VPN PPTP - Multi Pool

[antwal]

Ciao a tutti,

spero si la sezione giusta; vi spiego nel dettaglio semplificato il mio problema:

ho un server x86 con RouterOS che fa da server vpn pptp e qui ho più indirizzi con più profili:

profilo1 - 192.168.0.2-192.168.0.254
profilo2 - 192.168.1.2-192.168.1.254
ecc..

ogni utente configurato a il suo profilo associato e il suo ip statico.


dalla lan raggiungo tranquillamente tutti gli ip della vpn, però dalla vpn non riesco a raggiungere gli ip della lan.

come creo una regola che mi definisca l'accesso dalla vpn ad alcune macchine collegate alla lan?

le macchine che desidero far raggiungere dalla VPN hanno un ip statico (192.168.88.253, 192.168.88.14, 192.168.88.106)...


provvisoriamente ho risolto questo problema facendo collegare le macchine alla vpn stessa tramite lan e assegnando un ip libero, però su un'unico profilo alla volta; in parole povere, connetto e disconetto le macchine dalla lan in base al profilo che mi serve sulla vpn.

Ho letto dal wiki, che sarebbe possible farlo tramite proxy-arp sulla lan, ma sembra che non funzioni a dovere, anche xkè è un servizio che non ho mai usato, forse sbaglio qualcosa.

Qualche soluzione alternativa?
E' possibile farlo tramite mangle o routing statico, se si come?

Preciso che le macchine dietro la vpn non debbano avere accesso ad internet tramite la vpn, quindi non ho aggiunto nessuna regola che lo permetta.

Grazie in anticipo a tutti.

[piciccia]

mancano le regole di routing.
Puoi usare le statiche manuali o usare la framed-route automaticamente.

Saluti
C.

[antwal]

Ciao,

ma il framed-route non viene usato tramite autenticazione radius? o mi sbaglio io?

Io ho fatto un'altra prova oggi,

ho creato un bridge per l'interfaccia lan, poi nel profilo della vpn ho assegnato il bridge della lan e sembra che funzioni parzialmente, forse è stato un caso anche xkè non in tutte le situazioni funziona a dovere.

quindi mi consigli di fare un routing statica di questo tipo?

/ip route
add dst-address=192.168.0.0/24 gateway=192.168.88.1
add dst-address=192.168.1.0/24 gateway=192.168.88.1
ecc...

ma poi per dare accesso solo a 3 macchine della rete 192.168.88.0/24, dovrei farlo tramite firewall, giustamente escludendo tutte le altre macchine? inoltre nei profili vpn non dovrei inserire anche il local-address specificando l'ip del gateway della lan al posto del primo indirizzo del range assegnato alla vpn?

Grazie, in anticipo, non ho molta esperienza in merito alle vpn.

[piciccia]

Ciao,
ma il framed-route non viene usato tramite autenticazione radius? o mi sbaglio io?
......
ma poi per dare accesso solo a 3 macchine della rete 192.168.88.0/24, dovrei farlo tramite firewall, giustamente escludendo tutte le altre macchine? inoltre nei profili vpn non dovrei inserire anche il local-address specificando l'ip del gateway della lan al posto del primo indirizzo del range assegnato alla vpn?
Grazie, in anticipo, non ho molta esperienza in merito alle vpn.

Il framed route lo trovi anche nei secret, si chiama routes. Ti consiglio di usare quello se abbinato a pool dinamici, altrimenti ogni volta devi smanicare.
L'accesso condizionale lo gestisci con le address-list e specifiche regole di firewall.

Saluti
C: