[mse.rus77]

Коллеги, добрый день!

Подняли сервер OVPN на микротике, авторизация ppp через RADIUS, RADIUS на Network Policy Server Win2016.

Проблема в том, что не можем передать клиенту маршруты через RADIUS атрибут Framed-Route, судя по логу MT - при Access-Accept атрибут улетает на микротик, но у клиента маршрут не появляется. Данный функционал вообще должен работать на OVPN сервере? Или маршруты разруливать в конфиге клиентов через route-method exe; route X.X.X.X M.A.S.K G.A.T.E;?

 

спасибо!

[mse.rus77]

Эх, даже СааБ не предлагает установить второй микротик :(

[mse.rus77]

Коллеги, апну тему, ковыряние с форматом атрибута ничего не принесло, а вопрос крайне актуален.

 

Выяснилось следующее, получив раут через радиус атрибут, МТ не отправляет его клиенту, а заносит в свою локальную таблицу маршрутизации:

 

Oct/04/2017 18:38:09 radius,debug,packet AAA:     Framed-Route = "192.168.88.0/24 192.168.72.1"

Oct/04/2017 18:38:09 route,debug,event ROUTE:     state=CANDIDATE
Oct/04/2017 18:38:09 route,debug,event ROUTE:     dst-prefix=192.168.88.0/24
Oct/04/2017 18:38:09 route,debug,event ROUTE:     attributes
Oct/04/2017 18:38:09 route,debug,event ROUTE:         protocol=DYNAMIC
Oct/04/2017 18:38:09 route,debug,event ROUTE:         distance=1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         scope=30
Oct/04/2017 18:38:09 route,debug,event ROUTE:         target-scope=10
Oct/04/2017 18:38:09 route,debug,event ROUTE:         next-hop= address=192.168.72.1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         origin-type=DYNAMIC

Edited October 4, 2017 by mse.rus77
дополнение инфы

[nkusnetsov]

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

Edited October 5, 2017 by nkusnetsov

[mse.rus77]

4 часа назад, nkusnetsov сказал:

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

[Saab95]

6 часов назад, mse.rus77 сказал:

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

[mse.rus77]

В 05.10.2017 в 17:51, Saab95 сказал:

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Ага, два микротика. Че нет-то. И будет у меня каждый удаленный юзер еще железо таскать. Дичь...

[DRiVen]

2 часа назад, mse.rus77 сказал:

Дичь...

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

[myth]

есть маршрут по-умолчанию. Через него и должно все ходить.

[mse.rus77]

1 час назад, DRiVen сказал:

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

некрософтом не пользуемся. на ХР и выше проблем нет. с unix-клиентами тем более проблем нет. Но сейчас мы юзаем сервер openvpn на linux-server`е. И к сожалению, в силу некоторых причин его придется заменить на некротик, о чем я лично очень жалею. 

 

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

 

37 минут назад, myth сказал:

есть маршрут по-умолчанию. Через него и должно все ходить.

Если речь про рядового абонента, да.

У меня не рядовые абоненты, а инженеры, и им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Edited October 11, 2017 by mse.rus77

[DRiVen]

49 минут назад, mse.rus77 сказал:

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль?

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

1 час назад, mse.rus77 сказал:

им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Вам инета для них жалко?

[mse.rus77]

35 минут назад, DRiVen сказал:

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

Вам инета для них жалко?

Мы с вами похоже в разных "мирах" живем и думаю смысла с вами обсуждать мою проблему нет. Спасибо.

[myth]

21 час назад, mse.rus77 сказал:

о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

Да. Который еще и работает не всегда так, как хотелось бы