Имею в офисе роутер на ROS7 с поднятым «IKEv2-сервером», к которому подключаются удаленные клиенты.
Аутентификация происходит через RADIUS по логину/паролю, пользователи получают IP, которые для них прописаны в атрибутах RADIUS.
Фактически, всё настроено как в этом разделе вики MikroTik:
тут
Ну или в этом гайде:
https://habr.com/ru/articles/721062/
IPsec policy настроена как template, для шифрования трафика в туннеле.
Условно, роутер имеет некий статический внешний IP, и подсеть для VPN-клиентов 192.168.88.0/24.
Клиенты получают IP из этой подсети, имеют доступ к внутренним ресурсам, всё работает хорошо.
Возникла задача:
Один из VPN-клиентов, тоже роутер на ROS7, с присвоенным ему адресом, допустим, 192.168.88.11, имеет динамический внешний IP и внутреннюю подсеть за собой, допустим, 192.168.11.0/24. Другим VPN-клиентам и хостам, непосредственно подключенным к основному роутеру нужно получить в неё доступ.
Как на основном роутере-сервере IKEv2 создать маршрут до подсети за роутером-клиентом?
Условно говоря, нужен маршрут на подсеть 192.168.11.0/24 с gateway 192.168.88.11. Как это реализуется средствами IPsec?
На текущий момент решается костылем - на клиенте 192.168.88.11 прокинуты порты через NAT на внутренние адреса, но часть инфраструктуры так не работает. На всё порты не прокинешь, да и хотелось бы разобраться с правильным подходом, обеспечить прямой доступ в подсеть.
