Перейти к содержимому
Калькуляторы

CCR1036-12G-4S OVPN server + radius Как передать клиенту маршруты через RADIUS атрибут Framed-Route?

Коллеги, добрый день!

Подняли сервер OVPN на микротике, авторизация ppp через RADIUS, RADIUS на Network Policy Server Win2016.

Проблема в том, что не можем передать клиенту маршруты через RADIUS атрибут Framed-Route, судя по логу MT - при Access-Accept атрибут улетает на микротик, но у клиента маршрут не появляется. Данный функционал вообще должен работать на OVPN сервере? Или маршруты разруливать в конфиге клиентов через route-method exe; route X.X.X.X M.A.S.K G.A.T.E;?

 

спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Эх, даже СааБ не предлагает установить второй микротик :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, апну тему, ковыряние с форматом атрибута ничего не принесло, а вопрос крайне актуален.

 

Выяснилось следующее, получив раут через радиус атрибут, МТ не отправляет его клиенту, а заносит в свою локальную таблицу маршрутизации:

 

Oct/04/2017 18:38:09 radius,debug,packet AAA:     Framed-Route = "192.168.88.0/24 192.168.72.1"

Oct/04/2017 18:38:09 route,debug,event ROUTE:     state=CANDIDATE
Oct/04/2017 18:38:09 route,debug,event ROUTE:     dst-prefix=192.168.88.0/24
Oct/04/2017 18:38:09 route,debug,event ROUTE:     attributes
Oct/04/2017 18:38:09 route,debug,event ROUTE:         protocol=DYNAMIC
Oct/04/2017 18:38:09 route,debug,event ROUTE:         distance=1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         scope=30
Oct/04/2017 18:38:09 route,debug,event ROUTE:         target-scope=10
Oct/04/2017 18:38:09 route,debug,event ROUTE:         next-hop= address=192.168.72.1
Oct/04/2017 18:38:09 route,debug,event ROUTE:         origin-type=DYNAMIC

Изменено пользователем mse.rus77
дополнение инфы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, nkusnetsov сказал:

mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента.
Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает.

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, mse.rus77 сказал:

т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет?

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 05.10.2017 в 17:51, Saab95 сказал:

Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты.

Ага, два микротика. Че нет-то. И будет у меня каждый удаленный юзер еще железо таскать. Дичь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, mse.rus77 сказал:

Дичь...

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть маршрут по-умолчанию. Через него и должно все ходить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, DRiVen сказал:

Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации.

некрософтом не пользуемся. на ХР и выше проблем нет. с unix-клиентами тем более проблем нет. Но сейчас мы юзаем сервер openvpn на linux-server`е. И к сожалению, в силу некоторых причин его придется заменить на некротик, о чем я лично очень жалею. 

 

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

 

37 минут назад, myth сказал:

есть маршрут по-умолчанию. Через него и должно все ходить.

Если речь про рядового абонента, да.

У меня не рядовые абоненты, а инженеры, и им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Изменено пользователем mse.rus77

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

49 минут назад, mse.rus77 сказал:

Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль?

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

1 час назад, mse.rus77 сказал:

им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение.

Вам инета для них жалко?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

35 минут назад, DRiVen сказал:

Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз".

Вам инета для них жалко?

Мы с вами похоже в разных "мирах" живем и думаю смысла с вами обсуждать мою проблему нет. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 час назад, mse.rus77 сказал:

о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 

Да. Который еще и работает не всегда так, как хотелось бы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.