Author Topic: Автоматическая настройка маршрутизации (Read 5144 times)

Safir · « **on:** February 10, 2006, 12:33:14 »

На шлюзе поднят VPN сервер для обеспечения доступа к локальному серверу из-вне, дабы не открывать прямой доступ. Проблема в том, что приходится прописывать маршрутизацию руками или высталять для этого соединения флажок маршрута по умолчанию, что неудобно. Неудобно по той причине, что весь трфик начинает лететь через сетку офиса (если разрешить) или весь остальной интернет у клиента отваливается (что неприемлемо), а хотелось бы оставить только то, что идёт на сервер.

Каким образом можно сделать автоматическую настройку маршрутизации на клиенте, чтобы трафик идущий на адреса офисной сети шёл через VPN, а всё остальное - как раньше?

VPN поднят на Линукс (pptpd/pppd), клиенты - на WinXP.

Пока никаких идей нет.

demiurg · « **Reply #1 on:** February 10, 2006, 13:10:02 »

Quote

На шлюзе поднят VPN сервер для обеспечения доступа к локальному серверу из-вне, дабы не открывать прямой доступ. Проблема в том, что приходится прописывать маршрутизацию руками или высталять для этого соединения флажок маршрута по умолчанию, что неудобно. Неудобно по той причине, что весь трфик начинает лететь через сетку офиса (если разрешить) или весь остальной интернет у клиента отваливается (что неприемлемо), а хотелось бы оставить только то, что идёт на сервер.

Каким образом можно сделать автоматическую настройку маршрутизации на клиенте, чтобы трафик идущий на адреса офисной сети шёл через VPN, а всё остальное - как раньше?

VPN поднят на Линукс (pptpd/pppd), клиенты - на WinXP.

Пока никаких идей нет.
[snapback]7416[/snapback]

На клиенте при настройки VPN убрать галочку "использовать шлюз в удаленной сети" (Свойства соединения->Сеть->Протокол TCP/IP->Свойства->Дополнительно->Общие). Я сам очень долго искал

когда мне нужно было точно так же сделать.

Safir · « **Reply #2 on:** February 10, 2006, 15:14:02 »

Quote

На клиенте при настройки VPN убрать галочку "использовать шлюз в удаленной сети" (Свойства соединения->Сеть->Протокол TCP/IP->Свойства->Дополнительно->Общие). Я сам очень долго искал когда мне нужно было точно так же сделать.
[snapback]7418[/snapback]

А "маршрут по умолчанию" оставить?

demiurg · « **Reply #3 on:** February 10, 2006, 15:25:12 »

Quote

А "маршрут по умолчанию" оставить?
[snapback]7421[/snapback]

В смысле "маршрут по умолчанию"?
Эта опция указывает, что при установке VPN соединения нужно менять маршрут по умолчанию. Если опция выключена, то при установке VPN соединения в таблицу маршрутизации добавляется только маршрут к подключаемой сети через VPN туннель. Остальные маршруты не изменяются, в том числе и маршрут по-умолчанию.

Например было

Code: [Select]

===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.33       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0     192.168.1.33    192.168.1.33       10
     192.168.1.33  255.255.255.255        127.0.0.1       127.0.0.1       10
    192.168.1.255  255.255.255.255     192.168.1.33    192.168.1.33       10
  255.255.255.255  255.255.255.255     192.168.1.33    192.168.1.33       1
Основной шлюз:         192.168.1.1
===========================================================================

Стало после установки VPN

Code: [Select]

