A
Макс Степченков
да хотя я думаю можно и без l2
ещё уточнение: клиенты будут виндовые, линуховые, разношёрстные?
Size: a a a
2020 July 13
МС
ещё уточнение: клиенты будут виндовые, линуховые, разношёрстные?
только виндовые
B
Макс Степченков
только виндовые
видеооборудование давно всё в L3 работает
AM
Макс Степченков
но меня не посвещали что конкретно
Вы бы перед поиском решения задача узнали бы все условия задачи. А то как в школе уже уравнение фигарите, а еще Дано не записали.
MA
Макс Степченков
да хотя я думаю можно и без l2
Тогда сажай впн-клиентов в отдельную сеть и маршрутизируй к ним и от них.
Но вопрос-то изначально в другом. Как сделать впн-пользователям нужные маршруты не используя статическую маршрутизацию на клиенте и не использую всякую динамическую дичь типа rip/ospf/bgp/etc.
У клиентов админские права есть? Они какой-нибудь смак осилят накатить? Маршрутизируемые сети будут меняться?
Но вопрос-то изначально в другом. Как сделать впн-пользователям нужные маршруты не используя статическую маршрутизацию на клиенте и не использую всякую динамическую дичь типа rip/ospf/bgp/etc.
У клиентов админские права есть? Они какой-нибудь смак осилят накатить? Маршрутизируемые сети будут меняться?
AM
Макс Степченков
только виндовые
Присмотритесь к классовой маршрутизации, если получится
МС
Тогда сажай впн-клиентов в отдельную сеть и маршрутизируй к ним и от них.
Но вопрос-то изначально в другом. Как сделать впн-пользователям нужные маршруты не используя статическую маршрутизацию на клиенте и не использую всякую динамическую дичь типа rip/ospf/bgp/etc.
У клиентов админские права есть? Они какой-нибудь смак осилят накатить? Маршрутизируемые сети будут меняться?
Но вопрос-то изначально в другом. Как сделать впн-пользователям нужные маршруты не используя статическую маршрутизацию на клиенте и не использую всякую динамическую дичь типа rip/ospf/bgp/etc.
У клиентов админские права есть? Они какой-нибудь смак осилят накатить? Маршрутизируемые сети будут меняться?
нет клиенты совсем печальны в настройке чего либо
MA
Макс Степченков
нет клиенты совсем печальны в настройке чего либо
Смак тем и приколен что там в три клика всё само ставится\настраивается, но нужны админские права на локальной машине.
МС
Присмотритесь к классовой маршрутизации, если получится
этого бы 1000% решило бы мою боль) но к сожалению там очень много камер и другого оборудования для обработки видеопотока, и разом на такое никто не решится(((
AM
Макс Степченков
этого бы 1000% решило бы мою боль) но к сожалению там очень много камер и другого оборудования для обработки видеопотока, и разом на такое никто не решится(((
я по вашему ответу понял. что у вас там 192.168. сеть внутри?
МС
Смак тем и приколен что там в три клика всё само ставится\настраивается, но нужны админские права на локальной машине.
сделать стическую маршрутизацию через смак и разослать юзерам?
A
Макс Степченков
только виндовые
тогда предлагаю три два костыльных решения:
1) оставить у клиентов дефолтовую галку "Использовать основной шлюз в удалённой сети". Выход в интернет им придётся заблокировать, или смириться с тем, что их интернет-трафик пойдёт через ваш микротик.
2) впн-клиентам выдавать адрес 192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
3) на стороне клиентов добавлять один маршрут в подсеть 192.168.0.0/16 через впн-интерфейс. На вин10 прекрасно работает для этой цели командлет add-vpnconnectionroute, на 8ке не уверен, на 7 и младше - не работает.
Нормальным решением было бы переделать всё... Но это кардинально.
Смак, который выше предложили - тоже хорошее решение, если не боитесь пробовать.
1) оставить у клиентов дефолтовую галку "Использовать основной шлюз в удалённой сети". Выход в интернет им придётся заблокировать, или смириться с тем, что их интернет-трафик пойдёт через ваш микротик.
2) впн-клиентам выдавать адрес 192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
3) на стороне клиентов добавлять один маршрут в подсеть 192.168.0.0/16 через впн-интерфейс. На вин10 прекрасно работает для этой цели командлет add-vpnconnectionroute, на 8ке не уверен, на 7 и младше - не работает.
Нормальным решением было бы переделать всё... Но это кардинально.
Смак, который выше предложили - тоже хорошее решение, если не боитесь пробовать.
MA
Макс Степченков
сделать стическую маршрутизацию через смак и разослать юзерам?
ага
МС
Спасибо огромное СМАК взял в вооружение! че то я про него и позабыл
MA
тогда предлагаю три два костыльных решения:
1) оставить у клиентов дефолтовую галку "Использовать основной шлюз в удалённой сети". Выход в интернет им придётся заблокировать, или смириться с тем, что их интернет-трафик пойдёт через ваш микротик.
2) впн-клиентам выдавать адрес 192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
3) на стороне клиентов добавлять один маршрут в подсеть 192.168.0.0/16 через впн-интерфейс. На вин10 прекрасно работает для этой цели командлет add-vpnconnectionroute, на 8ке не уверен, на 7 и младше - не работает.
Нормальным решением было бы переделать всё... Но это кардинально.
Смак, который выше предложили - тоже хорошее решение, если не боитесь пробовать.
1) оставить у клиентов дефолтовую галку "Использовать основной шлюз в удалённой сети". Выход в интернет им придётся заблокировать, или смириться с тем, что их интернет-трафик пойдёт через ваш микротик.
2) впн-клиентам выдавать адрес 192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
192.168.0.0/16. Решение достаточно стрёмное, я так никогда не делал, но рискнуть можно. У остальных ваших маршрутов в подсети 192.168.х.0 должна быть меньшая маска, поэтому их общению такой маршрут не помешает.
3) на стороне клиентов добавлять один маршрут в подсеть 192.168.0.0/16 через впн-интерфейс. На вин10 прекрасно работает для этой цели командлет add-vpnconnectionroute, на 8ке не уверен, на 7 и младше - не работает.
Нормальным решением было бы переделать всё... Но это кардинально.
Смак, который выше предложили - тоже хорошее решение, если не боитесь пробовать.
2 - вообще дичь дикая и это так не работает. Клиент на большинстве впнов вообще IP без маски получает. Ну точнее там /32 и вообще ppp.
3 - если на "том конце" условная "Зинаида Петровна" которая только в мышку умеет - не взлетит.
3 - если на "том конце" условная "Зинаида Петровна" которая только в мышку умеет - не взлетит.
A
2 - вообще дичь дикая и это так не работает. Клиент на большинстве впнов вообще IP без маски получает. Ну точнее там /32 и вообще ppp.
3 - если на "том конце" условная "Зинаида Петровна" которая только в мышку умеет - не взлетит.
3 - если на "том конце" условная "Зинаида Петровна" которая только в мышку умеет - не взлетит.
2) да, спасибо, не подумал, что классовая маршрутизация не сработает для этой подсети.
B
Макс Степченков
сделать стическую маршрутизацию через смак и разослать юзерам?
AN
Господа, пните пожалуйста куда-нить где можно узать, какой атрибут слать радиусом микроту для определения уровня доступа
AN
А то чет пока пятая ссылка в гугле и ничего