L2TP/IPSEC подключение и маршруты

-

Рассмотрим подключение на примере ОС Windows.

А именно какие маршруты добавляются и как с этим жить.

Итак в свойствах подключения есть:

 

 
В случае если у нас установлен флаг - "Использовать основной шлюз в удаленной сети" то все что не попадает в нашу локальную подсеть будет отправлено удаленному шлюзу - а это значит что и доступ в интернет должен быть на той стороне настроен для удаленных клиентов, и мы так же теряем доступ к собственным ресурсам через наш локальный шлюз. Иногда это даже хорошо но чаще нет.
Флаг же "Отключить добавление маршрутов на основе класса" наоборот если снят то происходит следующее:
Если пул из которого выдаются адреса удаленным клиентам например 10.100.101.0/25
То в нашу таблицу маршрутизации будет добавлен маршрут 10.0.0.0/8 через удаленный шлюз потому что это сеть класса A и если все удаленные сети тоже класса А (ну они конечно могут быть на основе масок) то все они будут доступны и без галки - "Использовать основной шлюз в удаленной сети" а вот если пул например 192.168.101.0/24 то беда, потому что это сеть класса C ну и добавиться маршрут на сеть 192.168.101.0/24.
 
Хуже всего если вы не хотите чтоб весь трафик клиентов шел через вас включая интернет трафик, у вас на стороне L2TP/IPSEC сервера есть сети как 10.XX.XX.XX так и 192.XX.XX.XX
Тогда придется добавлять маршруты вручную на ПК удаленного пользователя.
Например таким PowerShell скриптом:

#Add list of the networks which accessible via interface, divide by commas
$remnets2 = @("192.168.151.0/24","192.168.152.0/24")

#Specify adapter name
$adaptername = "UserGateTEST"

#Set next parameter to 1 if You want to add route with next hop
$setroutewithnexthop = 0

#PolicyStore ActiveStore or PersistentStore
$PolisyStore = "PersistentStore"

#----------------------------------------------------------------------------------------------------------------------------------------------
$defaultGatewayNadp = ""

#find adapter
$ifindex = Get-NetIPAddress -AddressFamily IPv4 | Where-Object {$_.InterfaceAlias -match $adaptername } | Select-Object -ExpandProperty ifIndex
$ifindexrcount = $ifindex.count
if($ifindexrcount -gt 0){
    $defaultGatewayNadp = (Get-NetIPConfiguration -InterfaceIndex 15).ipv4defaultgateway.NextHop
    Write-Output "Connection found"
    #if network list is not empty
    if($remnets2.count -gt 0){
        #find and delete current route
        foreach($remnet in $remnets2){
            [Array]$rarr = Get-NetRoute | Where-Object {$_.DestinationPrefix -like $remnet}
            foreach($delnet in $rarr){
                Write-Output $delnet
                Remove-NetRoute -DestinationPrefix $remnet -Confirm:$False
            }
        }
       
        #add route
        foreach($remnet in $remnets2){
            if($setroutewithnexthop -gt 0){
                Write-Output "Add route with NextHop"
                if($PolisyStore -eq "PersistentStore"){
                    New-NetRoute -DestinationPrefix $remnet -NextHop $defaultGatewayNadp -InterfaceIndex $ifindex
                }else{
                    New-NetRoute -PolicyStore $PolisyStore -DestinationPrefix $remnet -NextHop $defaultGatewayNadp -InterfaceIndex $ifindex
                }
               
            }else{
                Write-Output "Add route without NextHop"
                if($PolisyStore -eq "PersistentStore"){
                    New-NetRoute -DestinationPrefix $remnet -InterfaceIndex $ifindex
                }else{
                    New-NetRoute -PolicyStore $PolisyStore -DestinationPrefix $remnet -InterfaceIndex $ifindex
                }
            }
        }
    }
}else{
    Write-Output "Connection $adaptername not found"
}

Тут надо отметить несколько параметров:

$adaptername - Это имя вашего VPN соединения

$remnets2 - список сетей на которые нужно создать маршруты - указываются списком через запятую как в примере выше

$PolisyStore - может принимать два значения - ActiveStore или PersistentStore

в первом случае маршрут не сохраняется даже после реконнекта - это хорошо если у вас есть такие же сети где-то еще.

Во втором случае маршрут остается даже после перезагрузки.

 

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

DHCP опция 121 - статические маршруты по DHCP

-
Однажды мне понадобилось отправить трафик на некоторые сети  на другой маршрутизатор. Пришлось на Windows добавлять route add и маршрут на нужную сеть, через нужный маршрутизатор. Но тут оказалось, что есть отличная опция 121 (и 249). Можно на Cisco добавить (на ASA например): dhcpd option 121 hex 18c0a8c1c0a8000718c0a8c2c0a80008 Эта строка добавляет статический маршрут на сеть 192.168.193.0/24 через шлюз 192.168.0.7 и маршрут 192.168.194.0/24 через шлюз 192.168.0.8 Формат такой: Сначала пишем длину префикса, потом сеть без лишних нулей, то есть если маска /24 то сеть 192.168.0 например ну или 10.7.1 то есть не значащие октеты не пишем. Далее адрес шлюза. Далее можно писать в том же формате еще один маршрут. У нас в примере их два: 18 c0a8c1 c0a80007 18 c0a8c2 c0a80008
Далее...

Сброс на заводские настройки, коммутатора Moxa EDS-518A

-
Изображение
В связи с тем что на этом коммутаторе нет кнопки сброса, нам понадобится снять с него крышку. На верхней плате есть вырез, через который видна средняя плата, а там есть два коннектора, нам нужен шести контактный. Нам нужно замкнуть контакты, отмеченные на картинке красным цветом (те что ближе к задней стенке, замкнуть можно например перемычкой от жесткого диска или привода).  Затем надо подключить консольный кабель, его распиновка есть в документе - EDS-518A Series, Hardware Installation Guide Теперь можно подать питание и дождаться появления в терминале вот такого меню: ================================================<<Main Menu>>> ----------------------------------------------------------------------              MOXA EDS-518A-T MM-Test Ver 1.9   built time=  09042815       Firmware Mac Address:00-90-e8-20-9c-76   SerNo:2399 -------------------...
Далее...