URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4138
[ Назад ]
Исходное сообщение
"Не работает VPN у клиента из дома"
Отправлено flints , 13-Фев-09 12:43 
Добрый день!
Конфигурация такая.

lan (10.10.10.0/24)-linux(eth0 - 10.10.10.1, eth1 - реальный ip)
В lan на win2003 (10.10.10.248) поднят VPN сервер. Соответстветвенно для внешних клиентов на Linux сделан проброс на 10.10.10.248. Клиенты так же получаются адреса из 10.10.10.0/24
Внутри локальной сети шлюз по умолчанию 10.10.10.1
Все замечательно работало внешние пользователи заходили в сеть по VPN, пользовались теми же самыми сервисами, как и пользователи из локальной сети.

Но... Вот ситуация. Есть внешний клиент. У него провайдер выдал ему адрес для подключения к своей сети 10.10.10.57. И соответственно все настройки сетевой карты такие же как и в моей локальной сети. Шлюз по умолчанию 10.10.10.1. То есть сопадают настройки на 100%.

Итог клиент логинится на мой vpn сервер, получает еще один адрес из 10.10.10.0/24 и не видит ни одного сервиса из моей локальной сети. Естессно все пакеты уходят в сеть его провайдера по trace это видно. Сколько ни бился не могу побороть. Все равно все пакеты уходят на провайдерский шлюз клиента.

Содержание
Сообщения в этом обсуждении
"Не работает VPN у клиента из дома"
Отправлено evillist.ru , 16-Фев-09 14:01 
/поскипано/

>Но... Вот ситуация. Есть внешний клиент. У него провайдер выдал ему адрес
>для подключения к своей сети 10.10.10.57. И соответственно все настройки сетевой
>карты такие же как и в моей локальной сети. Шлюз по
>умолчанию 10.10.10.1. То есть сопадают настройки на 100%.
>

Почему бы не запускать такого внешнего клиента в другую сеть к примеру
10.8.10.0 и не настроить между ними роутинг?

Порешал примерно такую же проблему с тремя видами клиентов - на сервере
крутятся три процесса openvpn на разных портах, все ок

"Не работает VPN у клиента из дома"
Отправлено flints , 16-Фев-09 15:10 
А ДНС? Они же все по именам обращаются.
А если и с такой сетью найдется?

"Не работает VPN у клиента из дома"
Отправлено evillist.ru , 16-Фев-09 15:45 
>А ДНС? Они же все по именам обращаются.
>А если и с такой сетью найдется?

вот у меня дома,к примеру, два компа в сети 192.168.1.0/24
я уверен, что таких компьютеров - несть числа в мире. но это нам не мешает ведь, правда?

В Вашем примере задача - подружить компьютер домашний, находящийся в впн провайдера, со своим впн. Мне кажется - решить можно организовав еще одну впн-сеть с Вашей стороны, пусть даже и ради одного пользователя.

ДНС и прочее - настраивается в том же конфиге впн на стороне сервера в случае с openvpn

"Не работает VPN у клиента из дома"
Отправлено flints , 16-Фев-09 16:04 
Это понятно, что так можно сделать. Одно но...

Я заранее не могу знать из какой сети полезет клиент и какие могут быть совпадения. Как Вы понимаете если он лезет откуда-нить, грубо говоря из Зимбабве, телефонный разговор с ним для настройки вылезет в очень приличную сумму.

"Не работает VPN у клиента из дома"
Отправлено evillist.ru , 16-Фев-09 16:47 
выслать ему сертификаты с конфигом и гуи установщик под опенвпн - всего делов-то..


"Не работает VPN у клиента из дома"
Отправлено flints , 17-Фев-09 10:45 
мы похоже о разных вещах говорим:
есть локальная сеть 10.10.10.0/24
локальная сеть 192.168.10.0/24
два линукса используются в качестве шлюзов.
VPN сервера подняты не на Линуксе, а на W2000. Линуксы просто пробрасывают пакеты внутрь локалок. Днс сервер (который занимается разрешением локальных имен) находится по адресу 10.10.10.10 и 192.168.10.10 соответственно. Роутинг между двумя локальными сетями настроен, физически они находятся в одном здании.
Для каждой машины из локальной сети сделана соответствующая запись на ДНС сервере. При подключении по впн юзеры работают с сервисами в обеих сетях.
Если, как Вы предлагаете, разворачивать доп. сеть, то в ДНС вторая запись на каждую машину плюс доп. интерфейс на каждой машине. Я вас правильно понял? Если да, то это не вариант.
"Не работает VPN у клиента из дома"
Отправлено evillist.ru , 17-Фев-09 11:15 
/поскипано/

>Если, как Вы предлагаете, разворачивать доп. сеть, то в ДНС вторая запись
>на каждую машину

??? не понял. зачем?

>плюс доп. интерфейс на каждой машине. Я вас
>правильно понял? Если да, то это не вариант.

с чем столкнулся, когда появился второй интерфейс на машине (win) - отключить в св-вах netbios на виртуальной сетевушке, дабы не тормозило при обзоре сети.  Вам не разрешено организовывать более одного vpn?
Мне кажется, что при Ваших условиях, когда у клиента то же адресное пространство для его vpn (провайдерского), что и Ваше - налепить поверх еще одну сеть и связать их. Иначе - если "вдруг" такой клиент попадает к вам в vpn, как он будет делать различие между двумя одинаковыми ip? openvpn сервер можно поднять и на win машине, и настроек там - гибкости неописуемой

"Не работает VPN у клиента из дома"
Отправлено flints , 17-Фев-09 11:51 
ВО, ключевая фраза:
"Иначе - если "вдруг" такой клиент попадает к вам в vpn, как он будет делать различие между двумя одинаковыми ip?"
Именно это и происходит.
Давайте прям на примере.
Клиент настройки дом. сети:
ip 10.10.10.128
mask 255.255.255.0
gate 10.10.10.1
dns 10.10.10.15

Предположим в локальной сети есть машина user1.lan1.office.ru и есть user2.lan2.office.ru
Для них на ДНС сервере 10.10.10.10 и ДНС сервере 192.168.40.10 соответственно:
запись A 10.10.10.97
запись А 192.168.40.10
Адрес ВПН сервера 10.10.10.250
Еще один ВПН 192.168.40.250
Куда будет логиниться клиент - я могу выбирать.
В сетевом окружении машины при логине не видны и не будут видны, ввиду кривости этой службы в Win. То есть обращение только с помощью разрешения имен по ДНС.

