Проконсультируйте по технологиям VPN. :)

@superkonst · Регистрация: 04.03.2016

Author24 — интернет-сервис помощи студентам

Вопрос наверно заезженный, но в кучу у меня информация не собирается... Проконсультируйте пожалуйста.
Есть Микротик
Домен AD
Удаленные клиенты (Windows в большинстве случаев.)

Задача - поднять ВПН с авторизацией в AD (Radius) и с передачей маршрута до серверов. Т.е. подключаться со снятой галочкой "Использовать основной шлюз в удаленной сети"

Реализовано PPTP + Radius - но оно не передает маршруты. (Windows RAS кстати умеет, DHCP Relay или как-то так звучит опция)
IPSEC - Умеет маршруты, но не получилось сделать авторизацию по RADIUS. Только парой сертификатов.

SSTP - занят порт, но он не сильно отличается от PPTP
OVPN - Требует клиента и не подходит.

Соответсвенно вопрос, может я не умею в IPSEC и все должно получиться, без выпуска отдельных сертификатов каждому?
Может можно как-то настроить PPTP выдавать адреса из основной сети, или совпадающие с основной сетью, и хитрую обаботку маршрутизации? (Что-то у меня сделать не получилось с наскоку)
Использовать L2TP ? (Туда я не совался еще)

@.None · 26.12.2020, 17:21

Сообщение от superkonst

Задача - поднять ВПН с авторизацией в AD (Radius) и с передачей маршрута до серверов. Т.е. подключаться со снятой галочкой "Использовать основной шлюз в удаленной сети"
Реализовано PPTP + Radius - но оно не передает маршруты. (Windows RAS кстати умеет, DHCP Relay или как-то так звучит опция)
IPSEC - Умеет маршруты, но не получилось сделать авторизацию по RADIUS. Только парой сертификатов.

Использовать классовую маршрутизацию, Правильная настройка VPN для доступа к корпоративной сети
У вас как раз есть возможность неспеша сменить адресацию в сети за новогодние каникулы

Сообщение от superkonst

SSTP - занят порт, но он не сильно отличается от PPTP

на микротике sstp server можно повесить на любой другой порт, к примеру на 444

ну или как вариант поднять VPN сервер на windows сервере, пробросив необходимые порты/протоколы на вин сервер.

я у себя как раз использую возможности классовой маршрутизации, сеть 10.0.0.0/8
не у всех клиентов работает pptp, у кого не работает у тех sstp, сертификат от летсэнкрипт, все работает достаточно стабильно, но у меня нет AD.

@insect_87 · 26.12.2020, 17:32

Вариантов много.
Один: отдавать маршруты по RIP, у win клиентов включить прослушиватель RIP.
Два: те же PPTP, SSTP, L2TP, L2TP over IPSEC, но туннельные адреса и сеть серверов выбираются особым способом (по классовой адресации) .
Например пул для туннельных 172.16.1.0-172.16.1.255, сеть серверов 172.16.255.0/24 или 172.16.0.0/24;
пул для туннельных 10.10.1.0-10.10.1.255, сеть серверов 10.255.255.0/24 или 10.0.0.0/24
пул для туннельных 192.168.1.0-192.168.1.127, сеть серверов 192.168.1.128/25
Три: прописание маршрутов через bat файлы

@superkonst · 26.12.2020, 19:22 **[ТС]**

Классовая маршрутизация хорошо бы, но пока оставим как запасной вариант, лопатить там не перелопатить...

И так маска 20-я. А сеть 192.168...

Хотя, в общем-то не полностью классовую, но к серверам с использованием VLSM сделал. Пока сойдет.
Причем у меня из дома - не работает.

Похоже не пролезает pptp через провайдера.

А таки IPSEC IKEv2 c радиусом возможно?

@.None · 26.12.2020, 22:29

sstp должен пролезть, а вот адресацию нужно менять с 192.168.*.*, сразу куча уходит

вот еще посмотрите, на ютубе есть видео с мума

@superkonst · 26.12.2020, 23:18 **[ТС]**

Сертификал летсэнкрипта какой-то не такой... Попробую переделать.
Все я правильно делал... IPSEC ike2 + RADIUS - вполне себе рабочая схема.

