VPN - какой лучше выбрать

[Chupaka]

1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"

на всякий случай: это лишь запрещает клиентам этой AP слать пакеты друг другу. маршрутизация на другие интерфейсы продолжает работать, как и раньше

рекомендую всё же вынести негостевой VPN в другую подсеть и заблокировать к нему ненужный доступ в файрволе ибо даже при включении Proxy-ARP широковещательные пакеты от и к VPN-клиентам лететь не будут, а задействование дополнительного функционала, если можно обойтись без него - это какая-то скользкая тропка

[bear]

1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"

на всякий случай: это лишь запрещает клиентам этой AP слать пакеты друг другу. маршрутизация на другие интерфейсы продолжает работать, как и раньше

а как лучше полностью заизолировать этих пользователей?
дропать в фаерволе доступ с 192.168.11.2-192.168.11.10 на 192.168.1.30-192.168.1.254?

рекомендую всё же вынести негостевой VPN в другую подсеть и заблокировать к нему ненужный доступ в файрволе

не совсем понимаю зачем это делать
пул адресов для негостевого VPN (т.е. моего VPN-аккаунта) и для домашних компов относятся к 192.168.1.0/24 и я как раз хочу, чтобы мой комп, подключенный к моему VPN-аккаунту имел доступ к локальным ресурсам

мне кажется, я что-то упускаю, или опять неправильно объяснил

upd:
только что подключился к соседскому wifi, включил VPN и не смог подключиться к компам в домашней сети
похоже, действительно что-то не понимаю

[Chupaka]

а как лучше полностью заизолировать этих пользователей?
дропать в фаерволе доступ с 192.168.11.2-192.168.11.10 на 192.168.1.30-192.168.1.254?

"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить

не совсем понимаю зачем это делать

чтобы не ставить костыль в виде Proxy-ARP

пул адресов для негостевого VPN (т.е. моего VPN-аккаунта) и для домашних компов относятся к 192.168.1.0/24 и я как раз хочу, чтобы мой комп, подключенный к моему VPN-аккаунту имел доступ к локальным ресурсам

ну, скажем так, это не совсем правильно с точки зрения дизайна сети, когда одна и та же подсеть расположена на разных интерфейсах

включил VPN и не смог подключиться к компам в домашней сети

Proxy-ARP включен?..

[bear]

"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить

на данный момент у меня в фаерволе drop forward from 192.168.11.0/24 (гостевой wifi) to 192.168.1.0/24 (негостевые/домашние адреса)
этого недостаточно?

ну, скажем так, это не совсем правильно с точки зрения дизайна сети, когда одна и та же подсеть расположена на разных интерфейсах

понял, переделаю
что нужно сделать чтобы "разрешить доступ" из новой подсети в основную домашнюю подсеть?

включил VPN и не смог подключиться к компам в домашней сети

Proxy-ARP включен?..

нет, не включал
на моём старом роутере было достаточно, чтобы адреса были в одной подсети, думал и тут так получится

[HA3APET]

Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.
http://savepic.ru/9009858.png

[bear]

Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.
http://savepic.ru/9009858.png

спасибо, попробую

[Chupaka]

"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить

на данный момент у меня в фаерволе drop forward from 192.168.11.0/24 (гостевой wifi) to 192.168.1.0/24 (негостевые/домашние адреса)
этого недостаточно?

в данный момент - видимо, достаточно. при появлении других подсетей их придётся дописывать. я за более универсальные методы из-за своей человеческой лени

что нужно сделать чтобы "разрешить доступ" из новой подсети в основную домашнюю подсеть?

знаю только, что делать НЕ надо на чистом конфиге: не надо этот доступ запрещать. а чтобы разрешить, если он не работает - надо знать, как запретили

на моём старом роутере было достаточно, чтобы адреса были в одной подсети, думал и тут так получится

сложно комментировать сферический роутер в вакууме

Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.

можно и так. только всё компьютеры из локалки будут видеть обращения не с адреса VPN-клиента, а от самого роутера, и "общение" возможно только в одну сторону, т.е. из локалки подключиться к VPN-клиенту всё равно не получится

[bear]

ясно, что ничего не ясно
не хватает мне знаний
буду разбираться
спасибо

[Chupaka]

Спрашивайте, предлагайте, разберёмся

[Mirolub]

Добра и света!

Нужна помощЬ! От слова ОЧЕНЬ, выбран VPN сервис платный, там файлы ovpn со списком серверов + сертификаты 2048бит -значит нужны скрипты но какие?, есть RB2011 с вафлей, но, как настроить это всё???
Маны курил, простые вещи - да, но, как сделать чтобы трафик не выходил из локалки от слова ВАЩЕ в инет к провайдеру пока не поднимется VPN ? Как при отвале одного канала wan1, поднимался чтобы 4Ж и после того, как он поднимится - поднимался VPN и только потом разрешался трафик из локалки наружу? Как при этом еще и одновременно сделать чтобы микротик был еще и сервером ipsec +l2tp на 3 клиента(это вроде настроил сам) но роутинг и фаерволл как правильно и главное в каком порядке правила? Как попадать в сеть локалки через 4Ж(wan2), когда поднят VPN и вся локалка в нём? Как видеть других пользователей l2tp в одной сети чтобы например напрямую чатиться? Помогите, плиз, готов дать за оперативность денег ибо микротик для меня даже после цисок - оказался непосильной задачей Чупака, помоги плиз не обижу, Андрей о тебе очень хорошо отзывался и заранее благодарю и жду, оч. надо. Мыло простое stakhanovbeer@гмылтчкком.

[Chupaka]

под такие вопросы лучше создавать отдельные темы (даже не одну, наверное)

и проблема может быть уже на самом старте: OVPN-клиент в RouterOS не поддерживает, насколько знаю, авторизацию только по ключам (необходимо имя пользователя + ключ). ещё он не поддерживает режим UDP (только TCP), что тоже может быть важно

чтобы трафик не выходил к провайдеру вообще - достаточно либо не добавлять маршрут через провайдера, либо запретить в фильтре файрвола forward в интерфейс провайдера

по умолчанию пользователи l2tp друг друга и так видят, если это не запретить правилами фильтра файрвола

ну и далее по тексту