smart85 Опубликовано 27 июня, 2017 · Жалоба Коллеги, добрый день! Подняли сервер OVPN на микротике, авторизация ppp через RADIUS, RADIUS на Network Policy Server Win2016. Проблема в том, что не можем передать клиенту маршруты через RADIUS атрибут Framed-Route, судя по логу MT - при Access-Accept атрибут улетает на микротик, но у клиента маршрут не появляется. Данный функционал вообще должен работать на OVPN сервере? Или маршруты разруливать в конфиге клиентов через route-method exe; route X.X.X.X M.A.S.K G.A.T.E;? спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 29 июня, 2017 · Жалоба Эх, даже СааБ не предлагает установить второй микротик :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 4 октября, 2017 (изменено) · Жалоба Коллеги, апну тему, ковыряние с форматом атрибута ничего не принесло, а вопрос крайне актуален. Выяснилось следующее, получив раут через радиус атрибут, МТ не отправляет его клиенту, а заносит в свою локальную таблицу маршрутизации: Oct/04/2017 18:38:09 radius,debug,packet AAA: Framed-Route = "192.168.88.0/24 192.168.72.1" Oct/04/2017 18:38:09 route,debug,event ROUTE: state=CANDIDATE Oct/04/2017 18:38:09 route,debug,event ROUTE: dst-prefix=192.168.88.0/24 Oct/04/2017 18:38:09 route,debug,event ROUTE: attributes Oct/04/2017 18:38:09 route,debug,event ROUTE: protocol=DYNAMIC Oct/04/2017 18:38:09 route,debug,event ROUTE: distance=1 Oct/04/2017 18:38:09 route,debug,event ROUTE: scope=30 Oct/04/2017 18:38:09 route,debug,event ROUTE: target-scope=10 Oct/04/2017 18:38:09 route,debug,event ROUTE: next-hop= address=192.168.72.1 Oct/04/2017 18:38:09 route,debug,event ROUTE: origin-type=DYNAMIC Изменено 4 октября, 2017 пользователем mse.rus77 дополнение инфы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 5 октября, 2017 (изменено) · Жалоба mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента. Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает. Изменено 5 октября, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 5 октября, 2017 · Жалоба 4 часа назад, nkusnetsov сказал: mse.rus77 , всё верно. Это атрибут указывающий подсеть клиента. Это сеть за клиентским IP, чтобы микротик знал куда отправлять пакеты для устройств в сети клиента. Ересь типа "Push Route" (настраивать маршруте на клиенте) ovpn микротика не поддерживает. т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 октября, 2017 · Жалоба 6 часов назад, mse.rus77 сказал: т.е. кроме как в клиентском конфиге запушить рауты статикой иных вариантов нет? Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 11 октября, 2017 · Жалоба В 05.10.2017 в 17:51, Saab95 сказал: Есть, нужно поставить клиенту перед своим компьютером микротик, который будет авторизовываться и на нем указываете нужные маршруты. Ага, два микротика. Че нет-то. И будет у меня каждый удаленный юзер еще железо таскать. Дичь... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 11 октября, 2017 · Жалоба 2 часа назад, mse.rus77 сказал: Дичь... Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 11 октября, 2017 · Жалоба есть маршрут по-умолчанию. Через него и должно все ходить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 11 октября, 2017 (изменено) · Жалоба 1 час назад, DRiVen сказал: Инжектирование маршрутов на удаленную машину - галимый костыль. С учетом той еще адекватности в реализации сетевого стека на виндах младше ХРюни - успехов в реализации. некрософтом не пользуемся. на ХР и выше проблем нет. с unix-клиентами тем более проблем нет. Но сейчас мы юзаем сервер openvpn на linux-server`е. И к сожалению, в силу некоторых причин его придется заменить на некротик, о чем я лично очень жалею. Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? 37 минут назад, myth сказал: есть маршрут по-умолчанию. Через него и должно все ходить. Если речь про рядового абонента, да. У меня не рядовые абоненты, а инженеры, и им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение. Изменено 11 октября, 2017 пользователем mse.rus77 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 11 октября, 2017 · Жалоба 49 минут назад, mse.rus77 сказал: Кстати, а о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз". 1 час назад, mse.rus77 сказал: им нужно через ВПН иметь доступ до определенных ресурсов, а инет не заворачивать в VPN-подключение. Вам инета для них жалко? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 11 октября, 2017 · Жалоба 35 минут назад, DRiVen сказал: Наличие на рабочей станции двух и более маршрутов - да, костыль, безотносительно технологии предоставления такового. Не конечного узла дело разбирать маршруты, у него д.б. только дефолт, "одна сеть - один шлюз". Вам инета для них жалко? Мы с вами похоже в разных "мирах" живем и думаю смысла с вами обсуждать мою проблему нет. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 октября, 2017 · Жалоба 21 час назад, mse.rus77 сказал: о раздаче маршрутов клиенту через DHCP тоже - голимый костыль? Да. Который еще и работает не всегда так, как хотелось бы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...