пожалуй, по феншую - vlan тегированный в вируталке и на микротике подхватить его. в отдельную IP-подсеть его только я не пойму где в интерфейсе нажать?

в интерфейсе КОГО?

винда - to site :)

в интерфейсе КОГО?

winbox) ну в proxmox наверное отдельный квест

client-to-site

ну вот эти у меня генерятся из l2tp и у всех стоит default proposal\

winbox) ну в proxmox наверное отдельный квест

в меню интерфейсов задай , задашь интерфейс и тег вилана

winbox) ну в proxmox наверное отдельный квест

Иди документацию читай

Как настроить vlan

ну вот эти у меня генерятся из l2tp и у всех стоит default proposal\

ну во первых тут давече писали что l2tp не умеет конектить больше 1 клиента из за одного удаленного ната..

грубо говоря тебе надо задать ID (тег вилана) и интерфейс на котором этот вилан принимать(транк порт, тагед-порт в терминологиях свитчей). и дальше работать с этим виланом как с полноценным отдельным интерфейсом

типа если два удаленных сотрудника придут в гостиницу в командировке и захотят каждый поднять впн из за гостиничного ната то подрубится только 1

а во вторых надо както пушить маршруты .. вот я хотел как в муме про ipsec+xauth

типа если два удаленных сотрудника придут в гостиницу в командировке и захотят каждый поднять впн из за гостиничного ната то подрубится только 1

хм. я этот тезис специально не проверял, но если бы это было так то у нас бы уже случился где-то локальный факап, ящитайу.

то есть если есть возможность экспериментально проверить этот тезис — лучше явно проверить.

грубо говоря тебе надо задать ID (тег вилана) и интерфейс на котором этот вилан принимать(транк порт, тагед-порт в терминологиях свитчей). и дальше работать с этим виланом как с полноценным отдельным интерфейсом

я не пойму где в интерфейсе EoIP указать потом vlan или бридж или что?

то есть если есть возможность экспериментально проверить этот тезис — лучше явно проверить.

Л2ТП работает с одного СРЦ порта. поэтому два конекта не должны поднятся. А вот другие протоколы работают с рандомных срц. портов ? Мне правда не хватает знаний что бы понять шифрует ли айписек свой пейлоад. если шифрует то вроде бы срц. порт Л2ТП пакета не будет играть роли, так как он будеш зашифрован внутри пейлоада айписек-пакетов

я не пойму где в интерфейсе EoIP указать потом vlan или бридж или что?

нигде. надо бриджевать вручную, как обычный езернет-интерфейс

хм. я этот тезис специально не проверял, но если бы это было так то у нас бы уже случился где-то локальный факап, ящитайу.

а я вот поднимал на микроте и на компе и у меня или то или то поднималось

в шрюве какой то там хитрый траверсал нат

я не пойму где в интерфейсе EoIP указать потом vlan или бридж или что?

Считай его виртуальным эзернетом

Чем он и является

Л2ТП работает с одного СРЦ порта. поэтому два конекта не должны поднятся. А вот другие протоколы работают с рандомных срц. портов ? Мне правда не хватает знаний что бы понять шифрует ли айписек свой пейлоад. если шифрует то вроде бы срц. порт Л2ТП пакета не будет играть роли, так как он будеш зашифрован внутри пейлоада айписек-пакетов

у меня просто около сотни человек на l2tp и ни один не жаловался. либо у меня пруха и они никогда не пересекались по площадям, либо какая-то эзотерика в настройках.

если поднят еще айписек то наверное айписек шифрует внутри себя

у меня просто около сотни человек на l2tp и ни один не жаловался. либо у меня пруха и они никогда не пересекались по площадям, либо какая-то эзотерика в настройках.

а маршруты

как ты с ними поступаешь

как ты с ними поступаешь

оставляю динамическими до дефолту.

use this connection as default gateway? ^:)

нигде. надо бриджевать вручную, как обычный езернет-интерфейс

а я не знаю как вручную. этo в меню /bridge/filters/ ?

оставляю динамическими до дефолту.

нее я имею ввиду как ты передаешь клиенту маршруты

вот тебе ж впн надо недля всего трафика клиента а только для некоторого. как ты клиенту говоришь что на такие то сервисы лезть через впн

Мне хватает, что они получают айпишники от внутренней сети.

