L2TP Mikrotik + Windows-клиент — как использовать одновременно разные шлюзы для разных целей?

Question

[EnZo_Smile]

Есть роутер Mikrotik. В нём настроено несколько подсетей для каждой из которых создан бридж: несколько физических портов в один бридж, несколько - в другой, а профиль l2tp-сервера - в третий.

Задача.

Надо чтобы человек (в дальнешем - несколько или много людей) из дома подключался по l2tp к работе. При этом адрес ему задаётся из подсети 192.168.2.0/24, и доступ ему даётся к одному из адресов 192.168.0.0/24. Больше ни к чему доступ не даётся. Но при этом человек должен ещё пользовать свой домашний интернет.

И тут дилемма.

Либо в настройках подключения на клиенте использовать шлюз из удалённой сети, и тогда клиент может пользоваться всеми нужными ресурсами, но при этом в интернет он выходит не от себя, а от организации, что не нужно. Либо если шлюз убрать и использовать собственный, то становятся недоступными ресурсы из других подсетей, и человек просто не может работать.

VPN настраиваю впервые, да и вообще я не шибко искушённый в сетевых делах эникейщик. Подозреваю, что проблема решается просто. В общем, человеку нужно пользовать и свой интернет, и ресурсы из других подсетей организации, подключаясь по L2TP + IPsec.

Как быть?

Answer 1

[Александр Романов]

Если с настройкой самого L2TP всё решили, то вам нужно прописать маршрут до необходимых ресурсов через этот туннель. Мелкомягкие, как известно, следуют заветам Ленина и "Идут своим путём", поэтому настройка маршрутов на винде - дело нетривиальное. В зависимости от версии настройки могут отличаться, но общий смысл уловите. Пишу на примере вин10, что есть под рукой.
Центр управления сетями и общим доступом - изменить параметры адаптера - ваше л2тп правой кнопкой - свойства - вкладка "сеть" - IP версии 4 - свойства. Далее кнопка "Доп. параметры" или как-то так (у меня винда английская, просто Advanced) - и убираем галочку "Use default gateway". Станет активна вторая галочка: не добавлять маршрут на основе классов. Её ставим и переподключаемся.
Надеюсь, микротику в PPP профиле задан статический ip, предположим, 10.0.0.1.
Тогда в винде вам нужно прописать маршрут, предварительно узнав номер интерфейса л2тп. Это делается командой route print и в самом начале вывода увидите интерфейсы с их автоматически присвоенными номерами в начале строки. Найдите номер л2тп подключения, он нужен, у меня он был 26.
После чего добавьте маршруты к нужным ресурсам следующим образом:
route -p add 1.2.3.4 10.0.0.1 IF 26
Без указания интерфейса маршруты не работают, по-крайней мере, у меня не получилось их заставить работать иначе. И ещё: точно работает с конкретными ip-адресами, но за подсеть говорить не буду, по-моему, были какие-то сложности. Если нужен бродкастовый домен - используйте OpenVPN. Просто и секьюрно. Единственный недостаток - нужно устанавливать стороннее ПО.

Comments

[EnZo_Smile]

Наверное, это решение вопроса, и я отмечу его для себя на будущее. Но думается мне, что проще организовать пул адресов из той подсети, где находятся нужные для доступа ресурсы, и добавить l2tp-подключение в тот же бридж :)

[Артем]

EnZo_Smile: вам дан правильный ответ, мудрёж с бриджами - к геморрою при траблшутинге.