LINUX.ORG.RU

Тебе не нужна дополнительная сеть для vpn, просто раздаешь по l2tp адреса из локальной сети. Только не забудь включить proxy-arp на интерфейсе с локалкой и в firewall filter разрешить форвардинг между eth и ppp интерфейсами

NobleWolf ()
Ответ на: комментарий от Turbid

Угу угу. А если он с винды будет подключаться и не захочет чтобы весь трафик через vpn шел, то ему придется каждый раз маршрут руками добавлять - вот где настоящие костыли.

NobleWolf ()
Ответ на: комментарий от NobleWolf

Вопрос 1) Как решить проблему с интерфейсами? Мне нужно прописывать маршруты, чтобы весь трафик при обращений к сети 192.168.88.0/24 шли через VPN. (т.е через 192.168.89.0/24). Я не могу знать, какой pppN у клиента. Как можно автоматизировать?

5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1200 qdisc pfifo_fast state UNKNOWN group default qlen 3
    link/ppp
    inet 192.168.89.1 peer 192.168.89.100/32 scope global ppp0
       valid_lft forever preferred_lft forever

Вопрос 2) Что нужно сделать на Mikrtoik, чтобы VPN’ка работала

continue ()
Ответ на: комментарий от continue

Мне нужно прописывать маршруты, чтобы весь трафик при обращений к сети 192.168.88.0/24 шли через VPN. (т.е через 192.168.89.0/24).

https://www.tldp.org/HOWTO/PPP-HOWTO/x1455.html

Вопрос 2) Что нужно сделать на Mikrtoik, чтобы VPN’ка работала

  1. ppp - l2tp server включаешь, при желании активируешь ipsec
  2. ppp - secrets создаешь логины/пароль для пользователей и ip окторые они будут получать
  3. firewall - filter, разрешаешь tcp 1701, 4500, 500 и ipsec-esp на input, плюс трафик между 88 и 89 подсетями

Вообще в инете полно подробных инструкций по поводу настройки l2tp/ipsec в mkt поищи

NobleWolf ()
Ответ на: комментарий от NobleWolf

Правильно ли я делаю маршруты с VDS?

vds@ih1499999:~$ ip route
192.168.88.0/24 via 192.168.89.1 dev ppp0
192.168.89.100 dev ppp0 proto kernel scope link src 192.168.89.1
192.168.89.101 dev ppp1 proto kernel scope link src 192.168.89.1

И почему не пингует с VDS мой домашинй ПК?

Маршруты на микроте:

 6 A S  192.168.89.0/24                    l2tp-out1                 1
 7 ADC  192.168.89.1/32    192.168.89.100  l2tp-out1                 0
continue ()
Ответ на: комментарий от continue

192.168.89.100 dev ppp0 proto kernel scope link src 192.168.89.1
192.168.89.101 dev ppp1 proto kernel scope link src 192.168.89.1

А чего у тебя два подключение одновременно?

И почему не пингует с VDS мой домашинй ПК?

firewall проверь

NobleWolf ()
Ответ на: комментарий от NobleWolf

Хмм. Вроде сделал. К тебе ещё вопрос: как можно сделать так, чтобы Mikrtoik’у выдавало 192.168.88.100 (всегда т.е статично). А всем остальным клиентам все остальные свободные айпишники?

continue ()
Ответ на: комментарий от NobleWolf

А если он с винды будет подключаться и не захочет чтобы весь трафик через vpn шел, то ему придется каждый раз маршрут руками добавлять - вот где настоящие костыли.

Просто интересно, а винда не умеет принимать маршруты от dhcp (если настроить) со стороны сервера(l2tp)?

anc ★★★★★ ()
Ответ на: комментарий от continue

Как понял я, сервер у вас на vds и видимо под linux, distr name не известен, не известно как авторизуются пользователи, не известно как им раздаются ip. Но посмею предположить, если это банальный /etc/ppp/chap-secrets то в нем и прописывайте ip выдаваемый клиенту.

anc ★★★★★ ()
Ответ на: комментарий от continue

выдавало 192.168.88.100 (всегда т.е статично)

в secrets можно указывать статические адреса для клиентов

А всем остальным клиентам все остальные свободные айпишники?

а можно указывать пулы из ip - pools из которых будут браться адреса

NobleWolf ()
Ответ на: комментарий от anc

Просто интересно, а винда не умеет принимать маршруты от dhcp (если настроить) со стороны сервера(l2tp)?

l2tp раздает адреса без использования dhcp. openvpn умеет пушить маршруты клиентам...но только не у mikrotik (ждем в ros7)

NobleWolf ()
Ответ на: комментарий от NobleWolf

l2tp раздает адреса без использования dhcp

Видимо не поняли, хотя очень похоже что вы «не в курсе событий». Я про раздачу кастомных роутов для ppp. Обычно это реализуется через dhcp сервер.

openvpn

Это-то тут с какого боку? Просто написали что знаете такое слово?

но только не у mikrotik

Серьезно? Я не знаю микротик, но всегда считал что в части ovpn у него два минуса, только tcp и отсутствие компрессии. Если вы не врете и он еще не умеет пушить роуты то тогда вообще нафиг он такой нужен?

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от NobleWolf

Может и не в курсе, покажи пример

Ну гугле забанили? Ну хорошо я сегодня добрый http://www.delayer.org/2014/10/pptp.html https://serveradmin.ru/nastroyka-pptp-servera-na-debian/
Этому не то что много, а очень много лет. Мой вопрос изначально был в другом, шинда не умеет, в смысле разучилась, получать кастомные роуты? «Разучилась» это потому что до XP включительно точно умела.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Ну гугле забанили?

угу

Ну хорошо я сегодня добрый http://www.delayer.org/2014/10/pptp.html

Прикольно, но микрот так не умеет. Можно выставить любые опции dhcp, но привязать сервер к ppp интерфейсу не дает. Плюс есть ответ (он кончено 2006 года, но более свежей инфы не нашел) от сапорта микротов на эту тему: https://forum.mikrotik.com/viewtopic.php?t=10405#p47150

NobleWolf ()
Ответ на: комментарий от NobleWolf

Прикольно, но микрот так не умеет.

Ну вот и еще в копилку минусов микротов. Хотя казалось бы ничего сверх естественного.

Но так как у ТС микрот клиент, надеюсь что хоть с получением проблем быть не должно.

Кстати Вы так и не ответили

Я не знаю микротик, но всегда считал что в части ovpn у него два минуса, только tcp и отсутствие компрессии. Если вы не врете и он еще не умеет пушить роуты то тогда вообще нафиг он такой нужен?

Это правда, что он не умеет пушить маршруты ovpn?

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 2)
Ответ на: комментарий от NobleWolf

Интересно. Получаеться на нем только ipsec (это говорят робит) под «подобную» задачу можно использовать. Хотя... «говорят» и сама задача... тут задумался, а умеет ли и с ipsec ?

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Получаеться на нем только ipsec (это говорят робит) под «подобную» задачу можно использовать.

раздавать маршруты через ipsec? Нет про такое не слышал, через mode-config можно настройки ip раздавать это да.

NobleWolf ()
Ответ на: комментарий от NobleWolf

раздавать маршруты через ipsec? Нет про такое не слышал

Это тоже не умеет? Так что же получаеться, микрот вообще не умеет в раздачу маршрутов?

anc ★★★★★ ()
Ответ на: комментарий от NobleWolf

Ну вот и получаеться, когда народ спрашивает про *wrt на микроте, ему традиционно задают вопрос «а нафига оно тебе надо? пользуй ros, она кошерная». Ан, не такая она и «кошерная» если к 2019-му не завезла простых вещей.

anc ★★★★★ ()