Не могу найти решения, как на самом деле я могу протолкнуть статические маршруты клиентам VPN, когда они подключаются через VPN.
Конфигурация из Вот
RouterOS, IPSec, IKEv2. Клиенты в основном пользователи macOS через стандартный софт.
Любые идеи с примерами приветствуются.
Предполагается, что ipsec mode-config обеспечивает такую функциональность.
Например, если у вас есть следующие настройки в RouterOS:
/ ip pool add name = "ipsec_pool" диапазоны = 192.168.50.2-192.168.50.6
/ ip ipsec mode-config add name = "windows" system-dns = no static-dns = 192.168.88.1 address-pool = ipsec_pool длина-префикса-адреса = 29 split-include = 192.168.88.0 / 24
/ ip ipsec peer add address = 0.0.0.0 / 0 passive = yes auth-method = rsa-signature certificate = ipsec-server-03 generate-policy = port-strict policy-template-group = win-ikev2 exchange-mode = ike2 mode-config = windows send-initial-contact = нет хеш-алгоритма = sha1 enc-algorithm = aes-256, aes-128 dh-group = ecp256, ecp384, modp2048, modp1024 life = 2h dpd-interval = 2m
тогда RouterOS назначит клиенту виртуальный IP-адрес из пула адресов, называемого «ipsec_pool», и укажет ему установить адрес DNS-сервера на 192.168.88.1 (static-dns) и создать политики для маршрутизации всего трафика на 192.168.88.0/24 через Туннель IPSec (разделенное включение).
Однако то, что произойдет с этими запросами конфигурации режима, зависит от реализации клиента. Например: поскольку Windows настраивает VPN-соединение «точка-точка» при использовании IKEv2, она обрабатывает запрос настройки DNS-сервера, но игнорирует настройки разделения-включения. Но он создает новое правило маршрутизации для подсети 192.168.50.0/24 независимо от того, что сообщает сервер.
К сожалению, я не знаком с клиентом IPSec в MacOS, поэтому я не могу вам с этим помочь. Это могло бы быть намного более гибким с конфигурациями режимов.