Какие настройки Вы предлагаете прописать на клиенте при логине к ВПН серверу чтобы ему были доступны сети 192.168.40.0/24 и 10.10.10.0/24?

"Не работает VPN у клиента из дома"
Отправлено evillist.ru , 17-Фев-09 12:04 

>Какие настройки Вы предлагаете прописать на клиенте при логине к ВПН серверу
>чтобы ему были доступны сети 192.168.40.0/24 и 10.10.10.0/24?

может, я что не так понял - чтобы такой клиент видел эти сети ему надо указать их шлюз и днс до кучи. но тогда он остается без провайдерских маршрутов. то что предлагаю я - еще один впн  - без замены у клиента шлюза по умолчанию. просто запросы отправленые в Вашу сеть (которая не пересекается с клиентской провайдерской) - будут уходить именно в нее, потому как она будет отличаться от 10.10.10.0/24. т.е. инет, к примеру, клиент кушает от своего провайдера, а ресурсы Вашего впн - у Вас, _присутсвуя одновременно в 2х впн_ - вот что я пытаюсь донести.

"Не работает VPN у клиента из дома"
Отправлено flints , 17-Фев-09 12:31 
>может, я что не так понял - чтобы такой клиент видел эти
>сети ему надо указать их шлюз и днс до кучи. но
>тогда он остается без провайдерских маршрутов. то что предлагаю я -
>еще один впн  - без замены у клиента шлюза по
>умолчанию. просто запросы отправленые в Вашу сеть (которая не пересекается с
>клиентской провайдерской) - будут уходить именно в нее, потому как она
>будет отличаться от 10.10.10.0/24. т.е. инет, к примеру, клиент кушает от
>своего провайдера, а ресурсы Вашего впн - у Вас, _присутсвуя одновременно
>в 2х впн_ - вот что я пытаюсь донести.

Предположим поднял я еще один впн (сеть 10.8.10.0). Настроил маршруты. Клиент залогинился и пытается достучаться до user1.lan1.office.ru. Даже если имя и разрешится (что вряд ли) потому что упоминание про user1.lan1.office.ru есть только на моем днс, то в адрес 10.10.10.97 и естессно все это уйдет в провайдерскую сеть. Или я что-то не правильно понимаю?

"Не работает VPN у клиента из дома"
Отправлено evillist.ru , 17-Фев-09 12:53 
>Предположим поднял я еще один впн (сеть 10.8.10.0). Настроил маршруты. Клиент залогинился
>и пытается достучаться до user1.lan1.office.ru. Даже если имя и разрешится (что
>вряд ли) потому что упоминание про user1.lan1.office.ru есть только на моем
>днс, то в адрес 10.10.10.97 и естессно все это уйдет в
>провайдерскую сеть. Или я что-то не правильно понимаю?

ну да, так и выходит.. тогда занести user1.lan1.office.ru дополнительно в сеть 10.8.10.0/24 - должно работать хотя бы на уровне обращеня по ip. иначе опять упираемся в адреса - непонятно кто есть кто.
Во всех описаниях по впн и маршрутам идут примеры, связаные с разными сетями - типа 192.168.1.0/24 и 192.168.2.0/24 к примеру. В принципе, все верно - иначе зачем все эти причиндалы внутри сети (сетей) с одним адресным пространством?

"Не работает VPN у клиента из дома"
Отправлено flints , 17-Фев-09 13:12 
>ну да, так и выходит.. тогда занести user1.lan1.office.ru дополнительно в сеть 10.8.10.0/24
>- должно работать хотя бы на уровне обращеня по ip. иначе
>опять упираемся в адреса - непонятно кто есть кто.
>Во всех описаниях по впн и маршрутам идут примеры, связаные с разными
>сетями - типа 192.168.1.0/24 и 192.168.2.0/24 к примеру. В принципе, все
>верно - иначе зачем все эти причиндалы внутри сети (сетей) с
>одним адресным пространством?

И получается что на user1.lan1.office.ru мне придется доп. адрес поднимать, что не есть гуд. И опять же никакой гарантии, что не найдется клиент с такой же сетью.
Я поэтому сюда и написал, думал что кто-то уже делал такую хитровымученную конфигурацию.

"Не работает VPN у клиента из дома"
Отправлено Andrey Mitrofanov , 17-Фев-09 13:24 
>Я поэтому сюда и написал, думал что кто-то уже делал такую хитровымученную
>конфигурацию.

Да. http:/openforum/vsluhforumID10/3630.html#19 Регулярно. http:/openforum/vsluhforumID1/83869.html#3 И это не значит, что решение _есть_, что оно простое, и что оно правильное.

Наверное, не спроста во введении RFC1918 пишут --

This document describes address allocation for private internets. The
allocation permits full network layer connectivity among all hosts
inside an enterprise as well as among all public hosts of different
enterprises.

А те, которые пользуют "private" адреса для связи с "hosts" в "different
enterprises"... эээ... нарушают $) рекомендации и отправляются в вольное плава^W^W^Wпрогуляться по граблям.