Автоматическая отправка дополнительных маршрутов клиентам VPN-сервера
При использовании сегментов, либо необходимости осуществлять для клиентов доступ к удалённым сетям, подключенным при помощи VPN-туннеля, может возникать требование, отправлять подключенным к VPN-серверу клиентам дополнительную информацию о маршрутизации.
Подсказка
Нижеописанная настройка может не являться необходимой, если клиент использует подключение к серверу в качестве основного подключения к Интернету, и, таким образом, маршрут по умолчанию уже работает через это подключение.
Отправить маршрут клиенту VPN-сервера можно при помощи специальной команды dhcp route, которая позволяет осуществить передачу клиентам (в опции DHCP INFORM) также и маршрутов к другим сетевым объектам на серверной стороне. Указанные в статье команды нужно выполнять в интерфейсе командной строки (CLI) роутера.
Пусть требуется, чтобы клиентам отправлялся маршрут до сети 192.168.10.0 (с маской 255.255.255.0, то есть /24 битной).
Для сервера STP VPN, команда имеет формат sstp-server dhcp route ‹address› ‹mask›. Например:
sstp-server dhcp route 192.168.10.0/24 system configuration save
Чтобы отключить настройку, нужно ввести ту же команду, но с префиксом no.
no sstp-server dhcp route 192.168.10.0/24 system configuration save
Аналогично, для сервера PPTP VPN команда имеет формат vpn-server dhcp route ‹address› ‹mask›. Например:
vpn-server dhcp route 192.168.10.0/24 system configuration save
Отключение:
no vpn-server dhcp route 192.168.10.0/24 system configuration save
Для встроенного сервера L2TP/IPSec VPN, команда будет иметь формат crypto map VPNL2TPServer l2tp-server dhcp route ‹address› ‹mask›. Например:
crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24 system configuration save
Чтобы отключить настройку, команда будет выглядеть следующим образом:
no crypto map VPNL2TPServer l2tp-server dhcp route 192.168.10.0/24 system configuration save
Для встроенного сервера IKEv2 команда будет иметь формат crypto map VirtualIPServerIKE2 virtual-ip dhcp route {network}. Например:
crypto map VirtualIPServerIKE2 virtual-ip dhcp route 192.168.10.0/24 system configuration save
Для встроенного сервера IKEv1 команда будет иметь формат crypto map VirtualIPServer virtual-ip dhcp route {network}. Например:
crypto map VirtualIPServer virtual-ip dhcp route 192.168.10.0/24 system configuration save
Для отключения указанных выше настроек используйте префикс no в начале строки основной команды. Например:
no crypto map VirtualIPServerIKE2 virtual-ip dhcp route 192.168.10.0/24 system configuration save
Дополнительная информация представлена в Справочниках по работе с командной строкой в разделе ???.