Форум программистов, компьютерный форум, киберфорум
Наши страницы
Mikrotik
Войти
Регистрация
Восстановить пароль
 
Johny_B
0 / 0 / 0
Регистрация: 07.08.2019
Сообщений: 7
1

Уточнение про VPN для клиентов

07.08.2019, 16:51. Просмотров 346. Ответов 14

Добрый день, форумчане!

Вкратце изложу схему сети.

Есть головной офис Mikrotik RB1100AHx4 (подсеть 10.10.0.0/24)
1 офис Mikrotik RB4011iGS+ (подсеть 10.10.3.0/24)
2 офис Mikrotik hEX S (подсеть 10.10.4.0/24)

В головном офисе поднят AD с DHCP и DNS (КД 10.10.0.3 на Win Server 2008 R2).

Физически все устройства находятся в разных местах и подключены к интернету по белым IP.
На головном устройстве настроен l2tp сервер с ipsec шифрованием.
В офисах настроены l2tp клиенты.
На всех устройствах прописаны маршруты к подсетям друг друга.

В каждой подсети все устройства видят друг друга и по IP адресу и по имени, проблем нет.
Файерволл отключен совсем на всех Микротиках, т.к. еще первый раз имею дело с Микротиками, не хочу лишний раз упираться в него.
Настройка туннелей сделана по этой статье.

Проблема в том, что если я подключаюсь к головному офису через простое устройство (компьютер, смартфон), то мне доступны только устройства из подсети головного микротика (10.10.0.0/24), причем только по IP адресу, по имени устройства не доступны. Другие подсети (10.10.3.0/24 и 10.10.4.0/24) не доступны.
Теоретически думаю можно на клиентском устройстве прописать маршруты, но хотелось бы свести эти действия к минимуму, чтобы сотрудники подключались просто по логину/паролю, а все настройки были на микротике.
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.08.2019, 16:51
Ответы с готовыми решениями:

DHCP резервирование для VPN клиентов
Добрый день! Прошу подсказать, есть dhcp сервер на cisco 2901 с пулом адресов, выдаваемых VPN...

Уточнение про Telnet
Господа Доброго времени суток, у меня такой вопрос. Я чисто в Академических целях хотел бы через...

уточнение про noindex
В связи с изменениями в <b>находке</b>: больший вес придается внутреннему содержанию текста. У...

Уточнение про нахождение ранга allex-1414
даны несколько строк чисел. Необходимо расставить ранг, т.е. например максимальое число имеет ранг...

Маршрутизация VPN-клиентов в определенную VLAN с совпадающими адресами
Добрый день. Вопрос первый: возможна ли конфигурация, описанная ниже? Необходимо организовать...

14
NoNaMe
Эксперт по компьютерным сетям
737 / 358 / 62
Регистрация: 10.06.2009
Сообщений: 1,627
Завершенные тесты: 1
07.08.2019, 17:25 2
Johny_B, дайте экспорт конфигурации и схему сети.
0
romsan
Эксперт по компьютерным сетям
2173 / 1280 / 266
Регистрация: 17.10.2015
Сообщений: 5,651
07.08.2019, 20:22 3
Если ты желаешь что бы при подключении к любому офису иметь доступ ко всем ресурсам всех сетей, просто подними OSPF и делов то.

Добавлено через 45 секунд
Цитата Сообщение от Johny_B Посмотреть сообщение
Файерволл отключен совсем на всех Микротиках
а вот это зря. Минимальный хотябы применить нужно.
0
Johny_B
0 / 0 / 0
Регистрация: 07.08.2019
Сообщений: 7
08.08.2019, 10:05  [ТС] 4
Схему сети прикрепил к файлам

Конфиги:

