[Djoni34]

Добрый день.

Есть два офиса. На одном стоит микротик, на другом не микротик. Офисы находятся в разных местах и у них свой провайдер. 

Есть два пользователя (windows 10), будут подключатся по RDP к серверу 1С через микротик.

В открытую использовать RDP не безопасно.

Поднимал L2TP/IPsec сервер на микротик. Результат то, что один пользователь (клиент виндовс) может подключится, при подключении второго пользователя - отключается первого.

Поднимал SSTP сервер - итог, жуткие "тормоза" при работе с 1С.

Что можете предложить?      

Изменено 18 июня, 2019 пользователем Djoni34

[jffulcrum]

OVPN

 

33 минуты назад, Djoni34 сказал:

на другом не микротик

А что, никакие туннели не умеет?

[Корпич]

В настройках L2TP сервера  Caller ID Type смените на "номер" иначе с одного IP одно подключение 

[McSea]

4 hours ago, Djoni34 said:

Есть два пользователя (windows 10)

Для 10-ки конечно IKEv2. Как делать хорошо расписано прямо на wiki микротика.

 

3 hours ago, Корпич said:

В настройках L2TP сервера  Caller ID Type смените на "номер" иначе с одного IP одно подключение 

Это не поможет, для виндовс клиентов из-за NAT-a с одного и того же публичного IP возможно только одно L2TP/IPsec  подключение на микротик. Так как микротик создает политики с <тот_же_IP>/<тот_же_порт1701> для всех таких клиентов.

 

Изменено 18 июня, 2019 пользователем McSea

[Djoni34]

Да, изменение Caller ID Type  на "номер" не дало нужного результата.

McSea, попробую IKEv2, т.е. для win 7 не подходит?

jffulcrum, OVPN как вариант попробую, но другие соединения типа PPTP и тд. не подходят, так как не безопасны, я же писал. 

[McSea]

@Djoni34 

В 7-ке тоже встроенный клиент IKEv2 есть, я лично не настраивал, но должно работать.

 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_using_IKEv2_with_RSA_authentication

[jffulcrum]

1 час назад, McSea сказал:

В 7-ке тоже встроенный клиент IKEv2 есть

Есть и работает, но крипта очень ограничена. В моих экспериментах работало ровно с тем, что указано в известной статье Cisco, шаг влево, шаг вправо - соединение не поднимается - не удалось согласовать бла-бла-бла. 

[Djoni34]

Плюнул на L2Tp/ipsec по как что, так как сложновато всё это настраивать.

Поднял OpenVPN. буду тестить.

[Djoni34]

OpenVPN - тоже "капризный", живёт свей жизнью. При подключении не видит локальную сеть сервера, пока не совсем понятно как прописать маршруты.

Далее, при отключении клиента OpenVPN (нажимая на отключится) через 5 сек клиент сам пытается переподключиться. Команд на переподключение в конфиге клиента - нет.

Да, и заметил что при отключении клиента, интерфейс по которому подключался клиент - активен. Подключение осуществляется по tun, по tap не подключается.

Если кому не трудно, скинуть манул по настройке клиент (OVPN Windows) - сервер микротик. Какие команды в конфиге клиента использовать.

Конечно, если установить локальный порт в микротике на arp proxi, то с клиента можно достучатся до локальной сети за сервером, но это не есть хорошо.  

[jffulcrum]

https://wiki.mikrotik.com/wiki/OpenVPN

 

5 минут назад, Djoni34 сказал:

Далее, при отключении клиента OpenVPN (нажимая на отключится) через 5 сек клиент сам пытается переподключиться

Скорее всего keepalive включен

[McSea]

@Djoni34 

 

Зря вы не хотите IKEv2 использовать, я проверил на 7-ке, все работает. И клиент встроенный.

В вики (выше ссылка) все точно описано, просто повторяете (copy-paste в терминал), меняя на свои адреса и имена.

Если будут конкретные вопросы, спрашивайте, у меня работает хорошо, постепенно всех перевожу с L2TP/IPsec.

 

В вики для 6.44 описание, в 6.43 немного по другому.

 

Адреса VPN клиентам лучше давать из другой подсети. Если даете из той же подсети, что и локальная за роутером, proxy arp нужен обязательно.

Изменено 20 июня, 2019 пользователем McSea