Коллеги, добрый день!

Подняли сервер OVPN на микротике, авторизация ppp через RADIUS, RADIUS на Network Policy Server Win2016.

Проблема в том, что не можем передать клиенту маршруты через RADIUS атрибут Framed-Route, судя по логу MT - при Access-Accept атрибут улетает на микротик, но у клиента маршрут не появляется. Данный функционал вообще должен работать на OVPN сервере? Или маршруты разруливать в конфиге клиентов через route-method exe; route X.X.X.X M.A.S.K G.A.T.E;?

 

спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Эх, даже СааБ не предлагает установить второй микротик :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Коллеги, апну тему, ковыряние с форматом атрибута ничего не принесло, а вопрос крайне актуален.

 

Выяснилось следующее, получив раут через радиус атрибут, МТ не отправляет его клиенту, а заносит в свою локальную таблицу маршрутизации:

 

Oct/04/2017 18:38:09 radius,debug,packet AAA:     Framed-Route = "192.168.88.0/24 192.168.72.1"

Oct/04/2017 18:38:09 route,debug,event ROUTE:     state=CANDIDATE
Oct/04/2017 18:38:09 route,debug,event ROUTE:     dst-prefix=192.168.88.0/24
Oct/04/2017 18:38:09 route,debug,event ROUTE:     attributes
Oct/04/2017 18:38:09 route,debug,event ROUTE:         protocol=DYNAMIC
Oct/04/2017 18:38:09 route,debug,event ROUTE:         distance=1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         scope=30
Oct/04/2017 18:38:09 route,debug,event ROUTE:         target-scope=10
Oct/04/2017 18:38:09 route,debug,event ROUTE:         next-hop= address=192.168.72.1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         origin-type=DYNAMIC

Изменено пользователем mse.rus77
дополнение инфы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, nkusnetsov сказал:

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, mse.rus77 сказал:

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 05.10.2017 в 17:51, Saab95 сказал:

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Ага, два микротика. Че нет-то. И будет у меня каждый удаленный юзер еще железо таскать. Дичь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, mse.rus77 сказал:

Дичь...

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

есть маршрут по-умолчанию. Через него и должно все ходить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, DRiVen сказал:

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

некрософтом не пользуемся. на ХР и выше проблем нет. с unix-клиентами тем более проблем нет. Но сейчас мы юзаем сервер openvpn на linux-server`е. И к сожалению, в силу некоторых причин его придется заменить на некротик, о чем я лично очень жалею. 

 

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

 

37 минут назад, myth сказал:

есть маршрут по-умолчанию. Через него и должно все ходить.

Если речь про рядового абонента, да.

У меня не рядовые абоненты, а инженеры, и им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Изменено пользователем mse.rus77

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
49 минут назад, mse.rus77 сказал:

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль?

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

1 час назад, mse.rus77 сказал:

им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Вам инета для них жалко?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
35 минут назад, DRiVen сказал:

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

Вам инета для них жалко?

Мы с вами похоже в разных "мирах" живем и думаю смысла с вами обсуждать мою проблему нет. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
21 час назад, mse.rus77 сказал:

о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

Да. Который еще и работает не всегда так, как хотелось бы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти
Подписчики 0