URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95751
[ Назад ]

Исходное сообщение
"OpenVPN на две сети"

Отправлено kambl4 , 01-Сен-14 13:58 
Ребята! Помогайте...

Есть OpenVPN сервер который подключен к 2 сетям в офисе:
1) 192.168.1.0/24
2) 192.168.2.0/23

Сеть VPN: 10.10.5.0/24

При подключении добавляется 2 маршрута:
1) 192.168.1.0 через тоннель
2) 192.168.2.0 через тоннель

Проблема вот в чем... При подключении VPN с офисного компьютера, который подключен в сеть 192.168.2.0/23 напрямую, добавляется второй маршрут 192.168.2.0 через тоннель, но и маршрут через сетевую карту в сеть 2.0 тоже остается и эта сеть становится недоступна.

Если подключиться к этому впн из вне, то все нормально, добавляются 2 маршрута через тоннель и все работает.

Если добавить в ccd файл строку: iroute 192.168.2.0 255.255.254.0
то из вне сеть 2.0 доступна не будет, а из офиса все будет нормально.

В общем если что не понятно, спрашивайте :)
Надеюсь на вас! :)


Содержание

Сообщения в этом обсуждении
"OpenVPN на две сети"
Отправлено kambl4 , 01-Сен-14 14:01 
Еще забыл добавить что такая проблема наблюдается на линукс клиентах и виндоус
МакОС работает в любом случае



"OpenVPN на две сети"
Отправлено rusadmin , 01-Сен-14 14:12 
> Еще забыл добавить что такая проблема наблюдается на линукс клиентах и виндоус
> МакОС работает в любом случае

Идентифицировать клиента и выдавать ему iroute исходя из сети, к которой он подключен физически.
Тоесть для каждого клиента индивидуальные iroute


"OpenVPN на две сети"
Отправлено kambl4 , 01-Сен-14 14:18 
>> Еще забыл добавить что такая проблема наблюдается на линукс клиентах и виндоус
>> МакОС работает в любом случае
> Идентифицировать клиента и выдавать ему iroute исходя из сети, к которой он
> подключен физически.
> Тоесть для каждого клиента индивидуальные iroute

Дело в том что клиенты используют один и тот же конфиг и сертификаты из вне и в офисе

Думаю можно решить каким-нибудь пост-ап скриптом на стороне клиента... навскидку проверять есть ли уже маршрут в сеть 2.0/23, если да то не добавлять... Но это очень похоже на костыль уже, нет?


"OpenVPN на две сети"
Отправлено rusadmin , 01-Сен-14 14:55 
Это он и есть. Либо добавляйте сеть (маршрут на сеть) 192.168.0.0/16 и все. Более точный маршрут будет локальный - туда трафик и пойдет. Остальное для сети 192.168.0.0 - 192.168.255.255 в тоннель.
Аутентификацию пользователя нужно проводить персонифицированно.
Мой коллега постоянно говорит "Что знают двое - то знает свинья".

"OpenVPN на две сети"
Отправлено kambl4 , 01-Сен-14 15:59 
> Это он и есть. Либо добавляйте сеть (маршрут на сеть) 192.168.0.0/16 и
> все. Более точный маршрут будет локальный - туда трафик и пойдет.

Вот за это огромное спасибо! Это лучшее решение :)