Hi all.
Есть проблема. В локальной сети, поделенной на сегменты есть один
VPN сервер. Соответственно, в каждом сегменте свой шлюз, который
имеет маршруты на остальные сегменты. Но при подключении к ВПН серверу
на клиентской машине адрес шлюза меняется на ip адрес, выданный по ВПН.
Т. е. все неизвестные пакеты идут не в тот шлюз, который стоит
в данном сегменте, а в ВПН сервер. Проводить локальный трафик через
ВПН сервер нет ни малейшего желания. Вопрос: можно ли реализовать так,
чтобы ВПН сервер при получении пакета локального трафика отсылал
клиенту ICMP запрос, и прописывал тем самым другой маршрут?Заранее спасибо.
>Hi all.
>Есть проблема. В локальной сети, поделенной на сегменты есть один
>VPN сервер. Соответственно, в каждом сегменте свой шлюз, который
>имеет маршруты на остальные сегменты. Но при подключении к ВПН серверу
>на клиентской машине адрес шлюза меняется на ip адрес, выданный по ВПН.
>
>Т. е. все неизвестные пакеты идут не в тот шлюз, который стоит
>
>в данном сегменте, а в ВПН сервер. Проводить локальный трафик через
>ВПН сервер нет ни малейшего желания. Вопрос: можно ли реализовать так,
>чтобы ВПН сервер при получении пакета локального трафика отсылал
>клиенту ICMP запрос, и прописывал тем самым другой маршрут?
>
>Заранее спасибо.можно на каждой клиентской машине прописать конкретные маршруты а дефолтный оставить пустым для впна :D
>Но при подключении к ВПН серверу
>на клиентской машине адрес шлюза меняется на ip адрес, выданный по ВПН.И эта проблема не решается на VPN-клиенте?
Тогда у вас очень странный VPN.
>>Но при подключении к ВПН серверу
>>на клиентской машине адрес шлюза меняется на ip адрес, выданный по ВПН.
>
>И эта проблема не решается на VPN-клиенте?
>Тогда у вас очень странный VPN.
мне кажется в любом впн-сервере есть настройка становиться или нет default gw. в openvpn и pptpd точно есть.
Про статические маршруты я и сам знаю. Но выкладиватьна сайте cmd файл
с маршрутами неудобно.
> мне кажется в любом впн-сервере есть настройка становиться или нет default gw. в openvpn и pptpd точно естьЮзаю mpd (FreeBSD).
Я не очень понимаю, как тогда будет работать интернет, если дефаулт
гетвей будет не виртуальный IP впн?
т.е. необходимо чтобы маршрут до шлюза оставался?
в openvpn реализовал так: при подключении/отключение запускаются скрипты которые выправляют маршруты
>Я не очень понимаю, как тогда будет работать интернет, если дефаулт
>гетвей будет не виртуальный IP впн?Странный вопрос. Ну очень странный. Как работал, так и будет работать, разумеется. Default на шлюз по умолчанию, а маршруты до сетей к которым ходим через VPN - на VPN сервер. Коллега, у вас серьёзные проблемы либо с пониманием принципов маршрутизации, либо с умением объяснять свои проблемы.
>>Я не очень понимаю, как тогда будет работать интернет, если дефаулт
>>гетвей будет не виртуальный IP впн?
>
>Странный вопрос. Ну очень странный. Как работал, так и будет работать, разумеется.
>Default на шлюз по умолчанию, а маршруты до сетей к которым
>ходим через VPN - на VPN сервер. Коллега, у вас серьёзные
>проблемы либо с пониманием принципов маршрутизации, либо с умением объяснять свои
>проблемы.Наверное, второе =)
Возникший на клиенте пакет, адресованный в интернет, должен
идти на шлюз, который его выпустит наружу. Это ВПН сервер (точнее
IP виртуальной сети, выданный этим сервером). Он и должен
быть дефаулт гейтвеем. Но нужны _и_маршруты_ на другие сегметы локалки, которые
надо прописать на клиенте. В ручную прописывать не хочется, а хочется
с сервера по ICMP (клиенту надо только указать gateway).
В этом, собственно, и состоит вопрос.
>>>Я не очень понимаю, как тогда будет работать интернет, если дефаулт
>>>гетвей будет не виртуальный IP впн?
>>
>>Странный вопрос. Ну очень странный. Как работал, так и будет работать, разумеется.
>>Default на шлюз по умолчанию, а маршруты до сетей к которым
>>ходим через VPN - на VPN сервер. Коллега, у вас серьёзные
>>проблемы либо с пониманием принципов маршрутизации, либо с умением объяснять свои
>>проблемы.
>
>Наверное, второе =)
>Возникший на клиенте пакет, адресованный в интернет, должен
>идти на шлюз, который его выпустит наружу. Это ВПН сервер (точнее
>IP виртуальной сети, выданный этим сервером). Он и должен
>быть дефаулт гейтвеем. Но нужны _и_маршруты_ на другие сегметы локалки, которые
>надо прописать на клиенте. В ручную прописывать не хочется, а хочется
>с сервера по ICMP (клиенту надо только указать gateway).
>В этом, собственно, и состоит вопрос.А, вот как! Теперь понятно :)
Теоретически это работать должно, но я не знаю, будет ли VPN-сервер выдавать ICMP редиректы. Если сервер на FreeBSD, попробуйте net.inet.ip.redirect=1. (Подразумевается, что сервер знает эти самые статические маршруты, и что реакция на редирект на клиентах не отключена).
Если на линуксе, то не знаю.
> net.inet.ip.redirect=1
Ошибка. Это включение реакции на редиректы. А какой переменной включается их генерация, не могу найти. Возможно, это означает, что она включена всегда и не отключается.