На шлюзе поднят VPN сервер для обеспечения доступа к локальному серверу из-вне, дабы не открывать прямой доступ. Проблема в том, что приходится прописывать маршрутизацию руками или высталять для этого соединения флажок маршрута по умолчанию, что неудобно. Неудобно по той причине, что весь трфик начинает лететь через сетку офиса (если разрешить) или весь остальной интернет у клиента отваливается (что неприемлемо), а хотелось бы оставить только то, что идёт на сервер.
Каким образом можно сделать автоматическую настройку маршрутизации на клиенте, чтобы трафик идущий на адреса офисной сети шёл через VPN, а всё остальное - как раньше?
VPN поднят на Линукс (pptpd/pppd), клиенты - на WinXP.
Пока никаких идей нет.
[snapback]7416[/snapback]
На клиенте при настройки VPN убрать галочку "использовать шлюз в удаленной сети" (Свойства соединения->Сеть->Протокол TCP/IP->Свойства->Дополнительно->Общие). Я сам очень долго искал :( когда мне нужно было точно так же сделать.
На клиенте при настройки VPN убрать галочку "использовать шлюз в удаленной сети" (Свойства соединения->Сеть->Протокол TCP/IP->Свойства->Дополнительно->Общие). Я сам очень долго искал :( когда мне нужно было точно так же сделать.
[snapback]7418[/snapback]
А "маршрут по умолчанию" оставить?
А "маршрут по умолчанию" оставить?
[snapback]7421[/snapback]
В смысле "маршрут по умолчанию"?
Эта опция указывает, что при установке VPN соединения нужно менять маршрут по умолчанию. Если опция выключена, то при установке VPN соединения в таблицу маршрутизации добавляется только маршрут к подключаемой сети через VPN туннель. Остальные маршруты не изменяются, в том числе и маршрут по-умолчанию.
Например было
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.33 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.33 192.168.1.33 10
192.168.1.33 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.33 192.168.1.33 10
255.255.255.255 255.255.255.255 192.168.1.33 192.168.1.33 1
Основной шлюз: 192.168.1.1
===========================================================================Стало после установки VPN===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x40002 ...00 12 XX XX XX XX ...... Intel(R) PRO/Wireless 2200BG Network Connection
0x120003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.33 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.33 192.168.1.33 10
192.168.1.33 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.33 192.168.1.33 10
195.208.XXX.0 255.255.255.0 195.208.XXX.48 195.208.XXX.48 1
195.208.XXX.17 255.255.255.255 192.168.1.1 192.168.1.33 10
195.208.XXX.48 255.255.255.255 127.0.0.1 127.0.0.1 50
195.208.XXX.255 255.255.255.255 195.208.XXX.48 195.208.XXX.48 50
255.255.255.255 255.255.255.255 192.168.1.33 192.168.1.33 1
255.255.255.255 255.255.255.255 195.208.XXX.48 195.208.XXX.48 1
Основной шлюз: 192.168.1.1
===========================================================================Теперь в сеть 195.208.XXX.0/24 пакеты будут ходить через WAN (PPP/SLIP) Interface. А хост получил адрес 195.208.XXX.48
Понял в чём нестыковка: у меня для VNP выделяются "серые" адреса, а локальная сеть и клиенты - используют реальные. Т.е. "серые" адреса используются только для канала. Можно ли автоматически делать настройку маршрутизации в этом случае? Желательно делать всё на стороне сервера, чтобы клиент получал всё в готовом виде. Может, что-то вроде DHCP? Сам им никогда не пользовался, так что не в курсе.
[snapback]7464[/snapback]
А выделять реальные адреса для VPN не судьба?
А в опциях ppp указать proxyarp и все будет шоколадно :)
Раньше было не судьба - сетка была маленькая. Сейчас сеть расширили и уже подумываю о таком решении - пока своодные адреса есть.
[snapback]7476[/snapback]
Мне было проще, во-первых, адресов было много свободных, во-вторых, была возможность экономии, например, я использовал указанный адрес .48 на ноуте, в не зависимости от того как он подключается -- напрямую в сеть (ethernet, wifi) или c использованием VPN, конфликты исключаются. Для других пользователей пришлось сделать пул на несколько адресов, но желающих что-то не много было, а некоторым пользователям достаточно было открыть порты требуемых им сервисов.