Видеть сеть за VPN соединением

@mostApi · Регистрация: 15.05.2015

Студворк — интернет-сервис помощи студентам

Добрый день
Такая схема:
Mikrotik1 в роли VPN сервера: Lan=192.168.0.1\24, VPN=10.10.10.1\24 (+Pool) с белым внешним IP.
Mikrotik2 в роли клиента 1: Lan=172.0.0.0\24, VPN=10.10.10.2
Mikrotik3 в роли клиента 2: Lan=172.0.1.0\24, VPN=10.10.10.3
+ админ клиент с Windows: Lan=192.168.1.1\24, VPN=10.10.10.254
Как мне с Windows ПК админа видеть всех в сети Клиента 1 и 2 (Микротик 2 и 3)?
Как сделать так, чтобы ПК в локальных сетях клиентов 1 и 2 не могли между собою обмениваться трафиком в VPN, чтобы не гнать лишнее...?!

Добавлено через 2 минуты
VPN настроен, работает, клиенты коннектятся, IP которые указаны актуальны

Добавлено через 2 часа 35 минут
Добавил маршрут на Windows:

Windows Batch file
1
route add 192.168.1.0 mask 255.255.255.0 10.10.10.254 -p

- пинг проходит до 192.168.1.1
Дальше есть ПК 192.168.1.249 - как достать его?

@mostApi · 19.09.2019, 15:04 **[ТС]**

romsan,

Сообщение от romsan

я по Китайски об этом писал!?

- я думал что если пинги на машину идут то значит все отрабатывает))хх

На МК1 добавляю вот такой маршрут для клиента:

Windows Batch file
1
add src-address=10.10.10.254 dst-address=192.168.0.0/24 gateway=10.10.10.2

- и ничего не ходит(

@romsan · 19.09.2019, 15:58

10.10.10.2 - это конец туннеля на МТ2. Но твой ПК об этом адресе не знает. Он, при поднятом туннеле, знает об 10.10.10.1 (конец туннеля на МТ1)
Нужно на МТ1 прописать маршрут от 10.10.10.254 до 192.168.0.0/24 через 10.10.10.2
А так же на МТ1 прописать обратную маршрутизацию от 192.168.0.0/24 до 10.10.10.254 через 10.10.10.1

@mostApi · 19.09.2019, 17:05 **[ТС]**

romsan,

Сообщение от romsan

Нужно на МТ1 прописать маршрут от 10.10.10.254 до 192.168.0.0/24 через 10.10.10.2
А так же на МТ1 прописать обратную маршрутизацию от 192.168.0.0/24 до 10.10.10.254 через 10.10.10.1

- сделал, нет обмена...
П.С. На МК1 доступ тот же(

@romsan · 19.09.2019, 17:42

Опять путаешь нас.
Во-первых, адрес 10.10.10.255 нельзя использовать - это широковещательный адрес подсети (я твой пулл для VPN поправил)
Во-вторых, в роутах ты в качестве шлюза указываешь имя_интерфейса, а нужно ip-адрес конца туннеля указывать.

и мне, имея доступ только к МТ1, сложно отслеживать где проблема. Нужно и к МТ2 иметь доступ. По ssh мне неудобно.

Добавлено через 3 минуты
Еще раз хочу обратить твое внимание.
Как то раз, настраивая аналогичную маршрутизацию между подсетями 4-х микротиков связанных туннелями, я намучался с этой статической маршрутизацией. Связь между двумя роутерами я маршрутами прописал, но при добавлении уже третьего роутера, я намучался прописывать маршруты - там их кучу нужно было прописывать на всех роутерах. Поэтому, как мне сказали - зачем изобретать велосипед!? - я тупо поднял OSPF. Этот протокол сам прописывает все необходимые маршруты между подсетями.
Вопрос: ты не ищешь лёгких путей?

Добавлено через 20 минут
вот тема - 3 офиса. там все разжовано Соеденение нескольких офисов

@mostApi · 19.09.2019, 17:45 **[ТС]**

romsan, назначил статику клиенту=10.10.10.3

Windows Batch file
1
2
3
4
5
6
7
8
9
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          192.168.8.1               2
 1 ADC  10.10.10.2/32      10.10.10.1      <sstp-bk36a>              0
 2 ADC  10.10.10.3/32      10.10.10.1      <sstp-test1>              0
 3   S  10.10.10.3/32      192.168.0.1     10.10.10.1                1
 4 A S  192.168.0.0/24     192.168.1.1     <sstp-bk36a>              1
 5   S  192.168.0.0/24     10.10.10.3      10.10.10.2                5
 6 ADC  192.168.1.0/24     192.168.1.1     l_bridge                  0
 7 ADC  192.168.8.0/24     192.168.8.100   lte1                      0

- толку ноль, хоть явно интерфейсом присваивай, хоть на IP

П.С. Не знаю как доступ на МК2 дать, кроме как ssh... , хотя что там смотреть, если пинг c 10.10.10.3 на 10.10.10.2 не идет

На OSPF можно реализовать мою схему? Мне все-равно мне нужен VPN для клиента на windows.

@mostApi · 20.09.2019, 12:08 **[ТС]**

romsan, убрал статичные маршруты...

В Routing -> OSPF создал дефолтовый конфиг с шифрованием и указал сети:

MK1: 192.168.1.0/24 и 10.10.10.0/24
MK2: 192.168.0.0/24 и 10.10.10.0/24

Насквозь пинг не проходит...

Добавлено через 7 минут
В примере по OSPF соединение между офисами подняты VPN сервер и клиент на обоих Микротиках, в моем случае чего не хватает?

Добавлено через 2 часа 8 минут
romsan, .None, +добавил в Routing -> OSPF сети:

MK1: 192.168.0.0/24
MK2: 192.168.1.0/24

Пинг на сквозь идет, сети 192.168.0.1/24 и 192.168.1.1/24 видят друг друга...
Теперь при подключении юзера по VPN - он ничего не видит в этих сетях... (10.10.10.3) - я на той же стадии как и было настроено без OSPF, что делать?!

@romsan · 20.09.2019, 15:08

ну тут по туннелям более профессионально ответит .None
На каждом МТ нужно прописать в настройках OSPF подсеть свою локальную и подсеть туннельную. Например у меня каждый туннель имеет свою подсеть.
МТ1 - 10.1.1.0/32
МТ2 - 10.2.2.0/32
....
МТ5 - 10.5.5.0/32
Соответственно, на каждом реге по две подсети. Единственно, на том реге куда все туннели подняты, там все подсети прописаны. У тебя на МТ1 в настройках OSPF прописана подсеть 192.168.1.0/24, 192.168.0.0./24 (зачем??? ее же нет на этом роутере) и 10.10.10.0/24

Добавлено через 2 минуты
я вечером попробую симитировать твою схему, подниму туннель с ПК до VPN-сервера и проверю доступ ко всем подсетям.

Добавлено через 22 минуты

Сообщение от mostApi

при подключении юзера по VPN - он ничего не видит в этих сетях...

а маршрут на этом юзере до подсетей прпоисал? Ведь ПК имеет маршрут по умолчанию (доступ в тырнет) и VPN-канал до сервера. Я подозреваю, что ответ от ПК летит на дефолтный маршрут, а не в туннель

Добавлено через 43 минуты
я туннели у себя поднял рртр, у тебя sstp. Я попробовал к тебе подключиться со своего ПК, но не смог экспортировать сертификат.

@mostApi · 20.09.2019, 16:12 **[ТС]**

romsan, спасибо, все заработало...
Вся проблема в том что я ориентировку проверки сети установил на другой ПК в сети на Виндовс, а он из других сетей пакеты просто так не принимает..., вот и весь затык(((
с OSPF намного проще с новыми клиентами

@romsan · 20.09.2019, 17:15

mostApi, блин, ну ты даешь. Я тыщу раз тебе говорил - ОС "отстреливает" пакеты из других подсетей. Как будто не читаешь мои посты....

Новые блоги и статьи Все статьи Все блоги /
20. Мат мед. Абсентеизм как отдельный тип простоя anaschu 29.05.2026 Апдейт модели: исправленные баги, абсентеизм и новые механизмы Продолжаю развивать ранее описанную модель рабочего коллектива на AnyLogic. За последние несколько дней был проведён серьёзный. . .	19. здоровье, усталость и психотип работника влияют на производительность предприятия, и наоборот, производительность на здоровье, усталось и психотип anaschu 28.05.2026 Дискретно-событийная модель рабочего коллектива на AnyLogic: здоровье, выгорание, психотипы и микростимуляция Привет, коллеги. Хочу поделиться итогами нескольких недель работы над симуляционной. . .	"Прокси" для последовательного порта Eddy_Em 28.05.2026 Эту штуку написал я достаточно давно. Но сейчас вот понадобилось настроить датчик грозы, но при этом не отключать его от "метеодемона". Соответственно, надо запустить этот "прокси": метеодемон будет. . .	Рефакторинг программы уравнивания. Massaraksh7 26.05.2026 Пример по предыдущей записи в блоге. Но, надо заметить, что, во-первых, там оптимизация не только математики, но и работы с базой данных, и с графами, а во-вторых, это ещё не всё.
Использование TThread в Lazarus для математических вычислений. Massaraksh7 25.05.2026 Производя рефакторинг своих программ на предмет ускорения их работы, обратил внимание на такой аспект, как сокращение времени матвычислений. Дело в том, что приходится работать с большими матрицами. . .	Модель здравосохранения 18. Чем здоровее работник, тем быстрее выгорает anaschu 24.05.2026 Имитационная модель корпоративного здравоохранения: что показывает математика Сегодня в модели рабочего коллектива на AnyLogic появились три новые механики — выгорание через накопленную усталость,. . .	Модель здравосохранения 17. Планы на выгорание anaschu 23.05.2026 Вот конкретная схема реализации: В классе Работник добавить: накопленнаяУсталость — растёт каждый час работы, снижается в перерывы и болезни коэффициентПрезентеизма — снижает продуктивность. . .	Изменение цветов в палитре gif файла aka фавикона russiannick 23.05.2026 Изменение цветов в палитре gif файла, юзаемого как фавиконка в составе html-файла, помещенная в base64, средствами нативного Java Script, навеянное сном в майский день. Для работы необходим браузер,. . .

