Как настроить доступ VPN-клиента из другой подсети в офисную подсеть?

Question

[luxter]

Добрый день! Стоит задача - на Mikrotik переместить клиентов VPN (L2TP) в отдельный пул адресов. Адресация следующая:
Офис - 192.168.88.0 \24
Клиенты VPN - 192.168.1.0 \24
И вроде бы всё хорошо, смог подключиться с клиента, на нём же прописал маршрут до сети 192.168.88.0 \24 -пинг пошел до 192.168.88.0 и 192.168.1.1 (VPN шлюз), на Mikrotik создается также маршрут до клиента - соответственно, пинг есть. Но нет доступа с клиента к ресурсам офисной сети (шары, другие ПК и etc). Вопрос - почему? Ведь маршруты же к подсетям прописаны.

Answer 1

[Александр Карабанов]

Надо NAT-ить. Или прописать обратный маршрут на шарах, других ПК. Кстати какие IP у шары и других ПК? Они тоже в 192.168.88.0/24 если да, то там вполне может быть надо настроить фаирвол.

Comments

[luxter]

да, офисные компы и шары в той же подсети 88.0\24. Но наверняка же есть более элегантное решение, ведь на каждом ПК дергать фаервол - как-то не комильфо. И интересует причина необходимости таких действий, объясните, пожалуйста, если сможете.

[Александр Карабанов]

The Lost, нет доступа на несколько компов или на все?

[luxter]

Александр Карабанов, на все

[Александр Карабанов]

Микротик для этих компов является дефолтным шлюзом?

[luxter]

Александр Карабанов, да, у всех по умолчанию

[Александр Карабанов]

Хм... Я думаю, всётаки фаирвол.
А к другим компам вы как подключаетесь? По RDP?

[Александр Карабанов]

В целом проблема скорее всего решиться если занатить.
Добавьте правило в фаирвол микротика, которое будет маскарадить трафик идущий из подсети 192.168.1.0/24 в 192.168.88.0/24

[luxter]

Александр Карабанов, да я пока никак не подключался, только пингами проверял свою станцию. И тут Вы меня осенили... ведь всё работает, по RDP постучался на пару компов и 1С - порядок. и пинг есть. А на мой ПК пинга нет (Debian стоит). Что-то неловко как-то вышло...

[Александр Карабанов]

Ну Ок. Пиши, если что.