Удалённый пользователь VPN USG не маршрутизирует трафик

Удалённый пользователь VPN USG не маршрутизирует трафик, UniFi Network

brilliantav

Guest

05.09.2016 18:44:00

Я создал VPN, который аутентифицируется через RADIUS-сервер с использованием NPS на Windows Server 2012. Всё наконец заработало, когда я обнаружил баг с максимальной длиной общего ключа (если кто-то столкнётся с циклом перезагрузки, то это связано с длиной в 48 символов — NPS RADIUS по умолчанию создаёт ключ длиной более 80 символов при автогенерации).

Первая сеть на USG настроена как «corporate», базовая — подсеть 192.168.50.1/24. DHCP-сервер раздаёт IP с 100 по 200. Вторая сеть на USG — тип «Remote User VPN», подсеть 192.168.35.1/29.

Для теста я использую мобильный хотспот и через встроенный PPTP VPN на MacBook подключаюсь — всё отлично. Мне выдаётся IP 192.168.35.1.

Пробую пропинговать любые адреса в подсети 192.168.50.X — ноль реакции, не могу подключиться ни к одному устройству. Я стараюсь настоить всё через GUI (Unifi), но есть подозрение, что придётся создавать статический маршрут через CLI. Бесконечный поиск в интернете ни к чему не привёл.

Может кто: A. Подтвердит моё подозрение (держу кулачки, чтобы это оказалось неверно) и B. Если A — да, подскажет, где именно можно добавить такой маршрут, чтобы не вызвать цикл перезагрузки? Спасибо!

ccolotti

Guest

23.09.2016 18:38:00

Мой опыт из другой темы показывает, что это DHCP-опция, которая отсутствует в USG. Поэтому шлюз не передаётся VPN-клиенту через DHCP. Тем не менее, я могу маршрутизировать трафик во все VLAN при подключении, если включена функция «Маршрутизировать весь трафик через VPN». Если её отключить, то маршрутизация не работает, но, похоже, в конце концов в VPN для конечного пользователя действительно отсутствуют некоторые DHCP-опции, которые можно настроить через CLI, хотя у меня с этим нет опыта.

brilliantav

Guest

23.09.2016 16:55:00

Привет, @UBNT-MikeD, не мог бы ты поделиться своими шагами по настройке L2TP через CLI? Мне подходит этот вариант, если можно сделать следующее:
1. Использовать RADIUS-сервер для авторизации
2. Также иметь возможность использовать локальных пользователей для авторизации, если решу перестать пользоваться RADIUS
3. Маршрутизировать трафик, но не весь (не весь интернет-трафик)

Спасибо!

UI-Team

Guest

23.09.2016 16:37:00

Хмм, в прошлый раз, когда я это использовал, мне казалось, что маршрутизация между подсетями работает нормально, но, видимо, я ошибался. Не хочешь скинуть текущую конфигурацию в личку, чтобы я мог ее проверить?
show configuration > config.txt
Потом вытащи файл с USG и поделись им в личке. Сейчас мой USG не подключен, но могу проверить это на выходных. Думаю, просмотр конфигурации займет меньше времени, хотя возможно, мне придется самому настроить это заново, чтобы нормально протестировать. Давно я не пользовался PPTP-сервером через веб-интерфейс, давно перешел на L2TP с конфигурацией через json.

Удачи,
Майк

lperoma Guest	#5 23.09.2016 15:48:00 Привет. Всё ещё нет никакой информации или предложений по этому поводу? @UBNT-MikeD

brilliantav Guest	#6 19.09.2016 23:46:00 Боюсь, эта тема ушла в сторону. Может, инженер ответит и подскажет, как настроить роутер так, чтобы он отправлял маршрут клиенту при подключении, чтобы не приходилось пересылать весь трафик? Понимаю, что можно прописать постоянный маршрут на самом клиенте, но это ненадежно, ведь их IP может меняться при подключении через VPN. Мне нужно, чтобы устройство при подключении через PPTP VPN отправляло клиенту локальный маршрут. Нет ли способа сделать это через командную строку?

Читают тему (гостей: 1)