Startnik Posted February 6, 2019 · Report post Вопрос наверно не совсем по mikrotik-у, но начинающему возможно простительно.... Есть локальная сеть организации 192.168.1.0/24, стоит задача подключаться к расшаренным ресурсам для "разьездных" сотрудников по VPN. Я запустил на 951-ом микротике VPN сервер PPTP, L2TP , выдаю клиентам адреса из той же подсети ( непересекающиеся с адресами локального пула ), все вроде работает как надо. Однако я понял, что если клиент вдруг подключиться из локалки с этой-же подсетью 192.168.1.0/24 ( чем естественно управлять невозможно ) - получим фигвам...Как решается вопрос в таком случае ? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
poisons Posted February 6, 2019 · Report post 1. Использовать серые сети, которые обычно висят по умолчанию в сети организации - дурной тон. 2. А кто запрещает выдавать "разъездным" адреса из любой другой серой сети? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted February 6, 2019 · Report post 1. Где использовать, поясните.... 2. Никто не запрещает, но "разьездной" всяко может оказаться в сети какой-либо гостинницы 192.168.1.0/24 и обращаться к ресурсу тоже будет в сеть 192.168.1.0/24 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 6, 2019 · Report post 6 часов назад, Startnik сказал: получим фигвам А конкретнее? Клиенту вообще безразлично, в какой сети работать. 23 минуты назад, Startnik сказал: и обращаться к ресурсу тоже будет в сеть 192.168.1.0/24 И что с того? Подключитесь и выполните команду route print. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted February 6, 2019 · Report post 3 minutes ago, alibek said: А конкретнее? Клиенту вообще безразлично, в какой сети работать. И что с того? Подключитесь и выполните команду route print. 1.Конкретнее - в "локальной" сети клиента и в удаленной офисной сети допустим будут одинаковые адреса 192.168.1.100 и понадобится обратится к нему....куда будет обращение ? 2.Чтобы подключиться к офису из такой же локалки мне ее надо сымитировать.... это уже завтра... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted February 6, 2019 · Report post @Startnik Если локальная сеть с такой же адресацией, доступа к ней после подключения по VPN не будет, т.к. маршрут через VPN добавляется с меньшей метрикой. Доступ к удаленной сети будет. Можно использовать для VPN клиентов адреса из другой подсети, например 172.16.0.0/12, такой проблемы не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted February 6, 2019 · Report post 1 minute ago, McSea said: @Startnik Если локальная сеть с такой же адресацией, доступа к ней после подключения по VPN не будет, т.к. маршрут через VPN добавляется с меньшей метрикой. Доступ к удаленной сети будет. Можно использовать для VPN клиентов адреса из другой подсети, например 172.16.0.0/12, такой проблемы не будет. Хорошо, например клиент получит по VPN адрес из диапазона 172.16.0.0/12, а в локальной сети гостиницы все же из 192.168.1.0/24 Теперь набирает он в обычном Проводнике для обращения к ресурсу адрес \\192.168.1.100 - в какую сеть и почему пойдет обращение ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted February 6, 2019 (edited) · Report post 28 minutes ago, Startnik said: Хорошо, например клиент получит по VPN адрес из диапазона 172.16.0.0/12, а в локальной сети гостиницы все же из 192.168.1.0/24 Теперь набирает он в обычном Проводнике для обращения к ресурсу адрес \\192.168.1.100 - в какую сеть и почему пойдет обращение ? В локальную сеть, если дополнительно не добавляется маршрут на 192.168.1.0/24 с меньшей метрикой через VPN каким-либо образом - вручную, через командный файл, либо powershell. Для доступа к удаленным ресурсам в таком случае надо также использовать адреса из 172.16.0.0/12, которые можно dst-nat-ить в соответствующие адреса 1-й подсети на микротике. Смотрите, что вам и сотрудникам нужно/будет удобнее, при доступе из гостиницы наверно не большая проблема, если одновременно локальные и удаленные ресурсы не доступны. Edited February 6, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Startnik Posted February 6, 2019 · Report post 3 minutes ago, McSea said: Для доступа к удаленным ресурсам в таком случае надо также использовать адреса из 172.16.0.0/12, которые можно dst-nat-ить в соответствующие адреса 1-й подсети на микротике. Можно пример, как сделать ? Т.е. мне нужно взять произвольный адрес из vpn-диапазона и " dst-nat-ить" их на нужный адрес офисной сети ? ( на vpn интерфейсе ? ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted February 6, 2019 · Report post 22 minutes ago, Startnik said: Т.е. мне нужно взять произвольный адрес из vpn-диапазона и " dst-nat-ить" их на нужный адрес офисной сети ? ( на vpn интерфейсе ? ) Минимально так add action=dst-nat chain=dstnat dst-address=172.16.1.100 to-addresses=192.168.1.100 Для ограничения по входящим интерфейсам удобно сделать динамический интерфейс лист для VPN клиентов, прописывается в PPP профиле. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 6, 2019 · Report post 1 час назад, Startnik сказал: куда будет обращение Туда, куда укажет таблица маршрутизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...