маршрут для VPN

dobryachok · 07 ноя 2023, 17:23

Доброго времени суток, очень пожалуйста помогите, история такова: есть 2 микрота, с подсетями 192.168.0.0/24 и 192.168.10.0/24, на втором развёрнут VPN сервер через l2tp, на подсети 192.168.32.0/24. Суть проблемы: пользователь подключается по VPN к микроту, прописывает на пк маршрут, отключает шлюз и может попасть в 10ю подсеть, но не может в 0ю, как мне настроить так, что бы пользователь, подключившийся по VPN имел доступ в обе подсети? Я с микротами только начал работать, потому заранее извиняюсь за кривое и безграмотное объяснение(

xvo · 07 ноя 2023, 22:10

При наличии рабочего туннеля между микротиками - пользователю нужен маршрут и до второй (дальней) сети тоже, а на дальнем микротике - в свою очередь маршрут до сети 192.168.32.0/24.
Ну и чтобы firewall'ы на микротиках не запрещали хождение всего этого.

dobryachok · 08 ноя 2023, 10:15

xvo писал(а): ↑07 ноя 2023, 22:10 При наличии рабочего туннеля между микротиками - пользователю нужен маршрут и до второй (дальней) сети тоже, а на дальнем микротике - в свою очередь маршрут до сети 192.168.32.0/24.
Ну и чтобы firewall'ы на микротиках не запрещали хождение всего этого.

на сколько я понимаю оно должно выглядеть примерно так, верно?

xvo · 08 ноя 2023, 12:46

Только если примерно: вам нужен маршрут до /24 сети через конкртеный /32 адрес, а у вас до адреса через адрес, и оба адреса не существуют (являются адресами сетей, а не устройств).

dobryachok · 08 ноя 2023, 13:27

xvo писал(а): ↑08 ноя 2023, 12:46 Только если примерно: вам нужен маршрут до /24 сети через конкртеный /32 адрес, а у вас до адреса через адрес, и оба адреса не существуют (являются адресами сетей, а не устройств).

если я верно понимаю dst. address это адрес (пул адресов, если через /хх), куда поступает трафик, а gateway это шлюз через который он идёт, а pref. source это с какой сети трафик поступает, верно? если так, то прописываю:

dst. address: 192.168.0.0/24
gateway: 192.168.0.1
pref. source 192.168.32.0

заранее извиняюсь если дичь несу)

xvo · 08 ноя 2023, 14:01

Pref. source - это то, с каким адресом предпочтительно отправлять трафик по этому маршруту, если он создается непосредственно на маршрутизаторе.
Для проходящего трафика оно не используется.
И вообще непосредственно в маршруте никак не участвует информация о том, откуда пакет пришел.

Так что на первом микротике маршрут вам нужен с dst-address=192.168.32.0/24 и gateway=адрес_второго микротика_на_туннеле (если это тот же L2TP, то вероятнее всего gateway=192.168.32.1).
А pref-source не нужен вовсе.
Плюс к этому наверняка нужен маршрут до 10 подсети (хотя это и отдельная задача):
dst-address=192.168.10.0/24 gateway=192.168.32.1

На втором же микротике нужен маршрут до 0 подсети:
dst-address=192.168.0.0/24 gateway=192.168.32.X
где X зависит от того какой адрес на туннеле уже у первого микротика.

dobryachok · 08 ноя 2023, 15:11

xvo писал(а): ↑08 ноя 2023, 14:01 Pref. source - это то, с каким адресом предпочтительно отправлять трафик по этому маршруту, если он создается непосредственно на маршрутизаторе.
Для проходящего трафика оно не используется.
И вообще непосредственно в маршруте никак не участвует информация о том, откуда пакет пришел.

Так что на первом микротике маршрут вам нужен с dst-address=192.168.32.0/24 и gateway=адрес_второго микротика_на_туннеле (если это тот же L2TP, то вероятнее всего gateway=192.168.32.1).
А pref-source не нужен вовсе.
Плюс к этому наверняка нужен маршрут до 10 подсети (хотя это и отдельная задача):
dst-address=192.168.10.0/24 gateway=192.168.32.1

На втором же микротике нужен маршрут до 0 подсети:
dst-address=192.168.0.0/24 gateway=192.168.32.X
где X зависит от того какой адрес на туннеле уже у первого микротика.

если я правильно понимаю на 10-м микроте я прописываю маршрут до 10-й подсети и маршрут до туннеля, на 0-м же микроте я прописываю маршрут с изначальной подсети VPN-a до 0-й подсети и таким образом 32-я подсеть (сеть VPN-a) получает доступ к 10-й подсети и к 0й через туннель. я просто пытаюсь понять всю эту химию и вникнуть, что бы потом понимать что и как я делаю)

xvo · 08 ноя 2023, 21:00

Нет.
Маршруты нужны до сетей, которых на конкретном устройстве нет и про которые оно не знает.
И через адреса, которые наоборот ему уже известны тем или иным образом.
То есть до которых маршрут у него уже есть.

dobryachok · 10 ноя 2023, 10:28

xvo писал(а): ↑08 ноя 2023, 21:00 Нет.
Маршруты нужны до сетей, которых на конкретном устройстве нет и про которые оно не знает.
И через адреса, которые наоборот ему уже известны тем или иным образом.
То есть до которых маршрут у него уже есть.

и так, я умудрился положить микрот, съездить его восстановить, попытаться снова и в итоге всё равно ничего не заработало...

вот скрины маршрутов с 10го микрота

(172.17.254.0/30 это адрес второго по политике IPsec, пробовал ввести внешний ip и на сколько я понял именно это послужило причиной отвала 10го микрота)

а вот скрины маршрутов со 0го микрота

по итогам без маршрута на самом компе не пингуется ни 10я, ни, тем более, 0я подсети... из понимания осталось только то, что я деревянный

xvo · 10 ноя 2023, 10:51

Ничего не понятно:
1) Зачем вы пытаетесь создавать маршруты на роутере до его собственных локальных подсетей?
2) IPSec тут у вас каким боком участвует? Какого типа вообще туннель между роутерами?

маршрут для VPN

Вход • Регистрация