Маршрутизация в l2tp ipsec

RIP, OSFP, BGP, MPLS/VPLS
Ответить
alex911k
Сообщения: 27
Зарегистрирован: 07 ноя 2017, 09:47

Маршрутизация в l2tp ipsec

Сообщение alex911k »

Есть микротик с lan ip 10.96.1.1 и соответсвенно сеть 10.96.1.0/24. На нём настроен l2tp ipsec с такой адресацией 10.96.0.0/24. Как настроить микротик, чтобы при подключении клиента по l2tp ipsec ему выдавался маршрут на сеть 10.0.0.0 с маской 255.0.0.0
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация в l2tp ipsec

Сообщение Chupaka »

Если клиент Windows - то он сам должен добавлять такой маршрут. Чтобы не добавлял, надо в свойствах VPN-подключения, свойствах "IP версии 4", Дополнительно - снять галку "Использовать основной шлюз в удалённой сети" и поставить "Отключить добавление маршрута, основанное на классе".

Форсировать добавление маршрута со стороны сервера нельзя.

Если клиент какой-нибудь Android - в свойствах подключения можно задать список маршрутов, которые будут создаваться при подключении.
alex911k
Сообщения: 27
Зарегистрирован: 07 ноя 2017, 09:47

Re: Маршрутизация в l2tp ipsec

Сообщение alex911k »

Всё, что вы сказали, я понимаю. Сейчас столкнулся с интересной ситуацией. Есть железка DFL800 где настроен l2tp ipsec vpn с параметрами описанными выше. Железку было решено заменить в связи с нестабильной работой(зависает время от времени). Меняем соответственно на микротик. И тут всплывает такой момент. DFl выдаёт удалённым клиентам адрес из пула 10.96.0.100-10.96.0.200 и клиент получает маршрут на сеть 10.0.0.0. Локальная сеть за DFL имеет адресацию 10.96.1.0/24. Я не могу понять как это реализовано.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация в l2tp ipsec

Сообщение Chupaka »

alex911k писал(а): 08 ноя 2017, 10:45 Я не могу понять как это реализовано.
Что именно реализовано? Выдача маршрута? Он выдаётся так, как я написал, или не так? Вы ответили, так и не пояснив этот момент.

Если интересует просто выдача PPP-клиентам адресов из адресного пространства локальной сети - тогда необходимо не забыть на LAN-интерфейсе включить ARP-Proxy, чтобы локальные клиенты могли найти PPP-клиентов.
alex911k
Сообщения: 27
Зарегистрирован: 07 ноя 2017, 09:47

Re: Маршрутизация в l2tp ipsec

Сообщение alex911k »

Постараюсь прояснить. VPN сервер выдаёт адреса клиентам из пула 10.96.0.100-10.96.0.200. Локальная сеть за сервером 10.96.1.0/24. Когда я подключаюсь через впн, то получаю адрес 10.96.0.101 и шлюз 10.96.0.1 и маршрут в сеть 10.0.0.0/8. После этого через этот впн я могу не указывая основной шлюз в сети в настройках впн ходить как в сеть 10.96.0.0/24 так и в сеть 10.96.1.0/24. А по логике вещей я должен был получить маршрут в сеть 10.96.0.0/24 и иметь доступ только туда. Это если не указывать основной шлюз и не прописывать дополнительные маршруты. Хочу понять как тоже самое сделать на микротике.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация в l2tp ipsec

Сообщение Chupaka »

alex911k писал(а): 08 ноя 2017, 12:46 А по логике вещей я должен был получить маршрут в сеть 10.96.0.0/24 и иметь доступ только туда.
Это реализуется расширением DHCP для PPP от Microsoft (да и вполне возможно, что 10.0.0.0/8 всё равно будет устанавливаться при этом), MikroTik такое в RouterOS не реализовывали, увы. Список маршрутов клиенту передать не получится.
alex911k
Сообщения: 27
Зарегистрирован: 07 ноя 2017, 09:47

Re: Маршрутизация в l2tp ipsec

Сообщение alex911k »

Если я правильно понял то DFL800 от DLINk это умеет? Просто я не видел там для этого настроек.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация в l2tp ipsec

Сообщение Chupaka »

Если при подключении к DFL800 вы получаете маршрут 10.96.0.0/24 через VPN - значит, умеет.

Но я до сих пор не понял задачу: вам надо что-то настроить, чтобы работало, или надо именно продублировать поведение какого-то конкретного оборудования другого вендора?
alex911k
Сообщения: 27
Зарегистрирован: 07 ноя 2017, 09:47

Re: Маршрутизация в l2tp ipsec

Сообщение alex911k »

В данном конкретном случае хотел продублировать работу DFL800.
Ответить