Mikrotik сервер VPN L2TP+IPSec — клиенты Windows. Маршрутизация?

Question

[Alex_Buzz]

Добрый день, коллеги!

Есть Mikrotik в головном офисе выступает в качестве VPN сервера L2TP+IPSec. К нему подключаются клиенты Windows. За этим Mikrotik`ом локальная сеть (например 192.168.0.0/24) В локальной сети находится файловый сервер. Клиентам VPN сервера L2TP+IPSec выдаются адреса из сети 192.168.0.0/24 (с пулом DHCP не пересекаются). Таким образом удалось пустить клиентов VPN L2TP+IPSec в локальную сеть и дать доступ к файловому серверу (галочка "Использовать основной шлюз в удаленной сети" в настройках клиента Windows не подходит для моей ситуации)

Так же данный Mikrotik выступает в роли VPN сервера PPTP. Клиентами по PPTP подключены другие Mikrotik`и в филиалах (Site-to-Site), а так же Mikrotik в дата центре. В дата-центре стоит терминальный сервер. Настроена статическая маршрутизация между филиалами, дата-центром и головным офисом. Таким образом клиенты локальных сетей в филиалах (например 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 и т.д.) и головном офисе имеют доступ к терминальному серверу и к файловому серверу (физически расположенных в разных сетях), однако клиенты VPN сервера L2TP+IPSec видят только файловый сервер. Я не понимаю почему... Ведь маршрутизация из локальной сети головного офиса (куда и подключаются клиенты сервера L2TP+IPSec) до локальной сети дата-центра есть...

Есть ли возможность подключить клиентов Windows так что бы они ходили в удаленную сеть дата-центра через VPN L2TP+IPSec сервер в локальной сети головного офиса не прописывая вручную маршрутизацию в Windows?

Answer 1

[Dmitry Tallmange]

галочка "Использовать основной шлюз в удаленной сети" в настройках клиента Windows не подходит для моей ситуации

Именно поэтому указанные хосты не видят никакие другие подсети. При подключении добавляется ОДИН маршрут в 192.168.0.0/24 через удаленный шлюз. Остальные подсети ищутся за дефолт роутом.

Выхода, как ни крути, всего два:
1. Пускать весь трафик через удаленный шлюз, то есть через впн
2. Прописывать маршруты локально, на виндовых машинах

Comments

[Alex_Buzz]

Пускать весь трафик через удаленный шлюз, то есть через впн

Ок. А можно фильтровать трафик проходящий в сторону хоста в VPN?
Провайдер в головном офисе похоже застрял в прошлом веке и интернет трафик у него лимитирован. не хочется что бы клиент VPN скачивал торренты через сеть головного офиса..

[Dmitry Tallmange]

Alex_Buzz: Трафиком клиента, пришедшем на L2TP сервер, можно крутить как угодно. Давайте от задачи плясать. Если важнее обеспечить маршрутизацию между офисами, то надо весь трафик заворачивать, а на оборудовании в головном офисе резать/фильтровать.

[Alex_Buzz]

Dmitry Tallmange: Да, самый разумный вариант это резать/фильтровать трафик на оборудовании в головном офисе. Это надо делать в \ip firewall filter? А распознать что это именно L2TP клиент по адресу (Src. adress) из пула клиентов L2TP? В правильном направлении думаю?

[Dmitry Tallmange]

Alex_Buzz: верно. Вы сказали, что адреса локальных клиентов и подключающихся через L2TP не пересекаются, значит они точно известны.

[Alex_Buzz]

Dmitry Tallmange: Спасибо за помощь! А есть какие-то бест-практис на тему фильтрации торрентов или других трафикозатратных вещей?

[Dmitry Tallmange]

Alex_Buzz: конечно. Гуглим mikrotik + ...

Answer 2

[Alex_Buzz]

Коллеги, нашелся способ! Я решил проблему следующим образом:
1. В сети 192.168.0.0/24 поднял интерфейс с адресом 192.168.0.100
2. Создал правило NAT:
add action=dst-nat chain=dstnat dst-address=192.168.0.100 protocol=tcp to-addresses=192.168.99.100
192.168.99.100 - адрес сервера терминалов в локальной сети за Mikrotik в дата-центе
3. В настройках DNS сервера головного офиса изменил запись сервера терминалов. Поменял с 192.168.99.100 на 192.168.0.100.

Теперь все работает без необходимости пускать весь трафик через VPN.
Может кому пригодится такое решение.
Спасибо за советы!

Answer 3

[Константин Степанов]

Трасировки в студию.