1. Смотря как у вас настроен OpenVPN клиент. Если в конфиге есть строчка redirect-gateway autolocal - уберите её. Иначе давайте конфиг (и ключи запуска).
Когда вы её уберете, вот эти два маршрута уйдут:
0.0.0.0 128.0.0.0 10.2.21.1 10.2.21.78 30
128.0.0.0 128.0.0.0 10.2.21.1 10.2.21.78 30
2.
Маршрут... ну, удаленная подсеть 10.2.21.0/24 у вас и так будет доступна. Пример для всей сети 10.2.0.0/16:
route add 10.2.0.0 mask 255.255.0.0 0.0.0.0 if 286
где 286 - номер интерфейса OpenVPN из route print.
Не подумал об этом. Это вариант, но не очень хороший. во-первых, некоторые хосты совпадают, во-вторых, долго будет искать, если много суффиксов. Тем более, уже нашел, как сделать с Микротиком.
Спасибо.
Постоянно включенных компов нет. Про hosts - пока так и живу, но хосты в удаленных сетях часто меняются. Если руками поддерживать hosts теряется смысл, проще по IP-адресам пользовать ресурсы.
В мегафоне такой настройки нет. Программ, которые это умеют "из коробки", насколько мне известно, тоже нет - надо ставить АТС (Астериск, например) и настраивать под ваши задачи.
А смысл этого действия какой? У вас там скрипт для операторов или сбор статистики или что?
Maks Dib: А почему бы маки не прибить гвоздями? У вас в любом случае ограниченное количество устройств. Купили планшет - занесли мак в список. Сломался - убрали из списка. Пришло устройство с левым маком - не пускаем. Для взрослых гостей можно сделать отдельный хотспот с логином и паролем, который дети не знают.
В случае авторизации на хотспоте по логину-паролю ограничение будет именно интегральным, как вы хотите.
P.S. Тема чертовски интересна, буду наблюдать.
glmonarch: да, это ненужная избыточность. двойное туннелирование увеличивает размер заголовка и умньшает полезную нагрузку пакета. Как следствие, повышенный и бесполезный расход ресурсов на фрагментацию пакетов.
kovalr: А, понятно. Я не уловил, что серверы виртуальные. Тогда VLAN все-таки нужен.
Примерно так:
ethernet-server - интерфейс, к которому подключен физический сервер.
add interface=ethernet-server l2mtu=1594 name=vlan-servers vlan-id=100
Если физический сервер напрямую воткнут в Микротик, то этого должно быть достаточно. Если есть промежуточный свитч - могут быть иные сложности, но тут надо говорить конкретно.
Теперь нужно настроить в гипервизоре, чтобы пакеты на эти / с этих виртуальных машин маркировались меткой VLAN 100.
glmonarch: Нет, не получилось. Но вышло прикольно )))
Вы построили чистый туннель IPSec, через который у вас и ходят пакеты между сетями. А GRE-туннель без всякого шифрования болтается сбоку. Через него время от времени ходят keepalive, которые вы видите на промежуточном роутере.
Дело в том, что политики IPSec обрабатываются раньше, чем таблица маршрутизации. А в политике у вас написано:
/ip ipsec policy
add dst-address=192.168.200.0/24 sa-dst-address=10.20.20.2 sa-src-address=\
10.10.10.2 src-address=192.168.100.0/24 tunnel=yes
первая ошибка - tunnel=yes. Нам нужен IPSec в транспортном режиме, tunnel=no
вторая - ошибка - нам не нужно шифровать пакеты, которые направляются в сеть 192.168.200.0/24. IPSec вообще ничего не знает о существовании этой сети. Нам нужно просто шифровать все пакеты GRE, которые направляются на роутер 2. Поэтому правильная политика такая:
/ip ipsec policy
add dst-address=10.20.20.2/32 protocol=gre sa-dst-address=10.20.20.2 sa-src-address=\
10.10.10.2 src-address=10.10.10.2/32 tunnel=no
не проверял, возможно, придется допилить.
