[EvilH0mer]

Добрый день. Подскажите как правильно настроить. Прошу не кидаться тапками, задавайте вопросы, если нужна доп информация. На работе сеть 192.168.1.0, дома сеть 192.168.0.1 настроил VPN канал с ip 192.168.43.1 - mikrotik и 192.168.43.2 - домашний ПК, подключаюсь с дома к Mikrotik на работе, вижу сеть, работаю, но есть одно, точнее два но....

Первое, при подключении к VPN весь интернет трафик домашнего ПК идет через VPN канал, т.к. при подключении подхватывается рабочий шлюз. Если в свойствах VPN подключения домашнего ПК, снять галку "Использовать основной шлюз в удаленной сети" VPN соединяется, интернет трафик через VPN уже не идет и естественно рабочей сети я уже не вижу.

Второе, когда галка стоит и VPN работает, я с домашнего ПК вижу рабочую сеть с ее шлюзом, но я не вижу сети филиалов подключенных через VPN каналы того же Mikrotik, приходится подключаться к рабочему ПК и уже с него подключаться к филиалам, хотя шлюз и на рабочем ПК и на домашнем ПК один и тот же. 

Я понимаю, что нужно прописать маршруты, но какие как и где не понимаю.

[alibek]

Пуск - Выполнить - cmd - route -?

[EvilH0mer]

@alibek На домашнем ПК что прописать? route -p add 192.168.1.0 mask 255.255.255.0 192.168.43.1  Что то я краню.

[ShyLion]

1 hour ago, EvilH0mer said:

На работе сеть 192.168.1.0

На работе переехать на сеть 10.х.у.0/24, в том числе на ppp пуле.

x и y взять с потолка. Если будут филиалы - x и y распределять осмысленно.

 

В этом случае, дома, убирая галку "Использовать шлюз ..." у вас автоматом винда добавит маршрут на ВСЮ 10/8 сеть.

Взять за правило на работе никогда не использовать 192.168.*.*, по той-же причине.

[EvilH0mer]

@ShyLion В данный момент, на работе сеть 192.168.1.0  в филиалах 192.168.2.0 и 192.168.3.0    Можно как то без переезда это провернуть? А то не все устройства автоматом получают, мороки много.

[ShyLion]

1 hour ago, EvilH0mer said:

@ShyLion В данный момент, на работе сеть 192.168.1.0  в филиалах 192.168.2.0 и 192.168.3.0    Можно как то без переезда это провернуть? А то не все устройства автоматом получают, мороки много.

Тогда 

route -p add 192.168.0.0 mask 255.255.0.0 192.168.43.1

 

 

1 hour ago, EvilH0mer said:

мороки много

Чем дольше откладывать, тем больше потом переделывать.

Особенно когда у очередного ВПНщика дома будет сеть 192.168.0.0/24, а ему понадобиться попасть на работу в такую-же сеть "прямо сейчас".

[jffulcrum]

Если у вас тип подключения - L2TP, то нужные маршруты можно просто с Микротика клиентам распространять, через свойства учетной записи например.

 

[McSea]

8 minutes ago, jffulcrum said:

Если у вас тип подключения - L2TP, то нужные маршруты можно просто с Микротика клиентам распространять, через свойства учетной записи например.

Нет, нельзя. Эти маршруты добавляются на стороне сервера.

Пока только для IKEv2 можно передавать маршруты на клиента (берутся из сплитов в mode config)

 

[pingz]

7 часов назад, EvilH0mer сказал:

@ShyLion В данный момент, на работе сеть 192.168.1.0  в филиалах 192.168.2.0 и 192.168.3.0    Можно как то без переезда это провернуть? А то не все устройства автоматом получают, мороки много.

Пока мало, лучше мало времени вложить и переделать.

[EvilH0mer]

В 30.08.2019 в 14:10, ShyLion сказал:

Тогда 

route -p add 192.168.0.0 mask 255.255.0.0 192.168.43.1

 

Спасибо, после добавления маршрута, рабочая сеть 192.168.1.0 пингуется из дома. А при попытке из дома пингануть сеть филиала 192.168.2.0, по имени ПК ip определяет, но пинг не идет. Трассировка кончается на 192.168.43.1.