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x40002 ...00 12 XX XX XX XX ...... Intel(R) PRO/Wireless 2200BG Network Connection
0x120003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.33       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0     192.168.1.33    192.168.1.33       10
     192.168.1.33  255.255.255.255        127.0.0.1       127.0.0.1       10
    192.168.1.255  255.255.255.255     192.168.1.33    192.168.1.33       10
    195.208.XXX.0    255.255.255.0   195.208.XXX.48  195.208.XXX.48       1
   195.208.XXX.17  255.255.255.255      192.168.1.1    192.168.1.33       10
   195.208.XXX.48  255.255.255.255        127.0.0.1       127.0.0.1       50
  195.208.XXX.255  255.255.255.255   195.208.XXX.48  195.208.XXX.48       50
  255.255.255.255  255.255.255.255     192.168.1.33    192.168.1.33       1
  255.255.255.255  255.255.255.255   195.208.XXX.48  195.208.XXX.48       1
Основной шлюз:         192.168.1.1
===========================================================================

Теперь в сеть 195.208.XXX.0/24 пакеты будут ходить через WAN (PPP/SLIP) Interface. А хост получил адрес 195.208.XXX.48

Safir · « **Reply #4 on:** February 14, 2006, 12:12:26 »

Понял в чём нестыковка: у меня для VNP выделяются "серые" адреса, а локальная сеть и клиенты - используют реальные. Т.е. "серые" адреса используются только для канала. Можно ли автоматически делать настройку маршрутизации в этом случае? Желательно делать всё на стороне сервера, чтобы клиент получал всё в готовом виде. Может, что-то вроде DHCP? Сам им никогда не пользовался, так что не в курсе.

demiurg · « **Reply #5 on:** February 14, 2006, 12:45:38 »

Quote

Понял в чём нестыковка: у меня для VNP выделяются "серые" адреса, а локальная сеть и клиенты - используют реальные. Т.е. "серые" адреса используются только для канала. Можно ли автоматически делать настройку маршрутизации в этом случае? Желательно делать всё на стороне сервера, чтобы клиент получал всё в готовом виде. Может, что-то вроде DHCP? Сам им никогда не пользовался, так что не в курсе.
[snapback]7464[/snapback]

А выделять реальные адреса для VPN не судьба?
А в опциях ppp указать proxyarp и все будет шоколадно

Safir · « **Reply #6 on:** February 15, 2006, 09:10:18 »

Раньше было не судьба - сетка была маленькая. Сейчас сеть расширили и уже подумываю о таком решении - пока своодные адреса есть.

demiurg · « **Reply #7 on:** February 15, 2006, 12:42:45 »

Quote

Раньше было не судьба - сетка была маленькая. Сейчас сеть расширили и уже подумываю о таком решении - пока своодные адреса есть.
[snapback]7476[/snapback]

Мне было проще, во-первых, адресов было много свободных, во-вторых, была возможность экономии, например, я использовал указанный адрес .48 на ноуте, в не зависимости от того как он подключается -- напрямую в сеть (ethernet, wifi) или c использованием VPN, конфликты исключаются. Для других пользователей пришлось сделать пул на несколько адресов, но желающих что-то не много было, а некоторым пользователям достаточно было открыть порты требуемых им сервисов.

Safir · « **Reply #8 on:** February 16, 2006, 12:23:19 »

Просто не хочется открывать сервера на весь мир, а народ ходит чёрт знает откуда, хоть из самолёта. Да и отдельную подсеть в таком случае проще разруливать. Я ж этих пользователей никуда кроме нескольких пртов на паре машин не пускаю - не нужно оно им.
А другого способа нет? Типа DHCP или как-то через pppd? Сильно не хочется им реальные адреса отдавать, вырезать кусок из подсети.

Tomsk Sysadmins Forum

News:

Author Topic: Автоматическая настройка маршрутизации (Read 5144 times)

Safir

Автоматическая настройка маршрутизации

demiurg

Автоматическая настройка маршрутизации

Safir

Автоматическая настройка маршрутизации

demiurg

Автоматическая настройка маршрутизации

Safir

Автоматическая настройка маршрутизации

demiurg

Автоматическая настройка маршрутизации

Safir

Автоматическая настройка маршрутизации

demiurg

Автоматическая настройка маршрутизации

Safir

Автоматическая настройка маршрутизации