметрами описанными выше. Железку было решено заменить в связи с нестабильной работой(зависает время от времени). Меняем соответственно на микротик. И тут всплывает такой момент. DFl выдаёт удалённым клиентам адрес из пула 10.96.0.100-10.96.0.200 и клиент получает маршрут на сеть 10.0.0.0. Локальная сеть за DFL имеет адресацию 10.96.1.0/24. Я не могу понять как это реализовано.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация в l2tp ipsec
Что именно реализовано? Выдача маршрута? Он выдаётся так, как я написал, или не так? Вы ответили, так и не пояснив этот момент.
Если интересует просто выдача PPP-клиентам адресов из адресного пространства локальной сети - тогда необходимо не забыть на LAN-интерфейсе включить ARP-Proxy, чтобы локальные клиенты могли найти PPP-клиентов.
-
- Сообщения: 29
- Зарегистрирован: 07 ноя 2017, 09:47
Re: Маршрутизация в l2tp ipsec
Постараюсь прояснить. VPN сервер выдаёт адреса клиентам из пула 10.96.0.100-10.96.0.200. Локальная сеть за сервером 10.96.1.0/24. Когда я подключаюсь через впн, то получаю адрес 10.96.0.101 и шлюз 10.96.0.1 и маршрут в сеть 10.0.0.0/8. После этого через этот впн я могу не указывая основной шлюз в сети в настройках впн ходить как в сеть 10.96.0.0/24 так и в сеть 10.96.1.0/24. А по логике вещей я должен был получить маршрут в сеть 10.96.0.0/24 и иметь доступ только туда. Это если не указывать основной шлюз и не прописывать дополнительные маршруты. Хочу понять как тоже самое сделать на микротике.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация в l2tp ipsec
Это реализуется расширением DHCP для PPP от Microsoft (да и вполне возможно, что 10.0.0.0/8 всё равно будет устанавливаться при этом), MikroTik такое в RouterOS не реализовывали, увы. Список маршрутов клиенту передать не получится.
-
- Сообщения: 29
- Зарегистрирован: 07 ноя 2017, 09:47
Re: Маршрутизация в l2tp ipsec
Если я правильно понял то DFL800 от DLINk это умеет? Просто я не видел там для этого настроек.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация в l2tp ipsec
Если при подключении к DFL800 вы получаете маршрут 10.96.0.0/24 через VPN - значит, умеет.
Но я до сих пор не понял задачу: вам надо что-то настроить, чтобы работало, или надо именно продублировать поведение какого-то конкретного оборудования другого вендора?
Но я до сих пор не понял задачу: вам надо что-то настроить, чтобы работало, или надо именно продублировать поведение какого-то конкретного оборудования другого вендора?
-
- Сообщения: 29
- Зарегистрирован: 07 ноя 2017, 09:47
Re: Маршрутизация в l2tp ipsec
В данном конкретном случае хотел продублировать работу DFL800.