Jump to content
Калькуляторы

Подскажите по VPN...

Вопрос наверно не совсем по mikrotik-у, но начинающему возможно простительно....

Есть локальная сеть организации 192.168.1.0/24, стоит задача подключаться к расшаренным ресурсам для "разьездных" сотрудников по VPN.

Я запустил на 951-ом микротике VPN сервер PPTP, L2TP , выдаю клиентам адреса из той же подсети ( непересекающиеся с адресами локального пула ), все вроде работает как надо.

Однако я понял, что если клиент вдруг подключиться из локалки с этой-же подсетью 192.168.1.0/24 ( чем естественно управлять невозможно )  - получим фигвам...Как решается вопрос в таком случае ?

Спасибо.

 

Share this post


Link to post
Share on other sites

1. Использовать серые сети, которые обычно висят по умолчанию в сети организации - дурной тон.
2. А кто запрещает выдавать "разъездным" адреса из любой другой серой сети?

Share this post


Link to post
Share on other sites

1. Где использовать, поясните....

 

2. Никто не запрещает, но "разьездной" всяко может оказаться в сети какой-либо гостинницы 192.168.1.0/24 и обращаться к ресурсу тоже будет в сеть 192.168.1.0/24

Share this post


Link to post
Share on other sites

6 часов назад, Startnik сказал:

получим фигвам

А конкретнее?

Клиенту вообще безразлично, в какой сети работать.

 

 

23 минуты назад, Startnik сказал:

и обращаться к ресурсу тоже будет в сеть 192.168.1.0/24

И что с того?

Подключитесь и выполните команду route print.

Share this post


Link to post
Share on other sites

3 minutes ago, alibek said:

А конкретнее?

Клиенту вообще безразлично, в какой сети работать.

 

 

И что с того?

Подключитесь и выполните команду route print.

1.Конкретнее - в "локальной" сети клиента и в удаленной офисной сети допустим будут одинаковые адреса 192.168.1.100 и понадобится обратится к нему....куда будет обращение ?

2.Чтобы подключиться к офису из такой же локалки мне ее надо сымитировать.... это уже завтра...

Share this post


Link to post
Share on other sites

@Startnik 

Если локальная сеть с такой же адресацией, доступа к ней после подключения по VPN не будет, т.к. маршрут через VPN добавляется с меньшей метрикой. Доступ к удаленной сети будет.

Можно использовать для VPN клиентов адреса из другой подсети, например 172.16.0.0/12, такой проблемы не будет.

 

 

Share this post


Link to post
Share on other sites

1 minute ago, McSea said:

@Startnik 

Если локальная сеть с такой же адресацией, доступа к ней после подключения по VPN не будет, т.к. маршрут через VPN добавляется с меньшей метрикой. Доступ к удаленной сети будет.

Можно использовать для VPN клиентов адреса из другой подсети, например 172.16.0.0/12, такой проблемы не будет.

 

 

Хорошо, например клиент получит по VPN адрес из диапазона 172.16.0.0/12, а в локальной сети гостиницы все же из 192.168.1.0/24

Теперь набирает он в обычном Проводнике для обращения к ресурсу адрес \\192.168.1.100 - в какую сеть и почему пойдет обращение ?

Share this post


Link to post
Share on other sites

28 minutes ago, Startnik said:

Хорошо, например клиент получит по VPN адрес из диапазона 172.16.0.0/12, а в локальной сети гостиницы все же из 192.168.1.0/24

Теперь набирает он в обычном Проводнике для обращения к ресурсу адрес \\192.168.1.100 - в какую сеть и почему пойдет обращение ?

В локальную сеть, если дополнительно не добавляется маршрут на 192.168.1.0/24 с меньшей метрикой через VPN каким-либо образом - вручную, через командный файл, либо powershell.

Для доступа к удаленным ресурсам в таком случае надо также использовать адреса из 172.16.0.0/12, которые можно dst-nat-ить в соответствующие адреса 1-й подсети на микротике.

 

Смотрите, что вам и сотрудникам нужно/будет удобнее, при доступе из гостиницы наверно не большая проблема, если одновременно локальные и удаленные ресурсы не доступны. 

 

Edited by McSea

Share this post


Link to post
Share on other sites

3 minutes ago, McSea said:

Для доступа к удаленным ресурсам в таком случае надо также использовать адреса из 172.16.0.0/12, которые можно dst-nat-ить в соответствующие адреса 1-й подсети на микротике.

 

 

Можно пример, как сделать ?

Т.е. мне нужно взять произвольный адрес из vpn-диапазона и " dst-nat-ить" их на нужный адрес  офисной сети ?  ( на vpn интерфейсе ? )

Share this post


Link to post
Share on other sites

22 minutes ago, Startnik said:

Т.е. мне нужно взять произвольный адрес из vpn-диапазона и " dst-nat-ить" их на нужный адрес  офисной сети ?  ( на vpn интерфейсе ? )

Минимально так 

add action=dst-nat chain=dstnat dst-address=172.16.1.100 to-addresses=192.168.1.100

Для ограничения по входящим интерфейсам удобно сделать динамический интерфейс лист для VPN клиентов, прописывается в PPP профиле.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.