Головной офис
Кликните здесь для просмотра всего текста

# aug/07/2019 16:59:19 by RouterOS 6.45.2
# software id = LCV8-7Y6U
#
# model = RB1100x4
# serial number = 91D70A4F5F67
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-MTS speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] comment=LAN name=ether6-LAN speed=100Mbps
set [ find default-name=ether7 ] speed=100Mbps
set [ find default-name=ether8 ] speed=100Mbps
set [ find default-name=ether9 ] speed=100Mbps
set [ find default-name=ether10 ] speed=100Mbps
set [ find default-name=ether11 ] speed=100Mbps
set [ find default-name=ether12 ] speed=100Mbps
set [ find default-name=ether13 ] speed=100Mbps
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-MTS name=dialer-MTS \
password=********* use-peer-dns=yes user=************
/interface l2tp-server
add name=tunel-nahim user=nahim
add name=tunel-showroom user=showroom
add name=vpn-denadmin user=denadmin
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=\
aes-256,aes-192,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ppp profile
add change-tcp-mss=yes dns-server=10.10.0.3 name=vpn-denadmin use-upnp=yes \
wins-server=10.10.0.3
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret="***********" use-ipsec=\
yes
/ip address
add address=10.10.0.1/24 interface=ether6-LAN network=10.10.0.0
/ip dhcp-relay
add dhcp-server=10.10.0.3 disabled=no interface=ether6-LAN name=dhcp-relay
/ip dns
set allow-remote-requests=yes servers=10.10.0.3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=dialer-MTS
add action=netmap chain=dstnat dst-port=443 in-interface=dialer-MTS protocol=\
tcp to-addresses=10.10.0.12 to-ports=443
add action=netmap chain=dstnat dst-port=25 in-interface=dialer-MTS protocol=\
tcp to-addresses=10.10.0.12 to-ports=25
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip route
add comment=tunel-showroom distance=1 dst-address=10.10.3.0/24 gateway=\
10.10.20.2 pref-src=10.10.0.1
add comment=tunel-nahim distance=1 dst-address=10.10.4.0/24 gateway=\
10.10.20.3 pref-src=10.10.0.1
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add local-address=10.10.20.1 name=showroom password="**********" profile=\
default-encryption remote-address=10.10.20.2 service=l2tp
add local-address=10.10.20.1 name=nahim password="*********" profile=\
default-encryption remote-address=10.10.20.3 service=l2tp
add local-address=10.10.20.1 name=denadmin password="**********" profile=\
vpn-denadmin remote-address=10.10.20.5 routes="10.10.0.0/16 10.10.20.5" \
service=l2tp
/routing rip
set distribute-default=if-installed
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MikroTik-HeadRouter
/system ntp client
set enabled=yes server-dns-names="time.google.com,0.pool.ntp.org,1.pool.ntp.or\
g,2.pool.ntp.org,3.pool.ntp.org"


1 офис (showroom)
Кликните здесь для просмотра всего текста

# aug/08/2019 9:20:00 by RouterOS 6.45.2
# software id = NIMR-JXI6
#
# model = RB4011iGS+
# serial number = B8F30A972732
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-LAN
/interface l2tp-client
add allow=mschap2 connect-to=93.187.183.73 disabled=no ipsec-secret=\
"**********" name=tunel-showroom password="**********" use-ipsec=yes user=\
showroom
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=10.10.3.100-10.10.3.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether2-LAN name=dhcp1
/ip address
add address=89.221.60.50/27 interface=ether1-WAN network=89.221.60.32
add address=10.10.3.1/24 interface=ether2-LAN network=10.10.3.0
/ip dhcp-server network
add address=10.10.3.0/24 dns-server=10.10.0.3 gateway=10.10.3.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
/ip route
add distance=1 gateway=89.221.60.33
add distance=1 dst-address=10.10.0.0/24 gateway=10.10.20.1 pref-src=10.10.3.1
add distance=1 dst-address=10.10.4.0/24 gateway=10.10.20.1 pref-src=10.10.3.1
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MikroTik-showroom
/system ntp client
set enabled=yes server-dns-names="time.google.com,0.pool.ntp.org,1.pool.ntp.or\
g,2.pool.ntp.org,3.pool.ntp.org"


