Jump to content
Калькуляторы

CCR1036-12G-4S OVPN server + radius Как передать клиенту маршруты через RADIUS атрибут Framed-Route?

Reply to this topic

smart85   

smart85
Posted

Коллеги, добрый день!

Подняли сервер OVPN на микротике, авторизация ppp через RADIUS, RADIUS на Network Policy Server Win2016.

Проблема в том, что не можем передать клиенту маршруты через RADIUS атрибут Framed-Route, судя по логу MT - при Access-Accept атрибут улетает на микротик, но у клиента маршрут не появляется. Данный функционал вообще должен работать на OVPN сервере? Или маршруты разруливать в конфиге клиентов через route-method exe; route X.X.X.X M.A.S.K G.A.T.E;?

 

спасибо!

Share this post

Link to post
Share on other sites

smart85   

smart85
Posted (edited)

Коллеги, апну тему, ковыряние с форматом атрибута ничего не принесло, а вопрос крайне актуален.

 

Выяснилось следующее, получив раут через радиус атрибут, МТ не отправляет его клиенту, а заносит в свою локальную таблицу маршрутизации:

 

Oct/04/2017 18:38:09 radius,debug,packet AAA:     Framed-Route = "192.168.88.0/24 192.168.72.1"

Oct/04/2017 18:38:09 route,debug,event ROUTE:     state=CANDIDATE
Oct/04/2017 18:38:09 route,debug,event ROUTE:     dst-prefix=192.168.88.0/24
Oct/04/2017 18:38:09 route,debug,event ROUTE:     attributes
Oct/04/2017 18:38:09 route,debug,event ROUTE:         protocol=DYNAMIC
Oct/04/2017 18:38:09 route,debug,event ROUTE:         distance=1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         scope=30
Oct/04/2017 18:38:09 route,debug,event ROUTE:         target-scope=10
Oct/04/2017 18:38:09 route,debug,event ROUTE:         next-hop= address=192.168.72.1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         origin-type=DYNAMIC

Edited by mse.rus77
дополнение инфы

Share this post

Link to post
Share on other sites

nkusnetsov   

nkusnetsov
Posted (edited)

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

Edited by nkusnetsov

Share this post

Link to post
Share on other sites

smart85   

smart85
Posted
4 часа назад, nkusnetsov сказал:

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted
6 часов назад, mse.rus77 сказал:

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Share this post

Link to post
Share on other sites

smart85   

smart85
Posted
В 05.10.2017 в 17:51, Saab95 сказал:

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Ага, два микротика. Че нет-то. И будет у меня каждый удаленный юзер еще железо таскать. Дичь...

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted
2 часа назад, mse.rus77 сказал:

Дичь...

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

Share this post

Link to post
Share on other sites

smart85   

smart85
Posted (edited)
1 час назад, DRiVen сказал:

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

некрософтом не пользуемся. на ХР и выше проблем нет. с unix-клиентами тем более проблем нет. Но сейчас мы юзаем сервер openvpn на linux-server`е. И к сожалению, в силу некоторых причин его придется заменить на некротик, о чем я лично очень жалею. 

 

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

 

37 минут назад, myth сказал:

есть маршрут по-умолчанию. Через него и должно все ходить.

Если речь про рядового абонента, да.

У меня не рядовые абоненты, а инженеры, и им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Edited by mse.rus77

Share this post

Link to post
Share on other sites

DRiVen   

DRiVen
Posted
49 минут назад, mse.rus77 сказал:

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль?

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

1 час назад, mse.rus77 сказал:

им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Вам инета для них жалко?

Share this post

Link to post
Share on other sites

smart85   

smart85
Posted
35 минут назад, DRiVen сказал:

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

Вам инета для них жалко?

Мы с вами похоже в разных "мирах" живем и думаю смысла с вами обсуждать мою проблему нет. Спасибо.

Share this post

Link to post
Share on other sites

myth   

myth
Posted
21 час назад, mse.rus77 сказал:

о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

Да. Который еще и работает не всегда так, как хотелось бы

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы