Startnik Posted February 6, 2019 Posted February 6, 2019 Вопрос наверно не совсем по mikrotik-у, но начинающему возможно простительно.... Есть локальная сеть организации 192.168.1.0/24, стоит задача подключаться к расшаренным ресурсам для "разьездных" сотрудников по VPN. Я запустил на 951-ом микротике VPN сервер PPTP, L2TP , выдаю клиентам адреса из той же подсети ( непересекающиеся с адресами локального пула ), все вроде работает как надо. Однако я понял, что если клиент вдруг подключиться из локалки с этой-же подсетью 192.168.1.0/24 ( чем естественно управлять невозможно ) - получим фигвам...Как решается вопрос в таком случае ? Спасибо. Вставить ник Quote
poisons Posted February 6, 2019 Posted February 6, 2019 1. Использовать серые сети, которые обычно висят по умолчанию в сети организации - дурной тон. 2. А кто запрещает выдавать "разъездным" адреса из любой другой серой сети? Вставить ник Quote
Startnik Posted February 6, 2019 Author Posted February 6, 2019 1. Где использовать, поясните.... 2. Никто не запрещает, но "разьездной" всяко может оказаться в сети какой-либо гостинницы 192.168.1.0/24 и обращаться к ресурсу тоже будет в сеть 192.168.1.0/24 Вставить ник Quote
alibek Posted February 6, 2019 Posted February 6, 2019 6 часов назад, Startnik сказал: получим фигвам А конкретнее? Клиенту вообще безразлично, в какой сети работать. 23 минуты назад, Startnik сказал: и обращаться к ресурсу тоже будет в сеть 192.168.1.0/24 И что с того? Подключитесь и выполните команду route print. Вставить ник Quote
Startnik Posted February 6, 2019 Author Posted February 6, 2019 3 minutes ago, alibek said: А конкретнее? Клиенту вообще безразлично, в какой сети работать. И что с того? Подключитесь и выполните команду route print. 1.Конкретнее - в "локальной" сети клиента и в удаленной офисной сети допустим будут одинаковые адреса 192.168.1.100 и понадобится обратится к нему....куда будет обращение ? 2.Чтобы подключиться к офису из такой же локалки мне ее надо сымитировать.... это уже завтра... Вставить ник Quote
McSea Posted February 6, 2019 Posted February 6, 2019 @Startnik Если локальная сеть с такой же адресацией, доступа к ней после подключения по VPN не будет, т.к. маршрут через VPN добавляется с меньшей метрикой. Доступ к удаленной сети будет. Можно использовать для VPN клиентов адреса из другой подсети, например 172.16.0.0/12, такой проблемы не будет. Вставить ник Quote
Startnik Posted February 6, 2019 Author Posted February 6, 2019 1 minute ago, McSea said: @Startnik Если локальная сеть с такой же адресацией, доступа к ней после подключения по VPN не будет, т.к. маршрут через VPN добавляется с меньшей метрикой. Доступ к удаленной сети будет. Можно использовать для VPN клиентов адреса из другой подсети, например 172.16.0.0/12, такой проблемы не будет. Хорошо, например клиент получит по VPN адрес из диапазона 172.16.0.0/12, а в локальной сети гостиницы все же из 192.168.1.0/24 Теперь набирает он в обычном Проводнике для обращения к ресурсу адрес \\192.168.1.100 - в какую сеть и почему пойдет обращение ? Вставить ник Quote
McSea Posted February 6, 2019 Posted February 6, 2019 (edited) 28 minutes ago, Startnik said: Хорошо, например клиент получит по VPN адрес из диапазона 172.16.0.0/12, а в локальной сети гостиницы все же из 192.168.1.0/24 Теперь набирает он в обычном Проводнике для обращения к ресурсу адрес \\192.168.1.100 - в какую сеть и почему пойдет обращение ? В локальную сеть, если дополнительно не добавляется маршрут на 192.168.1.0/24 с меньшей метрикой через VPN каким-либо образом - вручную, через командный файл, либо powershell. Для доступа к удаленным ресурсам в таком случае надо также использовать адреса из 172.16.0.0/12, которые можно dst-nat-ить в соответствующие адреса 1-й подсети на микротике. Смотрите, что вам и сотрудникам нужно/будет удобнее, при доступе из гостиницы наверно не большая проблема, если одновременно локальные и удаленные ресурсы не доступны. Edited February 6, 2019 by McSea Вставить ник Quote
Startnik Posted February 6, 2019 Author Posted February 6, 2019 3 minutes ago, McSea said: Для доступа к удаленным ресурсам в таком случае надо также использовать адреса из 172.16.0.0/12, которые можно dst-nat-ить в соответствующие адреса 1-й подсети на микротике. Можно пример, как сделать ? Т.е. мне нужно взять произвольный адрес из vpn-диапазона и " dst-nat-ить" их на нужный адрес офисной сети ? ( на vpn интерфейсе ? ) Вставить ник Quote
McSea Posted February 6, 2019 Posted February 6, 2019 22 minutes ago, Startnik said: Т.е. мне нужно взять произвольный адрес из vpn-диапазона и " dst-nat-ить" их на нужный адрес офисной сети ? ( на vpn интерфейсе ? ) Минимально так add action=dst-nat chain=dstnat dst-address=172.16.1.100 to-addresses=192.168.1.100 Для ограничения по входящим интерфейсам удобно сделать динамический интерфейс лист для VPN клиентов, прописывается в PPP профиле. Вставить ник Quote
alibek Posted February 6, 2019 Posted February 6, 2019 1 час назад, Startnik сказал: куда будет обращение Туда, куда укажет таблица маршрутизации. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.