Windows-клиенты PPP и классовые подсети
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Windows-клиенты PPP и классовые подсети
Подытоживая тему Windows-клиентов PPP и их маршрутов на локальные сети, оставлю это здесь для истории.
- Если раздавать PPTP, L2TP и прочий SSTP - то винда при подключении может добавлять себе маршрут на классовую подсеть. Если remote address (получаемый клиентом) из диапазона 1.0.0.0-126.255.255.255 - добавляется маршрут с маской /8, если 128.1.0.0-191.255.255.255 - то /16, если 192.0.0.0-223.255.254.255 - то /24. Т.е. можно выбрать сеть нужной ширины, побить её на подсети для локальных юзеров и впн - и спокойно пользоваться без ручного прописывания маршрутов.
- Можно раздавать маршруты через IPSec IKEv2 Mode Config, но Винда умеет его только с сертификатами, в pre-shared key она не умеет, поэтому для реализации надо будет генерить ключики на роутере и устанавливать сертификат на клиента.
Ну и всегда остаётся костыль в виде выдачи клиентам VPN адресов из подсети локалки и использования Proxy-ARP на локалку.
- Если раздавать PPTP, L2TP и прочий SSTP - то винда при подключении может добавлять себе маршрут на классовую подсеть. Если remote address (получаемый клиентом) из диапазона 1.0.0.0-126.255.255.255 - добавляется маршрут с маской /8, если 128.1.0.0-191.255.255.255 - то /16, если 192.0.0.0-223.255.254.255 - то /24. Т.е. можно выбрать сеть нужной ширины, побить её на подсети для локальных юзеров и впн - и спокойно пользоваться без ручного прописывания маршрутов.
- Можно раздавать маршруты через IPSec IKEv2 Mode Config, но Винда умеет его только с сертификатами, в pre-shared key она не умеет, поэтому для реализации надо будет генерить ключики на роутере и устанавливать сертификат на клиента.
Ну и всегда остаётся костыль в виде выдачи клиентам VPN адресов из подсети локалки и использования Proxy-ARP на локалку.
-
- Сообщения: 9
- Зарегистрирован: 07 апр 2019, 14:40
Re: Windows-клиенты PPP и классовые подсети
172.16.0.0/16
Еще бы статью по созданию site-to-site и client-to-site на классовой маршрутизации в VPN без ручного прописывания маршрутов и выключенного удаленного шлюза на компьютере.
128.1.0.0/16 а разве windows понимает, он все видит сети класса B и может маршрутизировать?
https://mum.mikrotik.com/presentations/ ... smghCoge8E
Еще бы статью по созданию site-to-site и client-to-site на классовой маршрутизации в VPN без ручного прописывания маршрутов и выключенного удаленного шлюза на компьютере.
128.1.0.0/16 а разве windows понимает, он все видит сети класса B и может маршрутизировать?
https://mum.mikrotik.com/presentations/ ... smghCoge8E
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 9
- Зарегистрирован: 07 апр 2019, 14:40
Re: Windows-клиенты PPP и классовые подсети
Вроде как правильно с выключенным (снять галочку) "Использовать основной шлюз в удаленной сети" https://www.youtube.com/watch?v=4wW9rPoDi_k
Последний раз редактировалось chexov 08 апр 2019, 02:21, всего редактировалось 1 раз.
-
- Сообщения: 9
- Зарегистрирован: 07 апр 2019, 14:40
Re: Windows-клиенты PPP и классовые подсети
Если вы используете 10.0.0.0.8 или 172.16.0.0/16 то не надо маршруты прокидывать и Использовать основной шлюз в удаленной сети на компьютере.
-
- Сообщения: 9
- Зарегистрирован: 07 апр 2019, 14:40
Re: Windows-клиенты PPP и классовые подсети
Хотеться настраивать VPN чтоб интернет трафик не шел через удаленный шлюз.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Windows-клиенты PPP и классовые подсети
Всё верно, я так и сказал.
Скажем так, вы мыслите стереотипными масками подсетей. При любом адресе может быть подобрана конфигурация, когда не надо "маршруты прокидывать". Например, выбираем 192.168.123.0/24, выделяем для локалки подсетку 192.168.123.0/25 (адреса 192.168.123.2-192.168.123.125, шлюз 192.168.123.1), а для VPN-клиентов - 192.168.123.128/25 (пул 192.168.123.128-192.168.123.255).
Для этого надо снимать галку, как написано выше, и правильно планировать адресное пространство, как написано выше
-
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Windows-клиенты PPP и классовые подсети
Добрый день!
Почитав всё это, посмотрев видео и презентацию из него, решил, прежде чем переводить офисы на правильную адресацию, попробовать "на столе" настроить так:
MT1:
/ppp profile
add change-tcp-mss=yes local-address=172.16.10.1 name=L2TP only-one=no use-compression=yes use-encryption=yes
/ppp secret
add local-address=172.16.10.1 name=Ofis2 password=Ofis2 profile=L2TP remote-address=172.16.20.1 service=l2tp
add local-address=172.16.10.1 name=PC password=PC profile=L2TP remote-address=172.16.1.200 service=l2tp
возникло несколько вопросов:
1. Правильно я понимаю, что два Микротика (подписаны красным) являются шлюзами в офисах и соединены по VPN site-to-site?
