Приветсвую Вас, уважаемые коллеги! У меня вопрос.
Стоит в локальной сети шлюз Gateway (FreeBSD), Mail (MSExchange). Каждая из машин имеет прямой доступ к Интернет (реальные IP в ExtNet) и сетевые интерфейсы с частной сетью (IntNet). На Gateway (FreeBSD5.4, mpd-3.18_4). Для того, чтобы клиенты VPN (VPN Client1 & 2) ходили через шлюзы своих провайдеров в Интернет в подсоединении pptp на клиентах было выключено "Use default gateway on remote gateway". Клиент через VPN сервер соединяются с внутренним IP адресом Exchange (192.168.20.4/24). На клиентах WindowsXP.
ВСЁ РАБОТАЕТ, но требуется минимальные конфигурационные настройки на клиентах, и поэтому нужно:
1) динамическое назначение IP адресов клиентам. Их VPN сервер успешно выделяет и это работает.
2) в сооветсвии назначенному vpn сервером IP адресу требуется статический маршрут типа
route -p ADD 192.168.20.0 MASK 255.255.255.0 192.168.0.9
Это хорошо прокатывает, если у меня VPN адрес на клиенте назначен статическим (в данном случае 192.168.0.9), а если он динамический, то получается, что я должен добалять в маршрут адрес, который я не знаю. Если бы можно это было делать скриптом который запускается при подсоединении VPN, или ещё как то? (Когда стотит в соединении VPN шлюз по умолчанию, конечно этих проблем нет.)
3) хочется, чтобы при подсоединении vpn клиент начинал использовать для разрешения имён DNS, который указан в VPN, но так как имя сервера видно снаружи, то он разрешается как внешний IP адрес (ExtIP xxxx.xxx.1.4/30) и пакеты от клиентов в vpn туннель не попадают. Если бы шло разрешение через NETBIOS имена, то имя сервера успешно разрешается во внтуренний адрес, но это не работает, т.к. успешно разрешается по DNS. Можно обойти эту проблему добавив в hosts внутренний IP адрес Exchange, но это как-то некрасиво..
4) Параметр set iface enable proxy-arp я понимаю используется для того, чтобы не нужно было настраивать статические маршруты для клиентов VPN и чтобы они были в одном адресном пространстве вместе с IntNet. Но у меня почему-то это не работает. М.б. необходимо было дополнительно дать правило ipfw разрешающее прохождение arp пакетов?
5) ну и последний вопрос (школярский): интеграция mpd с радиус сервер позволит для удалённого ПК который был введён в домен и на нём вошёл доменный пользователь получать доступ к Exchange без пароля при системной аутендификации пользователя. При логине, если выставить аутендификация удалённым способом и назначить соединение vpn оно будет работать. Я всё правильно понял?
VPN Client 1 VPN Client 2
+-----------------------+ +-----------------------+
|+---------------------+| |+---------------------+|
||VpnIP= 192.168.0.8/24|| ||VpnIP= 192.168.0.9/24||
|+----------- ---------+| |+----------- ---------+|
| | | |
| | | |
| ExtIP= Dynamic | | ExtIP= 195.34.32.11/32|
+------------ ----------+ +------------ ----------+
_,,,,,,,...-----------...,,,,,,,_
,.-'```` ````'-.,,
-` Internet '
`'-.,,,_ __,,.--``
`````''''''-----------''''''`````
ExtNet
=============================================================
Exchange Gateway
+----------------------+ +----------------------+
|ExtIP xxxx.xxx.1.4/30| | ExtIP xxx.xxx.2.5/25 |
| | | |
| | | |
| | |+--------------------+|
| | ||VpnIP 192.168.0.1/24||
| | |+---------------------+|
| | | |
| | | |
| IntIP 192.168.20.4/24| | IntIP 192.168.20.1/24|
+----------------------+ +----------------------+
є є IntNet
============== ============================ =================
Листинги файлов, mpd.conf:
default:
load pptp0
load pptp1
load pptp2
pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 192.168.0.1/32 192.168.0.7/32
load pptp_standart
pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 192.168.0.1/32 192.168.0.8/32
load pptp_standart
pptp2:
new -i ng2 pptp2 pptp2
set ipcp ranges 192.168.0.1/32 192.168.0.9/32
load pptp_standart
pptp3:
new -i ng2 pptp3 pptp3
set ipcp ranges 192.168.0.1/32 192.168.0.10/32
load pptp_standart
pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp
set ipcp dns 195.xxx.192.xx
set ipcp nbns 195.xxx.201.xxx
set iface enable proxy-arp
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd
set pptp self xxx.xxx.2.5/25
set pptp enable incoming
set pptp disable originate
mpd.conf:
pptp0:
set link type pptp
pptp1:
set link type pptp
pptp2:
set link type pptp
pptp3:
set link type pptp
Спасибо.