2 офис (nahim)
Кликните здесь для просмотра всего текста

# aug/08/2019 9:54:16 by RouterOS 6.44.1
# software id = ZHIM-JL7H
#
# model = RB760iGS
# serial number = A36A0AA64DD9
/interface bridge
add dhcp-snooping=yes name=bridge1-LAN
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-LAN
set [ find default-name=ether3 ] name=ether3
set [ find default-name=ether4 ] name=ether4
set [ find default-name=ether5 ] name=ether5
/interface l2tp-client
add allow=mschap2 connect-to=93.187.183.73 disabled=no ipsec-secret=\
"********" name=tunel-nahim password="********" use-ipsec=yes user=\
nahim
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.10.4.50-10.10.4.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1-LAN name=dhcp1
/interface bridge port
add bridge=bridge1-LAN interface=ether2-LAN
add bridge=bridge1-LAN interface=ether3
add bridge=bridge1-LAN interface=ether4
add bridge=bridge1-LAN interface=ether5
/ip address
add address=10.10.4.1/24 interface=ether2-LAN network=10.10.4.0
add address=185.36.62.88/26 interface=ether1-WAN network=185.36.62.64
/ip dhcp-server network
add address=10.10.4.0/24 dns-server=10.10.0.3 gateway=10.10.4.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
/ip route
add distance=1 gateway=185.36.62.65
add distance=1 dst-address=10.10.0.0/24 gateway=10.10.20.1 pref-src=10.10.4.1
add distance=1 dst-address=10.10.3.0/24 gateway=10.10.20.1 pref-src=10.10.4.1
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MikroTik-nahim
/system ntp client
set enabled=yes server-dns-names="time.google.com,0.pool.ntp.org,1.pool.ntp.or\
g,2.pool.ntp.org,3.pool.ntp.org"
0
Миниатюры
Уточнение про VPN для клиентов  
08.08.2019, 10:05
Johny_B
0 / 0 / 0
Регистрация: 07.08.2019
Сообщений: 7
08.08.2019, 11:17  [ТС] 5
Частично проблему решил добавив правила NAT для сетей офисов и VPN
Добавил следующие правила на головной Микротик и вся сеть стала доступна для клиентов по IP

Кликните здесь для просмотра всего текста
add action=masquerade chain=srcnat src-address=10.10.20.0/24
add action=masquerade chain=srcnat src-address=10.10.3.0/24
add action=masquerade chain=srcnat src-address=10.10.4.0/24


Но сеть по прежнему не доступна по именам
0
romsan
Эксперт по компьютерным сетям
2173 / 1280 / 266
Регистрация: 17.10.2015
Сообщений: 5,651
08.08.2019, 17:56 6
Цитата Сообщение от Johny_B Посмотреть сообщение
сеть по прежнему не доступна по именам
на сколько мне известно NetBios работает в одном шировещательном домене, т.е. в своей подсети
0
Johny_B
0 / 0 / 0
Регистрация: 07.08.2019
Сообщений: 7
08.08.2019, 18:20  [ТС] 7
Заметил особенность, полные доменные вида comp.company.local имена доступны, только короткие имена вида comp не доступны

Добавлено через 4 минуты
Цитата Сообщение от romsan Посмотреть сообщение
на сколько мне известно NetBios работает в одном шировещательном домене, т.е. в своей подсети
Но ведь между офисами все устройства доступны по коротким именам, хотя разные подсети.
0
pEntity
146 / 159 / 29
Регистрация: 12.12.2012
Сообщений: 1,502
09.08.2019, 08:04 8
Если у Вас машины в одном домене, сетевой адаптер автоматически добавляет суффикс домена при посылке ICMP пакета.
0
xsyava
1 / 1 / 0
Регистрация: 04.06.2019
Сообщений: 17
13.08.2019, 23:21 9
У меня схожая проблема. Дело все в том, что у mikrotik стоит запрет на broadcast запросы через vpn. Решается проблема добавлением профиля pptp, 2pt или opvpn (или что там у вас) в bridge локальной сети. Это делается как на стороне сервера, так и на стороне клиента. Также увеличивается MRRU до 1600.

