Как правильно прописать маршрут на Mikrotik?

Question

[Zanuda28]

Настроил на микротике vpn. Клиенты подключающиеся через него получают адреса 10.10.10.2-50. Сервер к которому они должны иметь доступ находится по адресу 192.168.1.7. Сейчас я прописываю маршрут на каждом клиенте (route add 192.168.1.0 mask 255.255.255.0 10.10.10.1 if 49 /p)
Подскажите, как правильно прописать маршрут на микротике, что бы не было необходимости прописывать его у клиента?

Comments

[Valentin Barbolin]

Какой VPN используется?

[Zanuda28]

Valentin Barbolin, l2tp+ipsec

[Valentin Barbolin]

Zanuda28, В таком случае, лучше перевести внутренню сеть в 10.0.0.0/8.

Хорошей практикой для внутренней сети использовать диапазон 10.0.0.0/8. При использовании того же VPN L2TP на клиенте автоматически добавляется маршрут 10.0.0.0/8, что избавляет от необходимости прописывать маршрут.

или использовать "костыль" который предложил TheBigBear

А не проще натравить клиентов на 10.10.10.1?
И на Микротике прописать dstNAT с 10.10.10.1:3389 на 192.168.1.7:3389

[osada]

Очень подробно расписано здесь

В том числе как правильно маршруты прописаны между различными подсетями. Данная статья показывает, как можно настроить роуты между подсетями, не применяя NAT для публикации каждого порта какой-то службы.

В вашем случае действительно лучше уйти от 192.168.0.x и 192.168.1.x подсетей, т.к. они прописаны по умолчанию во многих бытовых WiFi роутерах по умолчанию.

Необязательно переходить на подсети класса А 10.х.х.х, но хотя бы перейти на 192.168.10.х или повыше касательно третьего октета.

Answer 1

[TheBigBear]

Доступ по RDP?
А не проще натравить клиентов на 10.10.10.1?
И на Микротике прописать dstNAT с 10.10.10.1:3389 на 192.168.1.7:3389
Это ещё хорошо и тем, что в случае необходимости перейти на другой сервер - достаточно поменять IP в dstnat

Использование сети 192.168.1.0/24 крайне неразумно.
А если дома у клиента стоит Кинетик (который по дефолту имеет домашнюю сеть 192.168.1.0/24) - и тогда прописанный маршрут будет сильно мешать

Comments

[Valentin Barbolin]

И на Микротике прописать dstNAT с 10.10.10.1:3389 на 192.168.1.7:3389

Интересный вариант, но в случае когда серверов больше чем один, уже придется играться с портами, так же неудобно при необходимости предоставлять доступ к другим внутренним ресурсам, возможно какому-то сайту внутри организации.

Я бы еще предложил в этой схеме использовать DNS запись вместо IP. Соответственно внутри локалки отдавать по DNS IP 192.168.1.7, а VPN клиентам 10.10.10.1. В таком случае на стороне клиента не надо делать никаких настроек.

Использование сети 192.168.1.0/24 крайне неразумно.

Поддерживаю. Хорошей практикой для внутренней сети использовать диапазон 10.0.0.0/8. При использовании того же VPN L2TP на клиенте автоматически добавляется маршрут 10.0.0.0/8, что избавляет от необходимости прописывать маршрут.

[TheBigBear]

Valentin Barbolin, Смотри вопрос. Речь идёт об одном единственном сервере. Поэтому и такой вариант

[Valentin Barbolin]

TheBigBear, Я умею читать, но не привык использовать решения которые не маштабируются. Используя такой подход, ты добавляешь себе работы в будущем. Как ты добавишь еще один RDP сервер в своем подходе, прокинешь еще один порт 3390 ? А потом еще один? А если потребуется SMB шару прокинуть? И каждый раз когда нужно предоставить доступ к новому ресурсу надо прокидывать еще один порт на firewall? Или вообще начнешь использовать HarpinNAT? А теперь прочиатй еще раз мой прерыдущий пост, я не говорил, что этот вариант не имеет права на жизнь, а лишь описал минусы такого подхода, по факту дополнил твой ответ.

[TheBigBear]

(О как бомбануло)
Уважаемый Valentin Barbolin, я никоим образом не собирался Вас обидеть. Если обидел - извините.
Ваш комментарий действительно дополняет мой ответ. Но повторюсь: смотрите вопрос. Там написано "как правильно прописать маршрут на микротике, что бы не было необходимости прописывать его у клиента?"
Упоминания шар, принтеров и внутренних сайтов автором не было - вот я по своему опыту и предполагаю - речь идёт только об RDP
Решений у этого конкретно вопроса (по моему опыту) ТОЛЬКО два
1. dstnat как я описал
2. Сделать VPN маршрутом по-умолчанию. (и погнать весь интернет трафик через VPN) В этом варианте вся офисная локальная сеть будет доступна без всяких извращений с NAT

В виду моей специфики (20 лет занимаюсь обслуживанием большого количества МЕЛКИХ сетей - В основном ИП-шек с персоналом до 20 сотрудников), привык иметь дело только с сетями где есть только по 1 -3 сервера AD-RDP-1C-SQL. В компаниях с сотнями серверов работать не доводилось.

[Valentin Barbolin]

TheBigBear,

В виду моей специфики (20 лет занимаюсь обслуживанием большого количества МЕЛКИХ сетей

Отсюда и растет разница в подходе. Я более 10 лет обслуживаю 3 крупных сети более 2000 устройств в каждой.

П.С.
пар уже вышел

[Drubanda]

Valentin Barbolin, Могли бы резюмировать ваше решение изначально заданного вопроса?

Answer 2

[Gregory]

утилита CMAK
https://youtu.be/u5nkKSuhcmM?t=234

если используете OpenVPN то маршруты добавляются в фал конфига