Jump to content

CCR1036-12G-4S OVPN server + radius

smart85
 Share

Recommended Posts

smart85

smart85

Posted
Posted

Коллеги, добрый день!

Подняли сервер OVPN на микротике, авторизация ppp через RADIUS, RADIUS на Network Policy Server Win2016.

Проблема в том, что не можем передать клиенту маршруты через RADIUS атрибут Framed-Route, судя по логу MT - при Access-Accept атрибут улетает на микротик, но у клиента маршрут не появляется. Данный функционал вообще должен работать на OVPN сервере? Или маршруты разруливать в конфиге клиентов через route-method exe; route X.X.X.X M.A.S.K G.A.T.E;?

 

спасибо!

  • 3 months later...
smart85

smart85

Posted
  • Author
Posted (edited)

Коллеги, апну тему, ковыряние с форматом атрибута ничего не принесло, а вопрос крайне актуален.

 

Выяснилось следующее, получив раут через радиус атрибут, МТ не отправляет его клиенту, а заносит в свою локальную таблицу маршрутизации:

 

Oct/04/2017 18:38:09 radius,debug,packet AAA:     Framed-Route = "192.168.88.0/24 192.168.72.1"

Oct/04/2017 18:38:09 route,debug,event ROUTE:     state=CANDIDATE
Oct/04/2017 18:38:09 route,debug,event ROUTE:     dst-prefix=192.168.88.0/24
Oct/04/2017 18:38:09 route,debug,event ROUTE:     attributes
Oct/04/2017 18:38:09 route,debug,event ROUTE:         protocol=DYNAMIC
Oct/04/2017 18:38:09 route,debug,event ROUTE:         distance=1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         scope=30
Oct/04/2017 18:38:09 route,debug,event ROUTE:         target-scope=10
Oct/04/2017 18:38:09 route,debug,event ROUTE:         next-hop= address=192.168.72.1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         origin-type=DYNAMIC

Edited by mse.rus77
дополнение инфы
nkusnetsov

nkusnetsov

Posted
Posted (edited)

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

Edited by nkusnetsov
smart85

smart85

Posted
  • Author
Posted
4 часа назад, nkusnetsov сказал:

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Saab95

Saab95

Posted
Posted
6 часов назад, mse.rus77 сказал:

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

smart85

smart85

Posted
  • Author
Posted
В 05.10.2017 в 17:51, Saab95 сказал:

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Ага, два микротика. Че нет-то. И будет у меня каждый удаленный юзер еще железо таскать. Дичь...

DRiVen

DRiVen

Posted
Posted
2 часа назад, mse.rus77 сказал:

Дичь...

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

smart85

smart85

Posted
  • Author
Posted (edited)
1 час назад, DRiVen сказал:

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

некрософтом не пользуемся. на ХР и выше проблем нет. с unix-клиентами тем более проблем нет. Но сейчас мы юзаем сервер openvpn на linux-server`е. И к сожалению, в силу некоторых причин его придется заменить на некротик, о чем я лично очень жалею. 

 

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

 

37 минут назад, myth сказал:

есть маршрут по-умолчанию. Через него и должно все ходить.

Если речь про рядового абонента, да.

У меня не рядовые абоненты, а инженеры, и им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Edited by mse.rus77
DRiVen

DRiVen

Posted
Posted
49 минут назад, mse.rus77 сказал:

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль?

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

1 час назад, mse.rus77 сказал:

им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Вам инета для них жалко?

smart85

smart85

Posted
  • Author
Posted
35 минут назад, DRiVen сказал:

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

Вам инета для них жалко?

Мы с вами похоже в разных "мирах" живем и думаю смысла с вами обсуждать мою проблему нет. Спасибо.

myth

myth

Posted
Posted
21 час назад, mse.rus77 сказал:

о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

Да. Который еще и работает не всегда так, как хотелось бы

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.