Назад | Перейти на главную страницу

RouterOS push статический маршрут для IPSec IKEv2 VPN

Не могу найти решения, как на самом деле я могу протолкнуть статические маршруты клиентам VPN, когда они подключаются через VPN.

Конфигурация из Вот

RouterOS, IPSec, IKEv2. Клиенты в основном пользователи macOS через стандартный софт.

Любые идеи с примерами приветствуются.

Предполагается, что ipsec mode-config обеспечивает такую ​​функциональность.

Например, если у вас есть следующие настройки в RouterOS:

/ ip pool add name = "ipsec_pool" диапазоны = 192.168.50.2-192.168.50.6

/ ip ipsec mode-config add name = "windows" system-dns = no static-dns = 192.168.88.1 address-pool = ipsec_pool длина-префикса-адреса = 29 split-include = 192.168.88.0 / 24

/ ip ipsec peer add address = 0.0.0.0 / 0 passive = yes auth-method = rsa-signature certificate = ipsec-server-03 generate-policy = port-strict policy-template-group = win-ikev2 exchange-mode = ike2 mode-config = windows send-initial-contact = нет хеш-алгоритма = sha1 enc-algorithm = aes-256, aes-128 dh-group = ecp256, ecp384, modp2048, modp1024 life = 2h dpd-interval = 2m

тогда RouterOS назначит клиенту виртуальный IP-адрес из пула адресов, называемого «ipsec_pool», и укажет ему установить адрес DNS-сервера на 192.168.88.1 (static-dns) и создать политики для маршрутизации всего трафика на 192.168.88.0/24 через Туннель IPSec (разделенное включение).

Однако то, что произойдет с этими запросами конфигурации режима, зависит от реализации клиента. Например: поскольку Windows настраивает VPN-соединение «точка-точка» при использовании IKEv2, она обрабатывает запрос настройки DNS-сервера, но игнорирует настройки разделения-включения. Но он создает новое правило маршрутизации для подсети 192.168.50.0/24 независимо от того, что сообщает сервер.

К сожалению, я не знаком с клиентом IPSec в MacOS, поэтому я не могу вам с этим помочь. Это могло бы быть намного более гибким с конфигурациями режимов.