Маршрутизация L2TP Mikrotik
 

Имеем:
1) Маршрутизатор Mikrotik hAP ac² (RBD52G-5HacD2HnD-TC) с настроенным l2tp ipsec vpn.
2) Десяток серверов клиентов на разных провайдерах и разном оборудовании (не Mikrotik)
3) Несколько десятков юзеров, которые работают из дома на своих серверах

Задача: Настроить доступ через указанный Mikrotik на RDP серверов

Неизвестные: логины и пароли роутеров клиентов, а также нет возможности (да и желания) открывать порты серверов наружу, они все за NAT`ами и там пусть и живут.

Решение: идея была такова, чтобы создать юзеров l2tp и руками роутить маршруты к серверам, но! многие серверы имеют одинаковые ip-адреса в своих локальных сетях :(
где-то видел (или слышал), что можно добавить привязку к МАС при построении маршрута, но такого никогда не делал...

Какие будут идеи?

PS: При всём построении через l2tp ipsec vpn на всех серверах должен работать neorouter с пом. которого 1Сники мониторят онлайн серверов и могут подключится по RDP

как эти разные локальные сети подключаются к микротику?

Все сервера будут подключены к ВПН вручную через встроенного клиента Windows

тогда vpn будет выдавать им свой индивидуальный ip адрес, по этим адрем и настраивайте маршрутизацию.
А если эти адреса сделаете статичными, совсем все замечательно будет

Появилась идея:
1) Сервера ручками подключить к Mikrotik и добавить автоподключение;
2) При создании юзеров прописывать маршруты руками и жёстко указать шлюзы, чтобы трафик какого-нить домашнего ПК мог идти исключительно на сервак этой конторы, а не на чужой сервер;
3) Для тех у кого откровенно душманское оборудования типа тплинк 741 )) ставить OpenVPN Connect для Windows;
4) Вместо neorouter для обслуживающей конторы юзать OpenVPN, он даст возможность мониторинга серверов онлайн.

В дальнейшем юзать Dude или Zabbix для мониторинга.

Как думаете, жизнеспособно?

Я всегда настраиваю клиентов ВПН на микротике со стаичными IP.
Вот пример скрипта:

:global cname "test";
:global cip "101";

/ppp profile add name=$cname local-address=("10.1.1.".$cip."") remote-address=("10.1.10.".$cip."") only-one=yes
/ppp secret add name=$cname password=$cname service=l2tp profile=$cname
/ip route add dst-address=("192.168.1.$cip./24") gateway=("10.1.10.$cip.")
/interface l2tp-server add name=("l2tp-".$cname."") user=$cname
put "ok"

чем вам так тплинк не угодил? Если будете использовать OpenVPN, то по любому всем пользователям его ставить придется для подключения, т.к. windows из коробки не знает что это такое.
не помню уже, микротик позволяет в полной мере мониторить свой openvpn сервер или нет

Неужели? :) А это что?


Умеет, правда с бубном с сертификатами, но умеет. А на 7й версии даже UDP работает.

Дешёвое гов..цо :) Ровно как и D-Link и Asus. Лучше уж Mikrotik или для дома на худой конец Xiaomi, там железо внутри людское...

я не вижу тут openvpn, а только l2tp, это разные вещи
на ваши задачи оно ни как не влияет

Если у меня в одном месте есть 2 ПК, а сервер в другом, то по l2tp Mikrotik сможет одновременно работать только один. Вот тут и нужно будет либо менять роутер на микротик либо использовать openvpn.
У Mikrotik возможно только одно одновременное подключение с внешнего IP.