2. Правильно понимаю, что для РС VPN адрес выдает МТ1?
3. Надо ли при такой адресации прописывать статические маршруты между МТ1 и МТ2?
4. При таких настройках РС получает маску 255.255.255.255, а не как в презентации и видео 255.255.0.0
Или я что-то не так понимаю?
Спасибо!
Почитав всё это, посмотрев видео и презентацию из него, решил, прежде чем переводить офисы на правильную адресацию, попробовать "на столе" настроить так:
MT1:
/ppp profile
add change-tcp-mss=yes local-address=172.16.10.1 name=L2TP only-one=no use-compression=yes use-encryption=yes
/ppp secret
add local-address=172.16.10.1 name=Ofis2 password=Ofis2 profile=L2TP remote-address=172.16.20.1 service=l2tp
add local-address=172.16.10.1 name=PC password=PC profile=L2TP remote-address=172.16.1.200 service=l2tp
возникло несколько вопросов:
1. Правильно я понимаю, что два Микротика (подписаны красным) являются шлюзами в офисах и соединены по VPN site-to-site?
2. Правильно понимаю, что для РС VPN адрес выдает МТ1?
3. Надо ли при такой адресации прописывать статические маршруты между МТ1 и МТ2?
4. При таких настройках РС получает маску 255.255.255.255, а не как в презентации и видео 255.255.0.0
Или я что-то не так понимаю?
Спасибо!
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Windows-клиенты PPP и классовые подсети
Добрый.
1. Да
2. Да
3. Да.
4. Всё верно, но на нём помимо адреса с 255.255.255.255 должен появляться дополнительный маршрут с 255.255.0.0
1. Да
2. Да
3. Да.
4. Всё верно, но на нём помимо адреса с 255.255.255.255 должен появляться дополнительный маршрут с 255.255.0.0
-
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Windows-клиенты PPP и классовые подсети
Да, отключил использование удаленного шлюза и маршрут появился.
Но нету доступа в 172.16.20.0, а в 172.16.10.0 есть. Или надо маршрут прописывать? На видео говорилось, если я все правильно путаю, что маршруты не нужно прописывать.
Proxy-arp не нужно в данной схеме включать?
Но нету доступа в 172.16.20.0, а в 172.16.10.0 есть. Или надо маршрут прописывать? На видео говорилось, если я все правильно путаю, что маршруты не нужно прописывать.
Proxy-arp не нужно в данной схеме включать?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Windows-клиенты PPP и классовые подсети
Вы трассировку сделайте - увидите, где пропадает или не туда идёт.
Вы какой маршрут имеете в виду?
Proxy-arp нужен, когда у VPN-клиентов адреса в локальной подсети, для доступа к этой подсети.
Вы какой маршрут имеете в виду?
Proxy-arp нужен, когда у VPN-клиентов адреса в локальной подсети, для доступа к этой подсети.
-
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Windows-клиенты PPP и классовые подсети
на МТ1 у меня прописано:
/ip route
add distance=1 dst-address=172.16.20.0/24 gateway=172.16.20.1
На МТ2:
/ip route
add distance=1 dst-address=172.16.10.0/24 gateway=172.16.10.1
Трассировка:
Чего не хватает, чтобы с РС получить доступ к 172.16.20.0?
/ip route
add distance=1 dst-address=172.16.20.0/24 gateway=172.16.20.1
На МТ2:
/ip route
add distance=1 dst-address=172.16.10.0/24 gateway=172.16.10.1
Трассировка:
Чего не хватает, чтобы с РС получить доступ к 172.16.20.0?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Windows-клиенты PPP и классовые подсети
Надо МТ2 рассказать, где прячется 172.16.1.0/24
Код: Выделить всё
/ip route
add distance=1 dst-address=172.16.1.0/24 gateway=172.16.10.1
-
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Windows-клиенты PPP и классовые подсети
А можно это:
add distance=1 dst-address=172.16.10.0/24 gateway=172.16.10.1
add distance=1 dst-address=172.16.1.0/24 gateway=172.16.10.1
заменить на:
add distance=1 dst-address=172.16.0.0/16 gateway=172.16.10.1
?
На случай если ещё офисы будут
Или уже неправильно будет?
add distance=1 dst-address=172.16.10.0/24 gateway=172.16.10.1
add distance=1 dst-address=172.16.1.0/24 gateway=172.16.10.1
заменить на:
add distance=1 dst-address=172.16.0.0/16 gateway=172.16.10.1
?
На случай если ещё офисы будут
Или уже неправильно будет?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Windows-клиенты PPP и классовые подсети
Вполне правильно. Всю 172.16.0/16 отправлять на МТ1, если неизвестно более детального маршрута - нормальная практика.
-
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Windows-клиенты PPP и классовые подсети
Спасибо Вам, мудрейший!
-
- Сообщения: 9
- Зарегистрирован: 07 апр 2019, 14:40
Re: Windows-клиенты PPP и классовые подсети
Кстати в последних прошивках, mikrotik прописываются маршруты (надо отключить в свойствах ip tcp шлюз удаленной сети)
Раньше если отключал шлюз, то пропадал интернет и надо было прописывать маршруты.
Раньше если отключал шлюз, то пропадал интернет и надо было прописывать маршруты.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Windows-клиенты PPP и классовые подсети
А можно чуть подробностей? Какие маршруты где прописываются?