https://m.opennet.me/openforum/vsluhforumID1/90616.html Суть вопроса - однозначный ответ по моей "затее", а именно:<br><br>исторически сложилось так, что интернет раздается в сети через ВПН, горя с ним много повидали (маршрутизация, авторизация, вычислительные мощности итд), по сему была проведена работа по защите несанкционированного доступа в сеть (привязка мак+ип), площадка для ухода от ВПН подготовлена, сказать всем мол завтра ВПН более не нужно подключать не выход, всегда найдется тот кто новости не читает, либо просто ничего не понимает и делать естественно не хочет, по этому нужно как-то сделать так, чтоб все было гладко, тихо и спокойно для конечного потребителя услуг. 5 минут назад меня посетила мысль,<br>1. а что если впн не останавливать а просто авторизовать всех на прежних условиях с некоторыми послаблениями в авторизации - пускать всех с любыми комбинациями логин-пароль;<br>2. не поднимать дефолтный шлюз на абонентской машине;<br><br>собственно кто может сказать однозначно, реализуемо ли это на MPD 5.3 во FreeBSD, чтоб коннект поднимался, а локальную виндовую та https://m.opennet.me/openforum/vsluhforumID1/90616.html#24 Sun, 26 Dec 2010 16:12:16 GMT &gt; я имел ввиду исключить строку <br>&gt; set ipcp ranges defaultrtr/32 ippool poolsat <br>&gt; из конфига сервера МПД <br><br>Заинтересовала идея. Попробовал у себя. Как ни странно, ничего не поменялось. Маршрут по умолчанию все равно был прописан и все продолжило работать как раньше :(<br> https://m.opennet.me/openforum/vsluhforumID1/90616.html#23 Sat, 25 Dec 2010 09:27:19 GMT &gt; По идее сделав так вы получите "IPCP: not converging" в лог и <br>&gt; на этом все кончится.<br><br>это уже хуже... короче нужен сервер чтоб проверять :)<br> https://m.opennet.me/openforum/vsluhforumID1/90616.html#22 Sat, 25 Dec 2010 09:11:36 GMT &gt; это все понятно, я имел ввиду исключить строку <br>&gt; set ipcp ranges defaultrtr/32 ippool poolsat <br>&gt; из конфига сервера МПД <br><br>По идее сделав так вы получите "IPCP: not converging" в лог и на этом все кончится.<br> https://m.opennet.me/openforum/vsluhforumID1/90616.html#21 Sat, 25 Dec 2010 08:27:41 GMT &gt;&gt; 2. не поднимать дефолтный шлюз на абонентской машине; <br>&gt; АФАИР в винде галочка "Use default gateway on remote network" по умолчанию <br>&gt; включена, т.е.<br>&gt; если в изначальной инструкции по подключению к вашей сети не было сказано <br>&gt; снять ее, то не без ручных манипуляций со стороны пользователя не <br>&gt; обойтись.<br><br>это все понятно, я имел ввиду исключить строку<br>set ipcp ranges defaultrtr/32 ippool poolsat<br>из конфига сервера МПД<br> https://m.opennet.me/openforum/vsluhforumID1/90616.html#20 Sat, 25 Dec 2010 08:24:22 GMT &gt; не совсем понял, а сейчас как ? тут надо на детали <br>&gt; переходить...<br><br>сейчас юзера могут ходить через ВПН и без ВПН, со вторыми все понятно у них только шлюз поменяется в ДХЦП, а вот первые... первые могут получать ИП как реальный, так и серый, летит все это дело на VPN, впнсервер получет пакет и смотрит куда его передать - пиринговые сети на бгп роутер или интернет, в пириг адреса ВПНтунелей не анонсированы, по этому там возникает НАТ и прочие прелести, пиринг часто обновляется анонсами, короче ппц, с инетом все проще, АС нету.<br>тот же БГП роутер на пиринге является всем в сети дефолтным шлюзом, маршрутизация с поднятым и опущеным ВПНом на юзерской машине идет разными путями, есть забитый костыль - народу прописаны основные пиринговые адреса вида 172.*.*.*<br><br>вот такой огород накручен :)<br> https://m.opennet.me/openforum/vsluhforumID1/90616.html#19 Sat, 25 Dec 2010 07:26:27 GMT &gt; Да, 7.2, карты интел, дрова яндекс, юз нетграфом 30-40% от кадого ядра, <br>&gt; сетевухи прогружаются до 100% по потоку, короче это пипец, на сервер <br>&gt; 2-2.5к сессий <br><br>На прошлой работе мы ушли на линукс с accel-pptp, профит реально огромный.<br> https://m.opennet.me/openforum/vsluhforumID1/90616.html#18 Sat, 25 Dec 2010 07:23:46 GMT &gt; 2. не поднимать дефолтный шлюз на абонентской машине; <br><br>АФАИР в винде галочка "Use default gateway on remote network" по умолчанию включена, т.е.<br>если в изначальной инструкции по подключению к вашей сети не было сказано снять ее, то не без ручных манипуляций со стороны пользователя не обойтись.<br> https://m.opennet.me/openforum/vsluhforumID1/90616.html#17 Sat, 25 Dec 2010 07:19:49 GMT &gt; отработать 2 схемы не получится в силу того что основной маршрутизатор инета <br>&gt; будет переведен во внешнюю транзитную сеть<br><br>не совсем понял, а сейчас как ? тут надо на детали переходить...<br><br>&gt; корневой роутер (дефолтный для юзера) будет центральным БГП который загромождать в цепочку с ВПНами проблематично. <br><br>ну и пусть будет, в чем проблематичность - я не понимаю.<br>у серверов, которые терминируют впны, есть интерфейс внешней стороны, на котором висят сети с реальными адресами.. Если нет такого интерфейса, а просто по внутренней сети между рутером и серверами маршрутизируются подсети реальных адресов, то создаете такой интерфейс (vlan), переносите маршрутизацию (адрес шлюза по умолчанию, выдаваемый клиентам по впн (хотя это особой роли не играет, поскольку интерфейс точка-точка) и в настройках дхцп по новой схеме) на роутер, Включаете proxyarp в настройках впн-сервера... В этот же вилан загоняете клиентов, подключившихся без впн-а.<br><br>&gt; Да и цели пока не стоит всех переташить на реальники. https://m.opennet.me/openforum/vsluhforumID1/90616.html#16 Sat, 25 Dec 2010 06:58:30 GMT отработать 2 схемы не получится в силу того что основной маршрутизатор инета будет переведен во внешнюю транзитную сеть, корневой роутер (дефолтный для юзера) будет центральным БГП который загромождать в цепочку с ВПНами проблематично. Да и цели пока не стоит всех переташить на реальники. <br><br>&gt;Внятно распишите, чтобы всем было понятно.<br><br>вот тут самые проблемы, за 9 лет уже вроде и пишим так что собака поймет, тем не менее есть вундеркинды и их не мало :))<br><br>&gt;Привязка на порту в этот момент должна уже быть "правильной" - либо измениться по нажатию кнопки абонентом, либо, что лучше (менее глючно :-) ) - на порту должны быть привязаны оба адреса, белый и серый.<br><br>на порту все настроено, мак вбит, а ДХЦП снупинг свою работу сделает.<br><br>я понимаю вас как творческого человека, у нас техдиректор подобную схему придумал, но на реализацию уйдет времени очень прилично, тем более с нашими нюансами, которые я слегка в первой части сообщения описал..<br><br>вместе с отказом от ВПН хочется освободить сервера, им уже придум