форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN)
Изначальное сообщение		[ Отслеживать ]

"Как заставить весь трафик идти в туннель.."	+/–
Сообщение от NamelessDN (ok) on 12-Фев-14, 18:39
Здравствуйте. Подскажите, как лучше поступить в следующей ситуации: Сеть предприятия имеет адресацию: 192.168.0.0/16, клиенты, подключающиеся к ней по ВПН также, обычно, имеют локальные адреса (в своих домашних сетях) 192.168.1.0/24 или 192.168.0.0/24. Соответственно, при установленном ВПН-соединении клиентам не доступны подсети предприятия совпадающие с их локальными, например, при попытке подключится к серваку предприятия с адресом 192.168.1.100, клиент вместо того чтобы слать запросы в туннель шлет их в свою  домашнюю сеть? Таблицы роутинга у клиента правильные - дефолт через ВПН с минимальной метрикой. Подскажите, как лучше выйти из сложившейся ситуации, не меняя адресацию в локаклке предприятия? Сейчас выкручиваемся тем, что ставим на домашних роутерах адреса сетей не пересекающиеся с сеткой предприятия - но ИМХО это не самое правильное решение...
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Как заставить весь трафик идти в туннель.."	+/–
Сообщение от VolanD (ok) on 12-Фев-14, 19:42
>[оверквотинг удален] > 192.168.0.0/24. > Соответственно, при установленном ВПН-соединении клиентам не доступны подсети предприятия > совпадающие с их локальными, например, при попытке подключится к серваку предприятия > с адресом 192.168.1.100, клиент вместо того чтобы слать запросы в туннель > шлет их в свою  домашнюю сеть? > Таблицы роутинга у клиента правильные - дефолт через ВПН с минимальной метрикой. > Подскажите, как лучше выйти из сложившейся ситуации, не меняя адресацию в локаклке > предприятия? > Сейчас выкручиваемся тем, что ставим на домашних роутерах адреса сетей не пересекающиеся > с сеткой предприятия - но ИМХО это не самое правильное решение... А вы не можете им выдавать адреса при подключении ВПН какие-нить 10.100.100.0/24 а потом обычно марщрутизацией разруливать связь между серверами и ими?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Как заставить весь трафик идти в туннель.."	+/–
	Сообщение от NamelessDN (ok) on 13-Фев-14, 09:56
	> А вы не можете им выдавать адреса при подключении ВПН какие-нить 10.100.100.0/24 > а потом обычно марщрутизацией разруливать связь между серверами и ими? Это не поможет, адреса и так выдаются из 10.0.0.0/24, но всё что идет к 192.168.1.0/24 отправляется локалку, а не в туннель.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	6. "Как заставить весь трафик идти в туннель.."	+/–
	Сообщение от VolanD (ok) on 13-Фев-14, 13:45
	>> А вы не можете им выдавать адреса при подключении ВПН какие-нить 10.100.100.0/24 >> а потом обычно марщрутизацией разруливать связь между серверами и ими? > Это не поможет, адреса и так выдаются из 10.0.0.0/24, но всё что > идет к 192.168.1.0/24 отправляется локалку, а не в туннель. Да, вы правы. Невнимательно прочитал.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Как заставить весь трафик идти в туннель.."	+/–
Сообщение от ShyLion (ok) on 13-Фев-14, 07:10
> Сеть предприятия имеет адресацию: 192.168.0.0/16 > Подскажите, как лучше выйти из сложившейся ситуации, не меняя адресацию в локаклке > предприятия? Это единственный _правильный_ выход. Корп сети обычно в 10/8 делают. В крайнем случае слезьте с 192.168.0.0/24 и 192.168.1.0/24. Возможный "костыль" в вашем случае: NAT, c маппингом 192.168.0.0/16 на например 10.168.0.0/16 один в один и для обращения к корп-ресурсам от ВПН клиентов использовать адреса 10.168.x.x
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Как заставить весь трафик идти в туннель.."	+/–
	Сообщение от NamelessDN (ok) on 13-Фев-14, 10:03
	> Это единственный _правильный_ выход. Корп сети обычно в 10/8 делают. В крайнем > случае слезьте с 192.168.0.0/24 и 192.168.1.0/24. > Возможный "костыль" в вашем случае: NAT, c маппингом 192.168.0.0/16 на например 10.168.0.0/16 > один в один и для обращения к корп-ресурсам от ВПН клиентов > использовать адреса 10.168.x.x вариант, но только придется поднять DNS на BIND'е (или DNS-серевер под Windows умеет выдавать ответы в зависимости от того с какого IP пришел запрос?).
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Как заставить весь трафик идти в туннель.."	+/–
	Сообщение от ShyLion (ok) on 13-Фев-14, 11:52
	>> Это единственный _правильный_ выход. Корп сети обычно в 10/8 делают. В крайнем >> случае слезьте с 192.168.0.0/24 и 192.168.1.0/24. >> Возможный "костыль" в вашем случае: NAT, c маппингом 192.168.0.0/16 на например 10.168.0.0/16 >> один в один и для обращения к корп-ресурсам от ВПН клиентов >> использовать адреса 10.168.x.x > вариант, но только придется поднять DNS на BIND'е (или DNS-серевер под Windows > умеет выдавать ответы в зависимости от того с какого IP пришел > запрос?). Смотря чем сделан нат. Cisco например, по умолчанию, DNS ответы, если они через тот-же NAT проходят, модифицирует соответственно. Виндовый DNS вьюхи вроде не умеет, не для того он делался.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Как заставить весь трафик идти в туннель.."	+/–
	Сообщение от izyk (ok) on 13-Фев-14, 15:22
	Будь "мужиком", переделай 192.168/16 на что-то, типа 172.16-31/16. Тем более 192.168/16 - это не "classful". Костыли - это плохо, потом, и не заметишь, где вылезет.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема