Как настроить vpn на mikrotik так чтобы на клиентах не надо было прописывать маршрут?

Question

[Сергей Быданов]

Возможно, этот вопрос уже обсуждался не один раз, но я так и не понял чего-то важного.

Задача:
a) подключение к остальным сетям без микротика
b) подключение к локальной сети через микротик без создания вручную маршрутов для windows
Что было сделано: На микротике поднят L2TP сервер, создан пользователь, также на микротике создан обратный маршрут в сеть клиента. Изначально адреса для впн-соединения были 172.16.30.1 и 172.16.30.2

Обратный маршрут

На клиенте создано подключение, оно работает, в целом вся настройка выполнена по статье на vertiks.ru
Если в свойствах подключения стоит галочка "использовать шлюз удаленной сети", то все работает без проблем, видна вся сеть. Но в интернет клиент тоже ходит через микротик. Оно мне не надо.
Если в свойствах соединения я убираю эту галочку, то сеть становится видна только после добавления на windows статического маршрута. Создавать батник, который надо запускать с правами админа мне тоже не хочется.
Я читал, что если бы на предприятии сеть была бы из класса B 172.16.0.0 — 172.31.255.255, то ничего больше настраивать и не пришлось бы. Но увы, поменять сеть очень трудозатратно и требует выезда.
Я пробовал выдавать адреса для впн из числа свободных 192.168.12.xxx, но это тоже мне ничего не дало.
Есть ли какое-то решение в данной ситуации?

Answer 1

[Drno]

Я бы юзал openvpn - там в конфиг прям маршруты пишутся...

Еще можно попробовать в настройках бриджа микротиков (где локалки висят) указать proxy-arp, и соответственно в конфиге vpn тоже на микриках. в какой бридж им добавлять vpn клиентов

Comments

[Сергей Быданов]

У решения с openvpn есть свои минусы. Во-первых, микротики до сих пор не научились его полностью поддерживать. Ставить openvpn за nat'ом - ну тоже так себе удовольствие. Во-вторых, это установка на стороне клиента дополнительного ПО и возможные проблемы с неподписанными драйверами. В сумме, это может принести больше проблем.
За наводку на proxy-arp спасибо.

[Сергей Быданов]

С proxy-arp все сработало даже лучше, чем с созданием статического маршрута на windows. В последнем случае почему-то не были видны ПК с win10.

[papabig]

Сергей Быданов, подскажите пожалуйста, вы просто включили proxy-arp на локалку или еще что-то сделали? У меня есть бридж на l2tp со своим пулом адресов, а есть бридж lan. На данный момент я могу удаленно подключиться по впн, роутер видит, что я подключен в PPP-Active Connections, но дальше никуда зайти не могу

[Сергей Быданов]

papabig, Я включил proxy-arp на локалку и поначалу у меня заработало. Но я тестировал при выключенном фаерволе. Когда включил фаервол обратно, то впн снова перестал работать. По итогам мне пришлось перенастроить его правила, а именно внести в белый список для входящих подключений домашние ip-адреса сотрудников. В любом случае советую сначала проверить с выключенным фаерволом.

[Сергей Быданов]

papabig, еще немножко дополню, чтоб было понятно, похожи ли наши ситуации. В организации сеть 192.168.12.xxx. Со всеми ПК и другими устройствами около 80 адресов. В pool выделена область из 20 адресов этой же подсети и клиенты впн получают адреса из этого же диапазона - 192.168.12.100-192.168.12.119. Включен proxy-arp на bridge1. По правилам фаервола все входящие соединения, кроме явно разрешенных адресов, запрещены.

[papabig]

Сергей Быданов, у нас сесть 192.168.100.xxx, пулл адресов для впн 192.168.7.xxx. Я включил proxy-arp на bridge-lan и на bridge-l2tp. Сам я смог подключиться, и в сеть меня пустило, настройки файрволла не трогал. У меня дебильнейший вопрос. В микротик все удаленные юзеры подключаются на один аккаунт Secrets или их нужно дублировать и задавать другие ip? Сейчас у меня аккаунт с local adress 192.168.7.1, remote adress 192.168.7.9.

[Сергей Быданов]

papabig, если у вас разные подсети, то без маршрутизации не обойтись. Тут такое дело. Когда клиент впн в windows подключается к серверу с адресом класса C 192.168.x.x, то этому впн-интерфейсу автоматически присваивается маска 255.255.255.0 и он видит только свою сеть и никакую другую. То есть для вашего случая на клиенте все равно придется прописывать маршрут route add 192.168.100.0 mask 255.255.255.0 192.168.7.1 (точнее адрес интерфейса сервера). И для этого нужны права администратора, proxy-arp тут не поможет.
Если бы сеть предприятия была бы из класса B (172.16.0.0 — 172.31.255.255), то маска бы автоматически назначалась 255.255.0.0 и тут было бы все проще.
Я вот не знаю, допускается ли одновременное подключение нескольких клиентов с одним логином и паролем. Я для своих создал разные secrets, просто чтобы знать кто подключен.

[Drno]

Сергей Быданов, вот за proxy-arp - спасибо за разъяснение.
да, микротик позволяет создать одну запись для "неограниченного количества клиентов", главное заранее создать пул адресов и указать этот пул на vpn "шаблон"

Answer 2

[Keffer]

Спокойно через тип соединения IKEv2\ipsec раздаются нужные маршруты.

Comments

[Сергей Быданов]

Да, я смотрел такое решение на ютубе и хотел его попробовать, если не получится более простым путем. Но там есть ограничения на использование win7. Как я понял, win7 почему-то не принимает маршруты. И второй минус - это генерация сертификатов и их импорт на стороне клиента. А так очень заинтересовало.

[Keffer]

Сергей Быданов, Никаких проблем с win 7 и IKEv2 нет. Сгенерил серты на микроте все взлетело с полуоборота. Все маршруты понимает. Даже на андройд.

Answer 3

[Александр Карабанов]

Ещё можно настроить NAT
И да, у микротика только в 7 версии RouterOS появилась поддержка UDP для OpenVPN, так что пока OpenVPN не рекомендую.
И в любом случае OpenVPN однопоточный, так что если трафика будет много будет работать не очень.

А ещё есть всеобъемлющее видео https://www.youtube.com/watch?v=JgsN_qPnEBw

Answer 4

[Дмитрий Шицков]

Кроме уже перечисленных решений – нет. При чем самое приемлемое – с указанием маршрутов.
Разве что, попробовать занатить маппингом всей подсети 172.16.0.0 на сеть предприятия. Клиентам правда придется ходить по другим адресам на хосты в локальную сеть предприятия https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/...

Наилучшим вариантом будет использовать VPN с возможностью пушить роуты (openvpn, softether) и выделенный под это сервер. Ну или virtualrouter openwrt на Микротике с этими решениями, если клиентов парочка.