URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 94153
[ Назад ]

Исходное сообщение
"VPN в отдельную подсеть"

Отправлено Patjomkin , 13-Дек-12 15:32 
Есть сервер с pptpd, локальная сеть 192.168.0.0/23. pptpd.conf: localip 192.168.0.1, remoteip 192.168.2.2-80. Начальник хочет, чтобы localip был не из из внутренней подсети, а из специально созданной для vpn 192.168.8.0/23. И нужно настроить маршрутизацию между этими сетями, чтобы пк двух подсетей видели друг друга. Как создать эту дополнительную подсеть? Нужно ли создавать какие либо доп интерфейсы, как быть с маршрутизацией? У меня в рабочем конфиге localip 192.168.0.1, т.е. это адрес основного сервера-шлюза. Я так понимаю, нужно задать вместо 192.168.0.1 подсеть 192.168.8.0/23. Но как? Как её объявить в системе вообще?

Содержание

Сообщения в этом обсуждении
"VPN в отдельную подсеть"
Отправлено Дядя_Федор , 13-Дек-12 17:27 
> Я так понимаю, нужно задать вместо
> 192.168.0.1 подсеть 192.168.8.0/23. Но как? Как её объявить в системе вообще?

Поднять виртуальный интерфейс (etN:0, например), я так полагаю. С IP из этой подсети.



"VPN в отдельную подсеть"
Отправлено DeadLoco , 13-Дек-12 19:18 
>> Я так понимаю, нужно задать вместо
>> 192.168.0.1 подсеть 192.168.8.0/23. Но как? Как её объявить в системе вообще?
>  Поднять виртуальный интерфейс (etN:0, например), я так полагаю. С IP из
> этой подсети.

Физика этого интерфейса в самом деле будет смотреть в нужную сеть? Или, все-таки, нет?


"VPN в отдельную подсеть"
Отправлено Patjomkin , 13-Дек-12 23:20 
>>> Я так понимаю, нужно задать вместо
>>> 192.168.0.1 подсеть 192.168.8.0/23. Но как? Как её объявить в системе вообще?
>>  Поднять виртуальный интерфейс (etN:0, например), я так полагаю. С IP из
>> этой подсети.
> Физика этого интерфейса в самом деле будет смотреть в нужную сеть? Или,
> все-таки, нет?

Это будет виртуальная подсеть, не привязанная к физ. интерфейсу. Она нужна только для того, чтобы отделить vpn клиентов



"VPN в отдельную подсеть"
Отправлено DeadLoco , 13-Дек-12 23:49 
>>>  Поднять виртуальный интерфейс (etN:0, например), я так полагаю.
>> Физика этого интерфейса в самом деле будет смотреть в нужную сеть?
> Это будет виртуальная подсеть, не привязанная к физ. интерфейсу.

Я намекаю, что сам факт навешивания ИП-адреса из нужной сети на интерфейс еще не означает соединения интерфейса с этой сетью. А виртуальная она или физическая - это дело третье.


"VPN в отдельную подсеть"
Отправлено Patjomkin , 14-Дек-12 04:36 
>>>>  Поднять виртуальный интерфейс (etN:0, например), я так полагаю.
>>> Физика этого интерфейса в самом деле будет смотреть в нужную сеть?
>> Это будет виртуальная подсеть, не привязанная к физ. интерфейсу.
> Я намекаю, что сам факт навешивания ИП-адреса из нужной сети на интерфейс
> еще не означает соединения интерфейса с этой сетью. А виртуальная она
> или физическая - это дело третье.

Вот что у меня получилось, посмотрите, если смысл в этом или же это ересь:

В pptpd.conf:
localip 192.168.8.10-200
remoteip 192.168.200.10-200

Первый клиент получает на свой пк 192.168.200.10, на стороне сервера получает 192.168.8.10.
Как я понимаю, автоматом на стороне сервера появляется подсеть 192.168.8.0/24 (подсеть vpn клиентов, что от меня и требовли)
C клиента vpn доступны все ресурсы локальной подсети 192.168.1.0/24. В то же время, если обратиться к пк удалённого клиента vpn по ip 192.168.8.10 - то возможен только пинг (отвечает сам сервер, который подставляет вместо remoteip localip).

Как сделать так, чтобы и клиентские пк были доступны из локальной сети?


"VPN в отдельную подсеть"
Отправлено LSTemp , 21-Дек-12 02:54 
> Как сделать так, чтобы и клиентские пк были доступны из локальной сети?

что подразумевается под "доступно"?



"VPN в отдельную подсеть"
Отправлено Дядя_Федор , 14-Дек-12 13:56 
> Я намекаю, что сам факт навешивания ИП-адреса из нужной сети на интерфейс
> еще не означает соединения интерфейса с этой сетью.

Этот факт означает, что между подсетями, которые есть на серверу - будут ходить пакеты. В силу их маршрутизации. Разумеется, если на уровне ОС разрешено прохождение таких пакетов.