Форум интернет-магазина Микрокомп
0 Список сравнения
0 Избранные товары
0
Страницы: 1
OpenVPN, Прохождение пакетов по OpenVPN
 
Здравствуйте!

Имеется 2 микротика. Один выступает в роли сервера OpenVPN, второй клиент
Оба имеют подсеть 10.8.0.0/24, друг друга видят, все хорошо.
За первым микротиком есть радиус-сервер в подсети 172.16.50.0/24
Второй микротик видет радиус сервер, в то же время радиус видит второй микротик.

Подскажите, возможно ли сделать так, чтобы прохождение пакетов не маскировалось 1 микротиком?
Получается, Радиус-сервер думает что запросы на него делает 1 микротик.
 
Должны быть ключи загружены на каждый микротик и указано на каждом микротике по какому адресу находится радиус, также на радиус сервере должны быть указаны микротики или одного микротика с которого делается запрос к радиусу.

А исключение трафика к радиусу из шейпера нужно сделать на каждом микротике но к авторизации это не относится.

Идентификация микротиков должна быть разная, а то есть имя микротиков не должны совпадать

Цитата
Получается, Радиус-сервер думает что запросы на него делает 1 микротик.
значит на радиусе указан адрес первого микротика а не второго
 
На каждом микротике загружены ключи.
Радиус указан. Микротики его видят.
На радиусе микротики указаны в роле NAS.
Имя микротиков не совпадает.
В логи радиуса падает: >=>=>=>=>=>=>=> Acct Packet received from 172.16.50.1, size: 157 >=>=>=>=>=>=>=>, хотя должно быть 10.8.0.53
 
Подсети за микротиками сделайте разные и маршруты пропишите, почему одинаковые внутренний диапазон адресов за обоими микротиками, маршрутизация не будет работать правильно, если будет работать вообще.
 
Распишу по сетям.
1. Основной микротик:
Интерфейс, который видит радиус: 172.16.50.1/24
OpenVPN-сервер (на самом микротике): 10.8.0.50/24
Radius-сервер: 172.16.50.253/24

2. Микротик-клиент
Интерфейс управления: 172.16.53.1/24
OpenVPN-клиент: 10.8.0.53/24
Прописано в роутах что сеть 172.16.50.0/24 доступна через 10.8.0.50
 
Под "Интерфейс управления" что имеется ввиду, внутренний адрес микротика во внутренней сети ?

Цитата
В логи радиуса падает: >=>=>=>=>=>=>=> Acct Packet received from 172.16.50.1, size: 157 >=>=>=>=>=>=>=>, хотя должно быть 10.8.0.53

А в логах и должно быть адреса внутренних сетей а не тунеля, адресация тунеля для самого тунеля и для маршрутизации а не для отображения в радиусе, а в радиусе должна быть отражена информация подключенного или отключенного пользователя и его ip адрес в внутренней или виртуальной сети.
Вы же управляете трафиком подключенного пользователя а не микротика подключенного к основному микротику.
 
Да, интерфейс управления это внутренняя сеть, которую абоненты не видят, но видит микротик и в этой сети находится радиус.

Мне нужно чтобы радиус выдавал определенный пул адресов на определенный микротик авторизованным пользователям, а сейчас он выдает каждому NAS один и тот же пул.

В логи летит IP-NAS'а и его имя, а сеть все равно одна.
 
На первом микротике то же должен быть маршрут к сети второго микротика, раз связь идёт через тонель а не к внешнему адресу, пользователи должны пинговать компьютера как за первым так и за вторым микротиком в обоих внутренних сетях.
Диапазон адресов на тонеле и выдаваемая пользователям если они подключаются хоть в внутренней сети хоть по pptp, pppoe ну и так далее не должна совпадать.
Адреса на тонеле это всего лиш связь двух внутренних сетей и к управлению пользователями по радиусу отношения не имеет. Увас не правильно настроена связь между двумя внутренними сетями.
Страницы: 1