эмм

это как

это как

Dhcp

У человека планшет. Он подключается, получает адрес в моей внутренней сети и дальше по RDP идёт на нужный сервер.

Dhcp

по VPN?

по VPN?

ну да.

по VPN?

Почему нет?

он летает через впн?

убедиться что пул не пересекается и всё.

Vpn в бридж с локальной сетью

Дхцп на бридж

У человека планшет. Он подключается, получает адрес в моей внутренней сети и дальше по RDP идёт на нужный сервер.

стоп стоп. учеловека дефолт роут стоит что?

он летает через впн?

Если броадкаст разрешишь

и дефолт гатевей

тоесть это одно и тоже

а я не знаю как вручную. этo в меню /bridge/filters/ ?

еще раз, тебе надо сбриджевать что? вилан и ЕОИП? ну так и бриджуй их - создавай новый бридж и в его порты добавь тот вилан и тот ЕОИП-тунель

и дефолт гатевей

адрес роутера же.

Vpn в бридж с локальной сетью

эм.. в бридж можно засунуть только интерфейс же

эм.. в бридж можно засунуть только интерфейс же

ну

так для микрота vpn - тоже интерфейс

с которым можно взаимодействовать как и с хардварным эзернэтом

ну

вот у человека (и у меня тож) 150 удаленных ползрвателей. для каждого тунеля ты создаешь отдельный интерфейс?

у меня сча интерфесы создаются и удаляются динамически

так динамические же.

так динамические же.

а как в бридж засунуть то что динамическое

как то нелогично

нее, вы что то новое говорите.. впн клиент всегда не должен становится маршрутом по умолчанию, а маршруты надо или както кидать или пушить через что то

стоп стоп стоп, а зачем туда вообще лезть в бридж порты?

у меня там только точки капсманов висят

нее, вы что то новое говорите.. впн клиент всегда не должен становится маршрутом по умолчанию, а маршруты надо или както кидать или пушить через что то

он раздаёт по впн внутренние ip

Vpn в бридж с локальной сетью

ну вот типа

стоп стоп стоп, а зачем туда вообще лезть в бридж порты?

я ему пример того, как можно без отсылки маршрутов клиентам, дать доступ к внутренним ресурсам по впн

я ему пример того, как можно без отсылки маршрутов клиентам, дать доступ к внутренним ресурсам по впн

а я тебе не про доступ)

а про дефолт маршрут

ERROR: S client not available

чтоб вконтактик пользователя не лез через наш впн

нет в микротиках встроенного функционала для отсылки маршрутов

можно как-то поизвращаться с опциями dhcp

а потом. концы туннелей удаленных пользователей НЕ в том же диапазоне что и сеть и сервисы

есть, но очень муторные.

но работает как-то через раз

тоесть у меня мои сервисы в 192,168,12,0/23 а туннели 10,0,50,0/24

адрес конца туннеля со стороны микрота всегда один 10,0,50,1 а адреса клиентов из пула. и выдает их не дхцп а сервер впн. я так понимаю...

по моему так правильно

но работает как-то через раз

а ты что даешь всем удаленным клиентам напрямую IP в своем сегменте сети? внутреннем

а ты что даешь всем удаленным клиентам напрямую IP в своем сегменте сети? внутреннем

я - нет

а я — даю. а что?

не так не по феншую

а как фаерволить

а вдруг бяка прилетит

или комп пользователя заражен

а дхцп помоему не лезет через впн

у меня по l2tp ходят андроид-планшеты. сильно ли они что заразят?

а дхцп помоему не лезет через впн

он у нас через EoIP лезет

а тут L2TP

он у нас через EoIP лезет

site-to-site?

угу

а ну дык

яж хочу для удаленных сотрудников

чтоб с дома работали на своих пк

нум, маршруты отсылай

еще раз, тебе надо сбриджевать что? вилан и ЕОИП? ну так и бриджуй их - создавай новый бридж и в его порты добавь тот вилан и тот ЕОИП-тунель

выглядит ок. я прост никогда не пытался бриджи настраивать в микротике. все странно тут

забей на винбокс

работай по SSH

выглядит ок. я прост никогда не пытался бриджи настраивать в микротике. все странно тут

бридж это типа все что прилетело к одному - попадет и всем. ну как я понимаю

плюс плюшки

фаервол там