Top 3 способа передачи маршрутов удаленным VPN-клиентам
Top 3 способа передачи маршрутов удаленным VPN-клиентам
В видео рассказано в целом про все способы передачи маршрутов, ниже опишу наиболее удобные:
1. Рекомендуем использовать классовую маршрутизация, в таком варианте никакие маршруты на клиенте прописывать не надо, при подключение к VPN вы получите «классовый маршрут» на сеть на впн шлюз т.е 172.16.0.0/16 и 10.0.0.0/8.
Итог если сеть распланирована верно, пример:
Переводим адресацию сетей на диапазон 172.16.0.0/16 (mask 255.255.0.0). Получается сеть класса “B”. Внутри нее планируем подсети:
1. 172.16.1.0/24 (mask 255.255.255.0) – клиенты VPN
2. 172.16.10.0/24 (mask 255.255.255.0) – головной офи с
3. 172.16.20.0/24 (mask 255.255.255.0) – сеть филиала
4. … и еще 253 подсети по /24 свободны
Если сеть маленькая и вы хотите использовать для сети 192.168.X.0/24, то выход поделить на подсети:
1. 192.168.10.0/25 (mask 255.255.255.128) – сеть офиса
2. 192.168.10.128/25 (mask 255.255.255.128) – клиенты VPN
И тут у вас классовый маршрут будет 192.168.10.0/24 – который отправить на впн сервер.
2. RIP также довольно простой способ, на mikrotik включить в два клика (смотрите в видео), при этом на клиенте не забудьте:
2.1. Включить прослушиватель RIP
2.2. Открыть порт UDP 520 на входящий трафик.
3. IKEv2 можно прокидывать маршруты (все модно и молодежно), но очень сложно настраивать и отлаживать.
Дополнение, если ваша задача только добавить маршрут, VPN сервер вы не администрируете и у вас Windows 10, то есть удобный способ: прописать статический маршрут для любого VPN интерфейса ,который будет поднят VPN тунель с указанным именем:
Добавить:
Add-VpnConnectionRoute -ConnectionName "VPN_NAME" -DestinationPrefix 192.168.111.0/24 –PassThru
Удалить:
Remove-VpnConnectionRoute -ConnectionName
VPN_NAME -DestinationPrefix 192.168.111.0/24 -PassThru