Страница 1 из 2
маршрут для VPN
Добавлено: 07 ноя 2023, 17:23
dobryachok
Доброго времени суток, очень пожалуйста помогите, история такова: есть 2 микрота, с подсетями 192.168.0.0/24 и 192.168.10.0/24, на втором развёрнут VPN сервер через l2tp, на подсети 192.168.32.0/24. Суть проблемы: пользователь подключается по VPN к микроту, прописывает на пк маршрут, отключает шлюз и может попасть в 10ю подсеть, но не может в 0ю, как мне настроить так, что бы пользователь, подключившийся по VPN имел доступ в обе подсети? Я с микротами только начал работать, потому заранее извиняюсь за кривое и безграмотное объяснение(
Re: маршрут для VPN
Добавлено: 07 ноя 2023, 22:10
xvo
При наличии рабочего туннеля между микротиками - пользователю нужен маршрут и до второй (дальней) сети тоже, а на дальнем микротике - в свою очередь маршрут до сети 192.168.32.0/24.
Ну и чтобы firewall'ы на микротиках не запрещали хождение всего этого.
Re: маршрут для VPN
Добавлено: 08 ноя 2023, 10:15
dobryachok
xvo писал(а): ↑07 ноя 2023, 22:10
При наличии рабочего туннеля между микротиками - пользователю нужен маршрут и до второй (дальней) сети тоже, а на дальнем микротике - в свою очередь маршрут до сети 192.168.32.0/24.
Ну и чтобы firewall'ы на микротиках не запрещали хождение всего этого.
на сколько я понимаю оно должно выглядеть примерно так, верно?
Re: маршрут для VPN
Добавлено: 08 ноя 2023, 12:46
xvo
Только если примерно: вам нужен маршрут до /24 сети через конкртеный /32 адрес, а у вас до адреса через адрес, и оба адреса не существуют (являются адресами сетей, а не устройств).
Re: маршрут для VPN
Добавлено: 08 ноя 2023, 13:27
dobryachok
xvo писал(а): ↑08 ноя 2023, 12:46
Только если примерно: вам нужен маршрут до /24 сети через конкртеный /32 адрес, а у вас до адреса через адрес, и оба адреса не существуют (являются адресами сетей, а не устройств).
если я верно понимаю dst. address это адрес (пул адресов, если через /хх), куда поступает трафик, а gateway это шлюз через который он идёт, а pref. source это с какой сети трафик поступает, верно? если так, то прописываю:
dst. address: 192.168.0.0/24
gateway: 192.168.0.1
pref. source 192.168.32.0
заранее извиняюсь если дичь несу)
Re: маршрут для VPN
Добавлено: 08 ноя 2023, 14:01
xvo
Pref. source - это то, с каким адресом предпочтительно отправлять трафик по этому маршруту, если он создается непосредственно на маршрутизаторе.
Для проходящего трафика оно не используется.
И вообще непосредственно в маршруте никак не участвует информация о том, откуда пакет пришел.
Так что на первом микротике маршрут вам нужен с dst-address=192.168.32.0/24 и gateway=адрес_второго микротика_на_туннеле (если это тот же L2TP, то вероятнее всего gateway=192.168.32.1).
А pref-source не нужен вовсе.
Плюс к этому наверняка нужен маршрут до 10 подсети (хотя это и отдельная задача):
dst-address=192.168.10.0/24 gateway=192.168.32.1
На втором же микротике нужен маршрут до 0 подсети:
dst-address=192.168.0.0/24 gateway=192.168.32.X
где X зависит от того какой адрес на туннеле уже у первого микротика.
Re: маршрут для VPN
Добавлено: 08 ноя 2023, 15:11
dobryachok
xvo писал(а): ↑08 ноя 2023, 14:01
Pref. source - это то, с каким адресом предпочтительно отправлять трафик по этому маршруту, если он создается непосредственно на маршрутизаторе.
Для проходящего трафика оно не используется.
И вообще непосредственно в маршруте никак не участвует информация о том, откуда пакет пришел.
Так что на первом микротике маршрут вам нужен с
dst-address=192.168.32.0/24 и gateway=адрес_второго микротика_на_туннеле (если это тот же L2TP, то вероятнее всего
gateway=192.168.32.1).
А pref-source не нужен вовсе.
Плюс к этому наверняка нужен маршрут до 10 подсети (хотя это и отдельная задача):
dst-address=192.168.10.0/24 gateway=192.168.32.1
На втором же микротике нужен маршрут до 0 подсети:
dst-address=192.168.0.0/24 gateway=192.168.32.X
где X зависит от того какой адрес на туннеле уже у первого микротика.
если я правильно понимаю на 10-м микроте я прописываю маршрут до 10-й подсети и маршрут до туннеля, на 0-м же микроте я прописываю маршрут с изначальной подсети VPN-a до 0-й подсети и таким образом 32-я подсеть (сеть VPN-a) получает доступ к 10-й подсети и к 0й через туннель. я просто пытаюсь понять всю эту химию и вникнуть, что бы потом понимать что и как я делаю)
Re: маршрут для VPN
Добавлено: 08 ноя 2023, 21:00
xvo
Нет.
Маршруты нужны до сетей, которых на конкретном устройстве нет и про которые оно не знает.
И через адреса, которые наоборот ему уже известны тем или иным образом.
То есть до которых маршрут у него уже есть.
Re: маршрут для VPN
Добавлено: 10 ноя 2023, 10:28
dobryachok
xvo писал(а): ↑08 ноя 2023, 21:00
Нет.
Маршруты нужны до сетей, которых на конкретном устройстве нет и про которые оно не знает.
И через адреса, которые наоборот ему уже известны тем или иным образом.
То есть до которых маршрут у него уже есть.
и так, я умудрился положить микрот, съездить его восстановить, попытаться снова и в итоге всё равно ничего не заработало...
вот скрины маршрутов с 10го микрота
(172.17.254.0/30 это адрес второго по политике IPsec, пробовал ввести внешний ip и на сколько я понял именно это послужило причиной отвала 10го микрота)
а вот скрины маршрутов со 0го микрота
по итогам без маршрута на самом компе не пингуется ни 10я, ни, тем более, 0я подсети... из понимания осталось только то, что я деревянный
Re: маршрут для VPN
Добавлено: 10 ноя 2023, 10:51
xvo
Ничего не понятно:
1) Зачем вы пытаетесь создавать маршруты на роутере до его собственных локальных подсетей?
2) IPSec тут у вас каким боком участвует? Какого типа вообще туннель между роутерами?