Почитайте:

https://wiki.mikrotik.com/wiki/Manua..._Remote_Client

https://forummikrotik.ru/viewtopic.p...87%D0%BA%D0%B0

У меня ресурсы по samba стали доступны, но появилась другая проблема - компьютеры из сети со стороны роутера-клиента vpn стали ходить в интернет не напрямую, а через vpn туннель и роутер-сервер соответственно.

Так что если разберетесь, то может и мне помочь сможете...
0
Johny_B
0 / 0 / 0
Регистрация: 07.08.2019
Сообщений: 7
14.08.2019, 01:26  [ТС] 10
Дело в том, что между микротиками у меня всё отлично и без EoIP: netbios имена ходят, samba работает, авторизация везде работает, rdp, почта exchange и 1с через терминал и клиент работают отлично. Никакие бриджи не делал, MRRU не увеличивал.

У меня только для клиентов на Win, которые подключаются через встроенный vpn клиент в винду не доступны netbios имена, всё же остальное сейчас работает отлично: и папки расшаренные, и терминал, rdp, exchange почта, всё ок. (сначала сеть за микротиками филиалов не была доступна, но решилось путём добавления NATа за филиальные микротики)
Только netbios имена не ходят, и, я так понял, не будут ходить (можно сделать только через openvpn, но ради netbios имён не хочется всем его настраивить, и так всё работает, либо ставить всем микротики).

Заметил только одну особенность, для клиентов на Win для авторизации в общих папках по умолчанию берутся логин/пароль от l2tp соединения, поэтому не пускает в расшаренные папки (напомню у меня сеть с Active Directory, везде в папках настроены права доступа), но решить это можно путём интеграции AD в микротик при помощи RADIUS. Тогда, думаю все смогут подключаться к микротику по своей связке логин/пароль от доменной учётки. Это чуть позже буду реализовывать.
0
pEntity
146 / 159 / 29
Регистрация: 12.12.2012
Сообщений: 1,502
14.08.2019, 07:30 11
По FQDN то есть доступ ?
0
xsyava
1 / 1 / 0
Регистрация: 04.06.2019
Сообщений: 17
14.08.2019, 09:45 12
(сначала сеть за микротиками филиалов не была доступна, но решилось путём добавления NATа за филиальные микротики)

А можно об этом по подробнее на вашем примере?
0
Johny_B
0 / 0 / 0
Регистрация: 07.08.2019
Сообщений: 7
14.08.2019, 16:46  [ТС] 13
Цитата Сообщение от pEntity Посмотреть сообщение
По FQDN то есть доступ ?
Да, иначе бы у клиентов на винде не работала бы ни почта Exchange, ни сетевые шары, ни терминал для 1С
Цитата Сообщение от xsyava Посмотреть сообщение
(сначала сеть за микротиками филиалов не была доступна, но решилось путём добавления NATа за филиальные микротики)
А можно об этом по подробнее на вашем примере?
Об этом я рассказал несколькими сообщениями выше

Еще раз повторюсь, между микротиками всё отлично
Только netbios имена не доступны только между микротиком и vpn подключением на винде
0
pEntity
146 / 159 / 29
Регистрация: 12.12.2012
Сообщений: 1,502
15.08.2019, 08:30 14
Ну, а машина в домене ?
0
Johny_B
0 / 0 / 0
Регистрация: 07.08.2019
Сообщений: 7
15.08.2019, 14:02  [ТС] 15
Пробовал и доменную и недоменную, результат один.
Перечитал кучу информации, netbios имена не завести через родной vpn клиент в винде, openvpn ставить всем не хочу.
В принципе, всё и так работает через полные имена, нужно только AD привязать, чтобы на сетевые шары стал пускать.
0
15.08.2019, 14:02
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
15.08.2019, 14:02

Про Скорость Клиентов 8.х...
Грамотная статья про настройки клиенской ОС. Применима не только для Нотес. Improvyng IBM Lotus...

расскажите про VPN
всем привет! расскажите, пожалуйста, как работает VPN? например, если я в браузере (Opera)...

Термоинтерфейс для процессора (уточнение информации)
Я испортил платформу на седле кулера она теперь не идиально ровная и температура поднялась на 5-7...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru