The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не работает VPN у клиента из дома"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Не работает VPN у клиента из дома"  
Сообщение от flints (ok) on 13-Фев-09, 12:43 
Добрый день!
Конфигурация такая.

lan (10.10.10.0/24)-linux(eth0 - 10.10.10.1, eth1 - реальный ip)
В lan на win2003 (10.10.10.248) поднят VPN сервер. Соответстветвенно для внешних клиентов на Linux сделан проброс на 10.10.10.248. Клиенты так же получаются адреса из 10.10.10.0/24
Внутри локальной сети шлюз по умолчанию 10.10.10.1
Все замечательно работало внешние пользователи заходили в сеть по VPN, пользовались теми же самыми сервисами, как и пользователи из локальной сети.

Но... Вот ситуация. Есть внешний клиент. У него провайдер выдал ему адрес для подключения к своей сети 10.10.10.57. И соответственно все настройки сетевой карты такие же как и в моей локальной сети. Шлюз по умолчанию 10.10.10.1. То есть сопадают настройки на 100%.

Итог клиент логинится на мой vpn сервер, получает еще один адрес из 10.10.10.0/24 и не видит ни одного сервиса из моей локальной сети. Естессно все пакеты уходят в сеть его провайдера по trace это видно. Сколько ни бился не могу побороть. Все равно все пакеты уходят на провайдерский шлюз клиента.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает VPN у клиента из дома"  
Сообщение от evillist.ru email(ok) on 16-Фев-09, 14:01 
/поскипано/

>Но... Вот ситуация. Есть внешний клиент. У него провайдер выдал ему адрес
>для подключения к своей сети 10.10.10.57. И соответственно все настройки сетевой
>карты такие же как и в моей локальной сети. Шлюз по
>умолчанию 10.10.10.1. То есть сопадают настройки на 100%.
>

Почему бы не запускать такого внешнего клиента в другую сеть к примеру
10.8.10.0 и не настроить между ними роутинг?

Порешал примерно такую же проблему с тремя видами клиентов - на сервере
крутятся три процесса openvpn на разных портах, все ок

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает VPN у клиента из дома"  
Сообщение от flints (??) on 16-Фев-09, 15:10 
А ДНС? Они же все по именам обращаются.
А если и с такой сетью найдется?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает VPN у клиента из дома"  
Сообщение от evillist.ru email(ok) on 16-Фев-09, 15:45 
>А ДНС? Они же все по именам обращаются.
>А если и с такой сетью найдется?

вот у меня дома,к примеру, два компа в сети 192.168.1.0/24
я уверен, что таких компьютеров - несть числа в мире. но это нам не мешает ведь, правда?

В Вашем примере задача - подружить компьютер домашний, находящийся в впн провайдера, со своим впн. Мне кажется - решить можно организовав еще одну впн-сеть с Вашей стороны, пусть даже и ради одного пользователя.

ДНС и прочее - настраивается в том же конфиге впн на стороне сервера в случае с openvpn

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает VPN у клиента из дома"  
Сообщение от flints (??) on 16-Фев-09, 16:04 
Это понятно, что так можно сделать. Одно но...

Я заранее не могу знать из какой сети полезет клиент и какие могут быть совпадения. Как Вы понимаете если он лезет откуда-нить, грубо говоря из Зимбабве, телефонный разговор с ним для настройки вылезет в очень приличную сумму.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает VPN у клиента из дома"  
Сообщение от evillist.ru email(ok) on 16-Фев-09, 16:47 
выслать ему сертификаты с конфигом и гуи установщик под опенвпн - всего делов-то..


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не работает VPN у клиента из дома"  
Сообщение от flints (??) on 17-Фев-09, 10:45 
мы похоже о разных вещах говорим:
есть локальная сеть 10.10.10.0/24
локальная сеть 192.168.10.0/24
два линукса используются в качестве шлюзов.
VPN сервера подняты не на Линуксе, а на W2000. Линуксы просто пробрасывают пакеты внутрь локалок. Днс сервер (который занимается разрешением локальных имен) находится по адресу 10.10.10.10 и 192.168.10.10 соответственно. Роутинг между двумя локальными сетями настроен, физически они находятся в одном здании.
Для каждой машины из локальной сети сделана соответствующая запись на ДНС сервере. При подключении по впн юзеры работают с сервисами в обеих сетях.
Если, как Вы предлагаете, разворачивать доп. сеть, то в ДНС вторая запись на каждую машину плюс доп. интерфейс на каждой машине. Я вас правильно понял? Если да, то это не вариант.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не работает VPN у клиента из дома"  
Сообщение от evillist.ru email(??) on 17-Фев-09, 11:15 
/поскипано/

>Если, как Вы предлагаете, разворачивать доп. сеть, то в ДНС вторая запись
>на каждую машину

??? не понял. зачем?

>плюс доп. интерфейс на каждой машине. Я вас
>правильно понял? Если да, то это не вариант.

с чем столкнулся, когда появился второй интерфейс на машине (win) - отключить в св-вах netbios на виртуальной сетевушке, дабы не тормозило при обзоре сети.  Вам не разрешено организовывать более одного vpn?
Мне кажется, что при Ваших условиях, когда у клиента то же адресное пространство для его vpn (провайдерского), что и Ваше - налепить поверх еще одну сеть и связать их. Иначе - если "вдруг" такой клиент попадает к вам в vpn, как он будет делать различие между двумя одинаковыми ip? openvpn сервер можно поднять и на win машине, и настроек там - гибкости неописуемой

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не работает VPN у клиента из дома"  
Сообщение от flints (??) on 17-Фев-09, 11:51 
ВО, ключевая фраза:
"Иначе - если "вдруг" такой клиент попадает к вам в vpn, как он будет делать различие между двумя одинаковыми ip?"
Именно это и происходит.
Давайте прям на примере.
Клиент настройки дом. сети:
ip 10.10.10.128
mask 255.255.255.0
gate 10.10.10.1
dns 10.10.10.15

Предположим в локальной сети есть машина user1.lan1.office.ru и есть user2.lan2.office.ru
Для них на ДНС сервере 10.10.10.10 и ДНС сервере 192.168.40.10 соответственно:
запись A 10.10.10.97
запись А 192.168.40.10
Адрес ВПН сервера 10.10.10.250
Еще один ВПН 192.168.40.250
Куда будет логиниться клиент - я могу выбирать.
В сетевом окружении машины при логине не видны и не будут видны, ввиду кривости этой службы в Win. То есть обращение только с помощью разрешения имен по ДНС.

Какие настройки Вы предлагаете прописать на клиенте при логине к ВПН серверу чтобы ему были доступны сети 192.168.40.0/24 и 10.10.10.0/24?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не работает VPN у клиента из дома"  
Сообщение от evillist.ru email(??) on 17-Фев-09, 12:04 

>Какие настройки Вы предлагаете прописать на клиенте при логине к ВПН серверу
>чтобы ему были доступны сети 192.168.40.0/24 и 10.10.10.0/24?

может, я что не так понял - чтобы такой клиент видел эти сети ему надо указать их шлюз и днс до кучи. но тогда он остается без провайдерских маршрутов. то что предлагаю я - еще один впн  - без замены у клиента шлюза по умолчанию. просто запросы отправленые в Вашу сеть (которая не пересекается с клиентской провайдерской) - будут уходить именно в нее, потому как она будет отличаться от 10.10.10.0/24. т.е. инет, к примеру, клиент кушает от своего провайдера, а ресурсы Вашего впн - у Вас, _присутсвуя одновременно в 2х впн_ - вот что я пытаюсь донести.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не работает VPN у клиента из дома"  
Сообщение от flints (??) on 17-Фев-09, 12:31 
>может, я что не так понял - чтобы такой клиент видел эти
>сети ему надо указать их шлюз и днс до кучи. но
>тогда он остается без провайдерских маршрутов. то что предлагаю я -
>еще один впн  - без замены у клиента шлюза по
>умолчанию. просто запросы отправленые в Вашу сеть (которая не пересекается с
>клиентской провайдерской) - будут уходить именно в нее, потому как она
>будет отличаться от 10.10.10.0/24. т.е. инет, к примеру, клиент кушает от
>своего провайдера, а ресурсы Вашего впн - у Вас, _присутсвуя одновременно
>в 2х впн_ - вот что я пытаюсь донести.

Предположим поднял я еще один впн (сеть 10.8.10.0). Настроил маршруты. Клиент залогинился и пытается достучаться до user1.lan1.office.ru. Даже если имя и разрешится (что вряд ли) потому что упоминание про user1.lan1.office.ru есть только на моем днс, то в адрес 10.10.10.97 и естессно все это уйдет в провайдерскую сеть. Или я что-то не правильно понимаю?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не работает VPN у клиента из дома"  
Сообщение от evillist.ru email(??) on 17-Фев-09, 12:53 
>Предположим поднял я еще один впн (сеть 10.8.10.0). Настроил маршруты. Клиент залогинился
>и пытается достучаться до user1.lan1.office.ru. Даже если имя и разрешится (что
>вряд ли) потому что упоминание про user1.lan1.office.ru есть только на моем
>днс, то в адрес 10.10.10.97 и естессно все это уйдет в
>провайдерскую сеть. Или я что-то не правильно понимаю?

ну да, так и выходит.. тогда занести user1.lan1.office.ru дополнительно в сеть 10.8.10.0/24 - должно работать хотя бы на уровне обращеня по ip. иначе опять упираемся в адреса - непонятно кто есть кто.
Во всех описаниях по впн и маршрутам идут примеры, связаные с разными сетями - типа 192.168.1.0/24 и 192.168.2.0/24 к примеру. В принципе, все верно - иначе зачем все эти причиндалы внутри сети (сетей) с одним адресным пространством?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не работает VPN у клиента из дома"  
Сообщение от flints (??) on 17-Фев-09, 13:12 
>ну да, так и выходит.. тогда занести user1.lan1.office.ru дополнительно в сеть 10.8.10.0/24
>- должно работать хотя бы на уровне обращеня по ip. иначе
>опять упираемся в адреса - непонятно кто есть кто.
>Во всех описаниях по впн и маршрутам идут примеры, связаные с разными
>сетями - типа 192.168.1.0/24 и 192.168.2.0/24 к примеру. В принципе, все
>верно - иначе зачем все эти причиндалы внутри сети (сетей) с
>одним адресным пространством?

И получается что на user1.lan1.office.ru мне придется доп. адрес поднимать, что не есть гуд. И опять же никакой гарантии, что не найдется клиент с такой же сетью.
Я поэтому сюда и написал, думал что кто-то уже делал такую хитровымученную конфигурацию.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не работает VPN у клиента из дома"  
Сообщение от Andrey Mitrofanov on 17-Фев-09, 13:24 
>Я поэтому сюда и написал, думал что кто-то уже делал такую хитровымученную
>конфигурацию.

Да. http:/openforum/vsluhforumID10/3630.html#19 Регулярно. http:/openforum/vsluhforumID1/83869.html#3 И это не значит, что решение _есть_, что оно простое, и что оно правильное.

Наверное, не спроста во введении RFC1918 пишут --

This document describes address allocation for private internets. The
allocation permits full network layer connectivity among all hosts
inside an enterprise as well as among all public hosts of different
enterprises.

А те, которые пользуют "private" адреса для связи с "hosts" в "different
enterprises"... эээ... нарушают $) рекомендации и отправляются в вольное плава^W^W^Wпрогуляться по граблям.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру