Форум интернет-магазина Микрокомп
0 Список сравнения
0 Избранные товары
0
Страницы: 1
NAT между локальной сетью и pptp-клиентами, NAT между локальной сетью и pptp-клиентами
 
Добрый день, имею Mikrotik с сервером Radius и авторизацией пользователей в AD (сделано по http://habrahabr.ru/sandbox/58551/). Пользователи подключаются без проблем. Существует одно но: при подключении у пользователей пропадает связь с внешним миром, т.е. только соединение через pptp-подключение. Это блочит правило блокировки выхода в интернет через инет-канал mikrotik'a. Как сделать, чтобы инет у пользователей не пропадал и чтобы они видели сеть за pptp-сервером ?
 
посмотрите, ради интереса, на клиентской машине route print, до и после подключения... смотрите на  шлюз по умолчанию... он изменился на шлюз в pptp соединении...
если надо что бы одновременно работал и интернет и vpn, надо в настройках pptp соединения, в настройках tcp/ip, запретить использование основного шлюза в удаленной сети...
после этого, станет недоступна сеть за vpn-ом... ::biggrin24.gif::
решается добавлением статического маршрута через сеть vpn, в сеть за микротиком...


(Добавление)
есть возможность при настройке не добавлять руками маршрут на клиентской машине, можно прописать маршрут в /ppp secret на микротике, и этот маршрут будет добавлен на локальную машину при логине клиента... Remote address, при этом, придется использовать статический... http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP

как при добавление маршрута  в /ppp secret отказаться от статики для vpn-клиента?... если у кого то есть решение или идеи, рад буду услышать...

а пока, только добавление статического маршрута, в той или иной форме...
 
Пришлось добавить route add статический маршрут на клиенте и отключить использование маршрута в подключении vpn. Потому что больше вариантов тоже не нашел. На счет добавления маршрута, вдеь он добавляется на основе Remote address ?? Плюс формирование названия подключения получается из pptp-"name user", т.е. для каждого потенциального клиента надо "угадать" подключаемый IP-адрес и клиент, к. на него подключится если идет отбор адресов из пула и пользователей из AD ?
 
Еще проблема возникла, не могу подключиться только к компам где стоит пользовательская система (доступ по RDP, ОС - win7, win8, win8.1). И именно такие хосты из сети vpn даже не пингуются . НА все серверные ОС (win 2008R, win 2012R2) захожу без проблем. Даже на прямую через правило проброса портов не могу попасть на клиентские машины. У них у всех стоит шлюзом внутренний ip микротика. В чем может быть проблема ?
(Добавление)
Цитата
Еще проблема возникла, не могу подключиться только к компам где стоит пользовательская система (доступ по RDP, ОС - win7, win8, win8.1). И именно такие хосты из сети vpn даже не пингуются . НА все серверные ОС (win 2008R, win 2012R2) захожу без проблем. Даже на прямую через правило проброса портов не могу попасть на клиентские машины. У них у всех стоит шлюзом внутренний ip микротика. В чем может быть проблема ?
Дело было в Касперском ))))
(Добавление)
А какое правило нужно, чтобы все локальные ip-адреса, коннектившись на внешний IP, пересылались сразу на него ?
 
А какое правило нужно, чтобы все локальные ip-адреса, коннектившись на внешний IP, пересылались сразу на него ?
 
Цитата

(Добавление)
есть возможность при настройке не добавлять руками маршрут на клиентской машине, можно прописать маршрут в /ppp secret на микротике, и этот маршрут будет добавлен на локальную машину при логине клиента... Remote address, при этом, придется использовать статический... http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP

как при добавление маршрута  в /ppp secret отказаться от статики для vpn-клиента?... если у кого то есть решение или идеи, рад буду услышать...

а пока, только добавление статического маршрута, в той или иной форме...

При добавлении маршрута в /ppp secret он добавляется не на клиенте а на микротике, можно указать и приоритет маршрута, и без разници клиенту выдаётся статический адрес или динамический. Маршрутизацию делает роутер а не компьютер клиента.
(Добавление)
Цитата
Как сделать, чтобы инет у пользователей не пропадал и чтобы они видели сеть за pptp-сервером ?

Снять галочку у клиента на pptp подключении "Использовать шлюз в удалённой сети"
Между диапазонами адресов включить маскардинг.
Всё зависит от настроек, если интернет клиенту выдаётся при подключении по pptp то скорее всего не разрешен доступ в интернет или не включен нат для этого диапазона адресов в внешнюю сеть.

На интерфейсе внутреннем при прописывании адреса и маски автоматически создаётся маршрут к прописанному диапазону адресов и дополнительный маршрут не нужен, нужно лиш включить маскардинг между внутренним реальным диапазоном адресов и выдаваемым по pppoe или pptp которые не должны пересекаться с реальным внутренним диапазоном адресов, иначе маршрутизация работать не будет.
При подключении клиента по pppoe pptp автоматически создаётся маршрут на выданный клиенту адрес.
 
Цитата
есть возможность при настройке не добавлять руками маршрут на клиентской машине, можно прописать маршрут в /ppp secret на микротике, и этот маршрут будет добавлен на локальную машину при логине клиента...  
пардон... действительно ересь написал...
на клиенте, подключающемуся через впн к локльной сети, маршрут в локалку придется прописывать руками...
 
Цитата
Цитата
есть возможность при настройке не добавлять руками маршрут на клиентской машине, можно прописать маршрут в /ppp secret на микротике, и этот маршрут будет добавлен на локальную машину при логине клиента...  
пардон... действительно ересь написал...
на клиенте, подключающемуся через впн к локльной сети, маршрут в локалку придется прописывать руками...

Маршрут создаётся автоматически в внутреннюю сеть после прописывания ip адреса и маски на интерфейсе, что бы была связь между внутренней локальной сетью и pptp подключившимися должен быть включен маскардинг между ними.
Если вы в мангле метите пакеты то тогда вручную прописываете маршруты в нужный интерфейс.
 
Цитата
что бы была связь между внутренней локальной сетью и pptp подключившимися должен быть включен маскардинг между ними.
маскарадить то зачем??? ИМХО, внутренняя сетка вполне себе доступна после добавления статических маршрутов...
маскарад-то по какой причине вам требуется для доступа из впн на локалку???
Страницы: 1