28 марта 2024, 23:31

Цитата дня:

Измеряй микрометром. Отмечай мелом. Отрубай топором. Правило точности Рэя


Маршруты от конечных VPN-клиентов к удаленным VPN-подсетям

Автор Alexey M, 03 ноября 2020, 11:56

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Alexey M

Подскажите, плз, наиболее правильное решение такой задачи:

- центральный офис (ЦО) с Mikrotik
- много филиалов (Ф) с Mikrotik, каждый из Ф подключен к ЦО через SSTP/L2TP
- маршрутизация настроена, из ЦО мы видим сети Ф, и сеть Ф тоже видит сеть ЦО.
- удаленные пользователи (УП) со своих компьютеров/телефонов подключаются через SSTP к ЦО, и им необходимо видеть некоторые ресурсы в Ф.

Нужно какое-то универсальное и наиболее правильное решение, прописывать вручную маршруты - не вариант.

PS. То, что мы включим для УП опцию "использовать шлюз в удаленной сети" - не решает проблему, т.к. наши Ф знать не знают про VPN-клиента в ЦО с маской 255.255.255.255


ival

Тут много подводных камней может быть, но основным нужно понимать:

Как анонсируются маршруты между ЦО и Ф руками или протоколом.
Как у Вас организованно адресное пространство.

Как я вижу рабочее решение. Сети ЦО, Ф и пулы УП лежат в пространстве 10.0.0.0/8
Логично, что если филиалов много, то должна использоваться динамическая маршрутизация. На ЦО вы анонсируете сети из которых раздаются адреса для УП, и не важно что у клиента маска 255.255.255.255, вы анонсируете филиалам именно подсеть к которой принадлежит пул VPN. Клиенту приходит стандартный маршрут на основе класс 10.0.0.0 255.0.0.0 Х.Х.Х.Х (IP шлюза ЦО).

Но это если у Вас динамическая маршрутизация, и в сетях доступа нет сетей вида 192.168.0.0/24


Alexey M

ival - спасибо, общая картина понятна.
На самом деле, у меня была ошибка в тестовой конфигурации, а я думал что у меня проблема в том, что не получается сделать маршрут к vpn клиенту с подсетью /32.
Сто раз смотрел до этого и не видел ошибку. =(



Вверх