@superkonst 0 / 0 / 0 Регистрация: 04.03.2016 Сообщений: 18
		1
	Проконсультируйте по технологиям VPN. :) 26.12.2020, 15:21. Показов 2111. Ответов 5 Метки ad, ipsec, pptp, radius (Все метки) Вопрос наверно заезженный, но в кучу у меня информация не собирается... Проконсультируйте пожалуйста. Есть Микротик Домен AD Удаленные клиенты (Windows в большинстве случаев.) Задача - поднять ВПН с авторизацией в AD (Radius) и с передачей маршрута до серверов. Т.е. подключаться со снятой галочкой "Использовать основной шлюз в удаленной сети" Реализовано PPTP + Radius - но оно не передает маршруты. (Windows RAS кстати умеет, DHCP Relay или как-то так звучит опция) IPSEC - Умеет маршруты, но не получилось сделать авторизацию по RADIUS. Только парой сертификатов. SSTP - занят порт, но он не сильно отличается от PPTP OVPN - Требует клиента и не подходит. Соответсвенно вопрос, может я не умею в IPSEC и все должно получиться, без выпуска отдельных сертификатов каждому? Может можно как-то настроить PPTP выдавать адреса из основной сети, или совпадающие с основной сетью, и хитрую обаботку маршрутизации? (Что-то у меня сделать не получилось с наскоку) Использовать L2TP ? (Туда я не совался еще) 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,611
	26.12.2020, 17:21	2
	Сообщение от superkonst Задача - поднять ВПН с авторизацией в AD (Radius) и с передачей маршрута до серверов. Т.е. подключаться со снятой галочкой "Использовать основной шлюз в удаленной сети" Реализовано PPTP + Radius - но оно не передает маршруты. (Windows RAS кстати умеет, DHCP Relay или как-то так звучит опция) IPSEC - Умеет маршруты, но не получилось сделать авторизацию по RADIUS. Только парой сертификатов. Использовать классовую маршрутизацию, Правильная настройка VPN для доступа к корпоративной сети У вас как раз есть возможность неспеша сменить адресацию в сети за новогодние каникулы Сообщение от superkonst SSTP - занят порт, но он не сильно отличается от PPTP на микротике sstp server можно повесить на любой другой порт, к примеру на 444 ну или как вариант поднять VPN сервер на windows сервере, пробросив необходимые порты/протоколы на вин сервер. я у себя как раз использую возможности классовой маршрутизации, сеть 10.0.0.0/8 не у всех клиентов работает pptp, у кого не работает у тех sstp, сертификат от летсэнкрипт, все работает достаточно стабильно, но у меня нет AD. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	26.12.2020, 17:32	3
	Вариантов много. Один: отдавать маршруты по RIP, у win клиентов включить прослушиватель RIP. Два: те же PPTP, SSTP, L2TP, L2TP over IPSEC, но туннельные адреса и сеть серверов выбираются особым способом (по классовой адресации) . Например пул для туннельных 172.16.1.0-172.16.1.255, сеть серверов 172.16.255.0/24 или 172.16.0.0/24; пул для туннельных 10.10.1.0-10.10.1.255, сеть серверов 10.255.255.0/24 или 10.0.0.0/24 пул для туннельных 192.168.1.0-192.168.1.127, сеть серверов 192.168.1.128/25 Три: прописание маршрутов через bat файлы 0

@superkonst 0 / 0 / 0 Регистрация: 04.03.2016 Сообщений: 18
	26.12.2020, 19:22 [ТС]	4
	Классовая маршрутизация хорошо бы, но пока оставим как запасной вариант, лопатить там не перелопатить... И так маска 20-я. А сеть 192.168... Хотя, в общем-то не полностью классовую, но к серверам с использованием VLSM сделал. Пока сойдет. Причем у меня из дома - не работает. Похоже не пролезает pptp через провайдера. А таки IPSEC IKEv2 c радиусом возможно? 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,611
	26.12.2020, 22:29	5
	sstp должен пролезть, а вот адресацию нужно менять с 192.168.., сразу куча уходит вот еще посмотрите, на ютубе есть видео с мума 0

@superkonst 0 / 0 / 0 Регистрация: 04.03.2016 Сообщений: 18
	26.12.2020, 23:18 [ТС]	6
	Сертификал летсэнкрипта какой-то не такой... Попробую переделать. Все я правильно делал... IPSEC ike2 + RADIUS - вполне себе рабочая схема. 0