News:

Теория- это когда ты знаешь все, но ничего не работает. Практика - это когда все работает, но никто не знает почему.

Main Menu

Что указывать в качестве шлюза VPN-клиентам?

Started by Alexey M, 25 March 2020, 15:29

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Alexey M

Я проверил это на Win7/Win8 - одинаковое поведение получаю. Хотелось бы понять, а как другие администраторы выходят из положения?

Есть Микротик с такими настройками:

/ip address
add address=10.0.18.1/24 interface=ether1 network=10.0.18.0

/ppp secret
add local-address=192.168.18.1 name=user password=CMC563 profile=new-vpn remote-address=192.168.18.210

Подключаемся клиентом user, у которого отключена опция "использовать шлюз в удаленной сети". Этот клиент получает адрес 192.168.18.210

И теперь хотим указать этому клиенту, что к сети 10.0.18.0/24 ему нужно через VPN как раз обращаться.

Казалось бы, делаем на клиенте
route add 10.0.18.0/24 192.168.18.1 -p - и всё.

Но проблема в том, что работать эта конструкция будет только до отключения VPN. А при следующем подключении - работать не будет, пока вы опять не добавите этот маршрут (который и так уже существует). И Windows ругнется даже, такой объект уже существует. Но при этом пинги пойдут.
С таблицами маршрутизации все понятно, вроде. Пока не повторишь добавление, то этот маршрут в "постоянных" то будет, а вот в "активные маршруты" - нет.

А вот если вы укажете на клиенте
route add 10.0.18.0/24 192.168.18.210 -p
- то это будет нормально работать всегда.
Но тут получаем офигенное неудобство, что нужно каждому клиенту присваивать постоянный адрес и прописывать каждому свой маршрут.

А как у вас, коллеги?

Уваров А.С.

Приведите таблицы маршрутизации до подключения, после, после отключения и при переподключении. Без них можно только гадать что там у вас происходит.

Alexey M

В целях уменьшения "простыни" я удалил повторяющийся список интерфейсов и про незадействованный IPv6

1) Нет VPN подключения.
C:\Windows\system32>route print

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.16.5.1     172.16.5.115     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.5.0    255.255.255.0         On-link      172.16.5.115    281
     172.16.5.115  255.255.255.255         On-link      172.16.5.115    281
     172.16.5.255  255.255.255.255         On-link      172.16.5.115    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.5.115    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.5.115    281
===========================================================================
Постоянные маршруты:
  Отсутствует

2) Подключили VPN, пинг до сети 10.0.18.0/24 - отсутствует.

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 51...........................test SSTP
 
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрик
          0.0.0.0          0.0.0.0       172.16.5.1     172.16.5.115     25
    95.217.xx.xxx  255.255.255.255       172.16.5.1     172.16.5.115     26
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.5.0    255.255.255.0         On-link      172.16.5.115    281
     172.16.5.115  255.255.255.255         On-link      172.16.5.115    281
     172.16.5.255  255.255.255.255         On-link      172.16.5.115    281
     192.168.18.0    255.255.255.0     192.168.18.1   192.168.18.210     26
   192.168.18.210  255.255.255.255         On-link    192.168.18.210    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.5.115    281
        224.0.0.0        240.0.0.0         On-link    192.168.18.210    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.5.115    281
  255.255.255.255  255.255.255.255         On-link    192.168.18.210    281
===========================================================================
Постоянные маршруты:
  Отсутствует

C:\Windows\system32>

3) Добавляем постоянный маршрут до сети, пинг после этого появляется.
C:\Windows\system32>route add 10.0.18.0/24 192.168.18.1 -p
 ОК

C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 51...........................test SSTP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.16.5.1     172.16.5.115     25
        10.0.18.0    255.255.255.0     192.168.18.1   192.168.18.210     26
    95.217.xx.xxx  255.255.255.255       172.16.5.1     172.16.5.115     26
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.5.0    255.255.255.0         On-link      172.16.5.115    281
     172.16.5.115  255.255.255.255         On-link      172.16.5.115    281
     172.16.5.255  255.255.255.255         On-link      172.16.5.115    281
     192.168.18.0    255.255.255.0     192.168.18.1   192.168.18.210     26
   192.168.18.210  255.255.255.255         On-link    192.168.18.210    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.5.115    281
        224.0.0.0        240.0.0.0         On-link    192.168.18.210    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.5.115    281
  255.255.255.255  255.255.255.255         On-link    192.168.18.210    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
        10.0.18.0    255.255.255.0     192.168.18.1       1
===========================================================================
C:\Windows\system32>

4) Отключаем VPN.
C:\Windows\system32>route print

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.16.5.1     172.16.5.115     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.5.0    255.255.255.0         On-link      172.16.5.115    281
     172.16.5.115  255.255.255.255         On-link      172.16.5.115    281
     172.16.5.255  255.255.255.255         On-link      172.16.5.115    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.5.115    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.5.115    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
        10.0.18.0    255.255.255.0     192.168.18.1       1
===========================================================================

C:\Windows\system32>

5) Теперь подключаем по новой:
C:\Windows\system32>route print
===========================================================================
Список интерфейсов
 51...........................test SSTP
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0       172.16.5.1     172.16.5.115     25
    95.217.xx.xxx  255.255.255.255       172.16.5.1     172.16.5.115     26
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.5.0    255.255.255.0         On-link      172.16.5.115    281
     172.16.5.115  255.255.255.255         On-link      172.16.5.115    281
     172.16.5.255  255.255.255.255         On-link      172.16.5.115    281
     192.168.18.0    255.255.255.0     192.168.18.1   192.168.18.210     26
   192.168.18.210  255.255.255.255         On-link    192.168.18.210    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.5.115    281
        224.0.0.0        240.0.0.0         On-link    192.168.18.210    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.5.115    281
  255.255.255.255  255.255.255.255         On-link    192.168.18.210    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
        10.0.18.0    255.255.255.0     192.168.18.1       1
===========================================================================
C:\Windows\system32>

И вот теперь у нас нет активного маршрута к сети 10.0.18.0
И как его туда запихать, кроме как прописать по новой - я не понимаю.

Уваров А.С.

В общем и целом ситуацию понял. Посмотрю вечером на стенде.

ival

Все правильно. А не работает потому, что не правильно. Я в очередной раз попытаюсь донести НЕ ИСПОЛЬЗУЙТЕ СЕТИ 192.168.x.x на оконечных устройствах. В ядре, пожалуйста, но не на концах сети. Проблема ваша в том, что Windows при построении маршрутов использует классы. Это старо, все уже давно используют VLSM, но имеем что имеем. Многие инженеры этого не учитывают. Выход очень прост, Вам нужно воткнуть пул адресов в любую сеть того класса. Т.е. вы можете под vpn выделеть сеть 10.10.0.0/24 и при подключении vpn клиента вы в таблице маршрутизации Windows увидите маршрут 10.0.0.0 255.0.0.0 (IP VPN GW) И ваша сеть 10.0.18.0 доступна через этот маршрут

Alexey M

Век живи, что говорится... Спасибо ival.
Действительно, вижу разницу, при выдаче адресов из разных пулов.