The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Как грамотно настроить маршрутизацию на клиентах WinXP с VPN..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как грамотно настроить маршрутизацию на клиентах WinXP с VPN..."  
Сообщение от MyUNIX (ok) on 20-Апр-06, 01:25 
Приветсвую Вас, уважаемые коллеги! У меня вопрос.

Стоит в локальной сети шлюз Gateway (FreeBSD), Mail (MSExchange). Каждая из машин имеет прямой доступ к Интернет (реальные IP в ExtNet) и сетевые интерфейсы с частной сетью (IntNet). На Gateway (FreeBSD5.4, mpd-3.18_4). Для того, чтобы клиенты VPN (VPN Client1 & 2) ходили через шлюзы своих провайдеров в Интернет в подсоединении pptp на клиентах было выключено "Use default gateway on remote gateway". Клиент через VPN сервер соединяются с внутренним IP адресом Exchange (192.168.20.4/24). На клиентах WindowsXP.
ВСЁ РАБОТАЕТ, но требуется минимальные конфигурационные настройки на клиентах, и поэтому нужно:

1) динамическое назначение IP адресов клиентам. Их VPN сервер успешно выделяет и это работает.

2) в сооветсвии назначенному vpn сервером IP адресу требуется статический маршрут типа
route -p ADD 192.168.20.0 MASK 255.255.255.0  192.168.0.9
Это хорошо прокатывает, если у меня VPN адрес на клиенте назначен статическим (в данном случае 192.168.0.9), а если он динамический, то получается, что я должен добалять в маршрут адрес, который я не знаю. Если бы можно это было делать скриптом который запускается при подсоединении VPN, или ещё как то? (Когда стотит в соединении VPN шлюз по умолчанию, конечно этих проблем нет.)

3) хочется, чтобы при подсоединении vpn клиент начинал использовать для разрешения имён DNS, который указан в VPN, но так как имя сервера видно снаружи, то он разрешается как внешний IP адрес (ExtIP   xxxx.xxx.1.4/30) и пакеты от клиентов в vpn туннель не попадают. Если бы шло разрешение через NETBIOS имена, то имя сервера успешно разрешается во внтуренний адрес, но это не работает, т.к. успешно разрешается по DNS. Можно обойти эту проблему добавив в hosts внутренний IP адрес Exchange, но это как-то некрасиво..

4) Параметр set iface enable proxy-arp я понимаю используется для того, чтобы не нужно было настраивать статические маршруты для клиентов VPN и чтобы они были в одном адресном пространстве вместе с IntNet. Но у меня почему-то это не работает. М.б. необходимо было дополнительно дать правило ipfw разрешающее прохождение arp пакетов?

5) ну и последний вопрос (школярский): интеграция mpd с радиус сервер позволит для удалённого ПК который был введён в домен и на нём вошёл доменный пользователь получать доступ к Exchange без пароля при системной аутендификации пользователя. При логине, если выставить аутендификация удалённым способом и назначить соединение vpn оно будет работать. Я всё правильно понял?

                                                                  
         VPN Client 1                  VPN Client 2                
  +-----------------------+     +-----------------------+          
  |+---------------------+|     |+---------------------+|          
  ||VpnIP= 192.168.0.8/24||     ||VpnIP= 192.168.0.9/24||          
  |+----------- ---------+|     |+----------- ---------+|          
  |                       |     |                       |            
  |                       |     |                       |          
  | ExtIP= Dynamic        |     | ExtIP= 195.34.32.11/32|          
  +------------ ----------+     +------------ ----------+          
                                                                  
                                                                  
               _,,,,,,,...-----------...,,,,,,,_                  
       ,.-'````                                 ````'-.,,          
     -`                    Internet                      '        
       `'-.,,,_                                 __,,.--``          
               `````''''''-----------''''''`````                  
                                                           ExtNet  
=============================================================    
                                                                  
            Exchange                     Gateway                  
   +----------------------+    +----------------------+          
   |ExtIP   xxxx.xxx.1.4/30|    | ExtIP  xxx.xxx.2.5/25 |          
   |                                |            |                       |          
   |                                |            |                       |          
   |                                |            |+--------------------+|          
   |                                       |    ||VpnIP  192.168.0.1/24||          
   |                                |            |+---------------------+|          
   |                                |            |                       |          
   |                                |            |                       |          
   | IntIP  192.168.20.4/24|    | IntIP  192.168.20.1/24|          
   +----------------------+            +----------------------+          
               є                            є               IntNet
============== ============================ =================    


Листинги файлов, mpd.conf:
default:
load pptp0
load pptp1
load pptp2

pptp0:
new -i ng0 pptp0 pptp0
set ipcp ranges 192.168.0.1/32  192.168.0.7/32

load pptp_standart

pptp1:
new -i ng1 pptp1 pptp1
set ipcp ranges 192.168.0.1/32  192.168.0.8/32
load pptp_standart

pptp2:
new -i ng2 pptp2 pptp2
set ipcp ranges 192.168.0.1/32  192.168.0.9/32
load pptp_standart

pptp3:
new -i ng2 pptp3 pptp3
set ipcp ranges 192.168.0.1/32  192.168.0.10/32
load pptp_standart

pptp_standart:
set iface disable on-demand
set bundle disable multilink
set link yes acfcomp protocomp

set link no pap chap
set link enable chap
set link keep-alive 60 180
set ipcp yes vjcomp

set ipcp dns 195.xxx.192.xx
set ipcp nbns 195.xxx.201.xxx

set iface enable proxy-arp

set bundle enable compression

set ccp yes mppc

set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless
set bundle yes crypt-reqd

set pptp self xxx.xxx.2.5/25

set pptp enable incoming
set pptp disable originate


mpd.conf:
pptp0:
set link type pptp
pptp1:
set link type pptp
pptp2:
set link type pptp
pptp3:
set link type pptp

Спасибо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Как грамотно настроить маршрутизацию на клиентах WinXP с VPN..."  
Сообщение от MyUNIX (ok) on 20-Апр-06, 13:59 
Up!
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Как грамотно настроить маршрутизацию на клиентах WinXP с VPN..."  
Сообщение от MyUNIX (ok) on 20-Апр-06, 21:15 
Люди добрые! Поделитесь мыслями, пжста...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру