Ребята! Помогайте...Есть OpenVPN сервер который подключен к 2 сетям в офисе:
1) 192.168.1.0/24
2) 192.168.2.0/23Сеть VPN: 10.10.5.0/24
При подключении добавляется 2 маршрута:
1) 192.168.1.0 через тоннель
2) 192.168.2.0 через тоннельПроблема вот в чем... При подключении VPN с офисного компьютера, который подключен в сеть 192.168.2.0/23 напрямую, добавляется второй маршрут 192.168.2.0 через тоннель, но и маршрут через сетевую карту в сеть 2.0 тоже остается и эта сеть становится недоступна.
Если подключиться к этому впн из вне, то все нормально, добавляются 2 маршрута через тоннель и все работает.
Если добавить в ccd файл строку: iroute 192.168.2.0 255.255.254.0
то из вне сеть 2.0 доступна не будет, а из офиса все будет нормально.В общем если что не понятно, спрашивайте :)
Надеюсь на вас! :)
Еще забыл добавить что такая проблема наблюдается на линукс клиентах и виндоус
МакОС работает в любом случае
> Еще забыл добавить что такая проблема наблюдается на линукс клиентах и виндоус
> МакОС работает в любом случаеИдентифицировать клиента и выдавать ему iroute исходя из сети, к которой он подключен физически.
Тоесть для каждого клиента индивидуальные iroute
>> Еще забыл добавить что такая проблема наблюдается на линукс клиентах и виндоус
>> МакОС работает в любом случае
> Идентифицировать клиента и выдавать ему iroute исходя из сети, к которой он
> подключен физически.
> Тоесть для каждого клиента индивидуальные irouteДело в том что клиенты используют один и тот же конфиг и сертификаты из вне и в офисе
Думаю можно решить каким-нибудь пост-ап скриптом на стороне клиента... навскидку проверять есть ли уже маршрут в сеть 2.0/23, если да то не добавлять... Но это очень похоже на костыль уже, нет?
Это он и есть. Либо добавляйте сеть (маршрут на сеть) 192.168.0.0/16 и все. Более точный маршрут будет локальный - туда трафик и пойдет. Остальное для сети 192.168.0.0 - 192.168.255.255 в тоннель.
Аутентификацию пользователя нужно проводить персонифицированно.
Мой коллега постоянно говорит "Что знают двое - то знает свинья".
> Это он и есть. Либо добавляйте сеть (маршрут на сеть) 192.168.0.0/16 и
> все. Более точный маршрут будет локальный - туда трафик и пойдет.Вот за это огромное спасибо! Это лучшее решение :)