@romsan 5882 / 2225 / 476 Регистрация: 17.10.2015 Сообщений: 9,422
	19.09.2019, 15:58
	10.10.10.2 - это конец туннеля на МТ2. Но твой ПК об этом адресе не знает. Он, при поднятом туннеле, знает об 10.10.10.1 (конец туннеля на МТ1) Нужно на МТ1 прописать маршрут от 10.10.10.254 до 192.168.0.0/24 через 10.10.10.2 А так же на МТ1 прописать обратную маршрутизацию от 192.168.0.0/24 до 10.10.10.254 через 10.10.10.1 0

@romsan 5882 / 2225 / 476 Регистрация: 17.10.2015 Сообщений: 9,422
	19.09.2019, 17:42
	Опять путаешь нас. Во-первых, адрес 10.10.10.255 нельзя использовать - это широковещательный адрес подсети (я твой пулл для VPN поправил) Во-вторых, в роутах ты в качестве шлюза указываешь имя_интерфейса, а нужно ip-адрес конца туннеля указывать. и мне, имея доступ только к МТ1, сложно отслеживать где проблема. Нужно и к МТ2 иметь доступ. По ssh мне неудобно. Добавлено через 3 минуты Еще раз хочу обратить твое внимание. Как то раз, настраивая аналогичную маршрутизацию между подсетями 4-х микротиков связанных туннелями, я намучался с этой статической маршрутизацией. Связь между двумя роутерами я маршрутами прописал, но при добавлении уже третьего роутера, я намучался прописывать маршруты - там их кучу нужно было прописывать на всех роутерах. Поэтому, как мне сказали - зачем изобретать велосипед!? - я тупо поднял OSPF. Этот протокол сам прописывает все необходимые маршруты между подсетями. Вопрос: ты не ищешь лёгких путей? Добавлено через 20 минут вот тема - 3 офиса. там все разжовано Соеденение нескольких офисов 0

@mostApi 8 / 6 / 0 Регистрация: 15.05.2015 Сообщений: 350
	20.09.2019, 12:08 [ТС]
	romsan, убрал статичные маршруты... В Routing -> OSPF создал дефолтовый конфиг с шифрованием и указал сети: MK1: 192.168.1.0/24 и 10.10.10.0/24 MK2: 192.168.0.0/24 и 10.10.10.0/24 Насквозь пинг не проходит... Добавлено через 7 минут В примере по OSPF соединение между офисами подняты VPN сервер и клиент на обоих Микротиках, в моем случае чего не хватает? Добавлено через 2 часа 8 минут romsan, .None, +добавил в Routing -> OSPF сети: MK1: 192.168.0.0/24 MK2: 192.168.1.0/24 Пинг на сквозь идет, сети 192.168.0.1/24 и 192.168.1.1/24 видят друг друга... Теперь при подключении юзера по VPN - он ничего не видит в этих сетях... (10.10.10.3) - я на той же стадии как и было настроено без OSPF, что делать?! 0

@mostApi 8 / 6 / 0 Регистрация: 15.05.2015 Сообщений: 350
	20.09.2019, 16:12 [ТС]
	romsan, спасибо, все заработало... Вся проблема в том что я ориентировку проверки сети установил на другой ПК в сети на Виндовс, а он из других сетей пакеты просто так не принимает..., вот и весь затык((( с OSPF намного проще с новыми клиентами 0

@romsan 5882 / 2225 / 476 Регистрация: 17.10.2015 Сообщений: 9,422
	20.09.2019, 17:15
	mostApi, блин, ну ты даешь. Я тыщу раз тебе говорил - ОС "отстреливает" пакеты из других подсетей. Как будто не читаешь мои посты.... 0