[ShyLion]

Проверяй роутинг на всем  пути, фаерволы. Виндо-фаервол по умолчанию пакеты из чужой подсети не пропускает например. Касперский тоже.

[EvilH0mer]

После переподключения VPN соединения добавленный маршрут route -p add 192.168.0.0 mask 255.255.0.0 192.168.43.1 отображается в постоянных маршрутах с метрикой 1, но он не работает пинг не идет. Когда VPN соединение уже установлено, удаляю маршрут route delete 192.168.0.0 mask 255.255.0.0 192.168.43.1, затем добавляю route -p add 192.168.0.0 mask 255.255.0.0 192.168.43.1 и все начинает работать, с чем это может быть связано, почему постоянный маршрут не работает постоянно?

 

[ShyLion]

Пути винды неисповедимы. Вам нормальное решение уже предложили.

Попробуйте еще опцию if

https://serverfault.com/questions/696827/can-i-add-a-static-route-to-a-vpn-network-if-the-default-gateway-ip-is-dynamic

[EvilH0mer]

@ShyLion  Очень ценю, что отвечаете и говорите как правильно, впредь я так и буду делать. Но т.к. это не было спроектировано изначально, переделка понесет много геморроя, на столько много, что увеличения геморроя в дальнейшем меня уже не пугает, припрет сделаю. Но сейчас я имею то, что имею и прошу помочь найти другой выход. Кстати, батник меня тоже устраивает спасибо, так и сделаю, сделал.

 Но я так и не разобрался, еще с одной проблемой, с проверкой роутинга. 

В 04.09.2019 в 07:10, EvilH0mer сказал:

Спасибо, после добавления маршрута, рабочая сеть 192.168.1.0 пингуется из дома. А при попытке из дома пингануть сеть филиала 192.168.2.0, по имени ПК ip определяет, но пинг не идет. Трассировка кончается на 192.168.43.1.

Есть mikrotik с подсетью 192.168.1.0 к нему подключены филиалы с подсетями 192.168.2.0, 192.168.3.0, между 192.168.2.0 и 192.168.3.0 пинг не идет, да и не должен. Из подсети 192.168.1.0 видны все сети, но при подключении к ней из дома, сети не доступны, ткните носом, куда копать?

[ShyLion]

ping src-address=192.168.43.1 192.168.2.1

 

[EvilH0mer]

4 минуты назад, ShyLion сказал:

ping src-address=192.168.43.1 192.168.2.1

 

Если правильно понял то так. И на всякий случай, трассировка с ПК в офисе с подсети 192.168.1.0

[ShyLion]

192.168.2.1 - это что за зверь? вынь? тик? линух? циска? _подставить свое_

 

/ip route print where dst-address="192.168.2.0/24"

 

[EvilH0mer]

192.168.2.1 ПК в филиале, с отключенным firewall

[ShyLion]

netstat -rn

 

ну и на тике

/ip firewall filter print where chain=forward

[EvilH0mer]

C ПК 192.168.2.1.                 192.168.2.100 это mikrotik в филиале, который соединен с офисом, через VPN канал с IP 192.168.25.1 со стороны филиала и 192.168.25.2 со стороны офиса.

Изменено 10 сентября, 2019 пользователем EvilH0mer

[ShyLion]

тогда на 192.168.2.100

/ip route print

 

 

 

и на исходном тике

/ping src-address=192.168.43.1 192.168.2.100

[EvilH0mer]

[ShyLion]

Уже догадался?

[EvilH0mer]

Что то голова совсем не варит уже:) не..... Нужно добавить маршрут в тик к которому из дома подключаюсь?

Изменено 10 сентября, 2019 пользователем EvilH0mer

[ShyLion]

на пути от ип А до ип Б и обратно, все узлы сети должны знать правильный маршрут.

У тебя между двумя ПК есть еще два тика. Вот на всех четырех узлах и смотри.

 

ЗЫ: дашь человеку рыбу - накормишь на один день. научишь рыбачить - накормишь на всю жизнь.