Всем доброго времени суток!Есть у меня vpn-сервер mpd на freebsd и такая схема:
LAN---ROUTER---VPN---INTERNET
Пользователи из локальной сети (LAN) для выхода в INTERNET подключаются к VPN через ROUTER. Гейтвей по умолчанию ставится на VPN и пользователи спокойно ходят в INTERNET.
С недавних пор потребовалось модернизировать эту схему так:LAN---ROUTER--INTERNET
. |
. └----VPN
Т.е. пользователям при подключении к VPN должен выдаваться дефолтовый гейтвей на ROUTER (он стоит у них по умолчанию) и выполняться скрипт открытия доступа в интернет на роутере. Другими словами сервер VPN как-бы таковым не является а служит только как сервер авторизации.НО! При такой схеме после подключения в таблице маршрутизации клиента (проверенно на Win2000) появляется непонятная и совсем ненужная запись: 10.0.0.0/8 10.50.5.3
где 10.50.5.3 - адрес выданный впн-сервером.
Т.е. получается так, что весь локальный траффик от клиента идет через VPN сервер.
В связи с этим вопрос: можно ли как-нибудь сделать так чтобы этот ненужный роут не выдавался?Заранее благодарю всех за ответы!
>Всем доброго времени суток!
>
>Есть у меня vpn-сервер mpd на freebsd и такая схема:
>
>LAN---ROUTER---VPN---INTERNET
>
>Пользователи из локальной сети (LAN) для выхода в INTERNET подключаются к VPN
>через ROUTER. Гейтвей по умолчанию ставится на VPN и пользователи спокойно
>ходят в INTERNET.
>С недавних пор потребовалось модернизировать эту схему так:
>
>LAN---ROUTER--INTERNET
>.
> |
>.
> └----VPN
>Т.е. пользователям при подключении к VPN должен выдаваться дефолтовый гейтвей на ROUTER
>(он стоит у них по умолчанию) и выполняться скрипт открытия доступа
>в интернет на роутере. Другими словами сервер VPN как-бы таковым не
>является а служит только как сервер авторизации.
>
>НО! При такой схеме после подключения в таблице маршрутизации клиента (проверенно на
>Win2000) появляется непонятная и совсем ненужная запись: 10.0.0.0/8 10.50.5.3
>где 10.50.5.3 - адрес выданный впн-сервером.
>Т.е. получается так, что весь локальный траффик от клиента идет через VPN
>сервер.
>В связи с этим вопрос: можно ли как-нибудь сделать так чтобы этот
>ненужный роут не выдавался?
>
>Заранее благодарю всех за ответы!Необходима настройка на стороне клиента.
Прописать маршрут на подсеть LAN через роутер.
>>Всем доброго времени суток!
>>
>>Есть у меня vpn-сервер mpd на freebsd и такая схема:
>>
>>LAN---ROUTER---VPN---INTERNET
>>
>>Пользователи из локальной сети (LAN) для выхода в INTERNET подключаются к VPN
>>через ROUTER. Гейтвей по умолчанию ставится на VPN и пользователи спокойно
>>ходят в INTERNET.
>>С недавних пор потребовалось модернизировать эту схему так:
>>
>>LAN---ROUTER--INTERNET
>>.
>> |
>>.
>> └----VPN
>>Т.е. пользователям при подключении к VPN должен выдаваться дефолтовый гейтвей на ROUTER
>>(он стоит у них по умолчанию) и выполняться скрипт открытия доступа
>>в интернет на роутере. Другими словами сервер VPN как-бы таковым не
>>является а служит только как сервер авторизации.
>>
>>НО! При такой схеме после подключения в таблице маршрутизации клиента (проверенно на
>>Win2000) появляется непонятная и совсем ненужная запись: 10.0.0.0/8 10.50.5.3
>>где 10.50.5.3 - адрес выданный впн-сервером.
>>Т.е. получается так, что весь локальный траффик от клиента идет через VPN
>>сервер.
>>В связи с этим вопрос: можно ли как-нибудь сделать так чтобы этот
>>ненужный роут не выдавался?
>>
>>Заранее благодарю всех за ответы!
>
>Необходима настройка на стороне клиента.
>Прописать маршрут на подсеть LAN через роутер.
Пробовал. Помогает. Но это не выход т.к. пользователей около 100 и их количество будет расти.
>>>Всем доброго времени суток!
>>>
>>>Есть у меня vpn-сервер mpd на freebsd и такая схема:
>>>
>>>LAN---ROUTER---VPN---INTERNET
>>>
>>>Пользователи из локальной сети (LAN) для выхода в INTERNET подключаются к VPN
>>>через ROUTER. Гейтвей по умолчанию ставится на VPN и пользователи спокойно
>>>ходят в INTERNET.
>>>С недавних пор потребовалось модернизировать эту схему так:
>>>
>>>LAN---ROUTER--INTERNET
>>>.
>>> |
>>>.
>>> └----VPN
>>>Т.е. пользователям при подключении к VPN должен выдаваться дефолтовый гейтвей на ROUTER
>>>(он стоит у них по умолчанию) и выполняться скрипт открытия доступа
>>>в интернет на роутере. Другими словами сервер VPN как-бы таковым не
>>>является а служит только как сервер авторизации.
>>>
>>>НО! При такой схеме после подключения в таблице маршрутизации клиента (проверенно на
>>>Win2000) появляется непонятная и совсем ненужная запись: 10.0.0.0/8 10.50.5.3
>>>где 10.50.5.3 - адрес выданный впн-сервером.
>>>Т.е. получается так, что весь локальный траффик от клиента идет через VPN
>>>сервер.
>>>В связи с этим вопрос: можно ли как-нибудь сделать так чтобы этот
>>>ненужный роут не выдавался?
>>>
>>>Заранее благодарю всех за ответы!
>>
>>Необходима настройка на стороне клиента.
>>Прописать маршрут на подсеть LAN через роутер.
>
>
>Пробовал. Помогает. Но это не выход т.к. пользователей около 100 и их
>количество будет расти.
Если твой сервак - лишь транзит для тунеля, ничего больше ты не зделаешь.
Вобщем нашел решение, хоть и несколько нестандартное...Дело в том что в схеме которую я приводил выше локальные пользователи имели айпишники вида 10.33.* поэтому когда им выдавался ip вида 10.50.* автоматически появлялся роут 10.0.0.0/8 ессно весь их траффик шел через VPN.
Решилось все просто. Т.к. мне неважно какой ip выдается VPN-ом (все информация о соответствии VPN-ip к реальному ip пользователя берется из базы данных), я сказал VPN-у выдавать пользователям ip из сети класса С 192.168.* В этом случае у клиента появляется роут вида 192.168.5.0/24 и не мешает вообще поскольку в этом диапазоне адресов нет ничего.
Как мне кажется решение неплохое. Достоинства налицо:
1)Защищенность пользователя. Доступ открывается только когда пользователь логинится. (привязка к маку менее надежна)
2)Нету издержек скорости (в отличие от соединения через VPN)
3)При подключении к ROUTER-серверу каких-либо других сетей (будь то серверная подсеть или какая другая) нет необходимости каждому клиенту прописывать таблицу маршрутизации (при включенной VPN-сессии).Спасибо всем за ответы!