https://www.opennet.ru/openforum/vsluhforumID10/4138.html Добрый день!<br>Конфигурация такая.<br><br>lan (10.10.10.0/24)-linux(eth0 - 10.10.10.1, eth1 - реальный ip)<br>В lan на win2003 (10.10.10.248) поднят VPN сервер. Соответстветвенно для внешних клиентов на Linux сделан проброс на 10.10.10.248. Клиенты так же получаются адреса из 10.10.10.0/24<br>Внутри локальной сети шлюз по умолчанию 10.10.10.1<br>Все замечательно работало внешние пользователи заходили в сеть по VPN, пользовались теми же самыми сервисами, как и пользователи из локальной сети.<br><br>Но... Вот ситуация. Есть внешний клиент. У него провайдер выдал ему адрес для подключения к своей сети 10.10.10.57. И соответственно все настройки сетевой карты такие же как и в моей локальной сети. Шлюз по умолчанию 10.10.10.1. То есть сопадают настройки на 100%. <br><br>Итог клиент логинится на мой vpn сервер, получает еще один адрес из 10.10.10.0/24 и не видит ни одного сервиса из моей локальной сети. Естессно все пакеты уходят в сеть его провайдера по trace это видно. Сколько ни бился не могу побороть. Все равно все пакеты уходят https://www.opennet.ru/openforum/vsluhforumID10/4138.html#13 Tue, 17 Feb 2009 10:24:01 GMT &gt;Я поэтому сюда и написал, думал что кто-то уже делал такую хитровымученную <br>&gt;конфигурацию. <br><br>Да. http:/openforum/vsluhforumID10/3630.html#19 Регулярно. http:/openforum/vsluhforumID1/83869.html#3 И это не значит, что решение _есть_, что оно простое, и что оно правильное.<br><br>Наверное, не спроста во введении RFC1918 пишут --<br><br>This document describes address allocation for private internets. The<br>allocation permits full network layer connectivity among all hosts<br>inside an enterprise as well as among all public hosts of different<br>enterprises.<br><br>А те, которые пользуют "private" адреса для связи с "hosts" в "different<br>enterprises"... эээ... нарушают $) рекомендации и отправляются в вольное плава^W^W^Wпрогуляться по граблям.<br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#12 Tue, 17 Feb 2009 10:12:15 GMT &gt;ну да, так и выходит.. тогда занести user1.lan1.office.ru дополнительно в сеть 10.8.10.0/24 <br>&gt;- должно работать хотя бы на уровне обращеня по ip. иначе <br>&gt;опять упираемся в адреса - непонятно кто есть кто. <br>&gt;Во всех описаниях по впн и маршрутам идут примеры, связаные с разными <br>&gt;сетями - типа 192.168.1.0/24 и 192.168.2.0/24 к примеру. В принципе, все <br>&gt;верно - иначе зачем все эти причиндалы внутри сети (сетей) с <br>&gt;одним адресным пространством? <br><br>И получается что на user1.lan1.office.ru мне придется доп. адрес поднимать, что не есть гуд. И опять же никакой гарантии, что не найдется клиент с такой же сетью.<br>Я поэтому сюда и написал, думал что кто-то уже делал такую хитровымученную конфигурацию.<br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#11 Tue, 17 Feb 2009 09:53:26 GMT &gt;Предположим поднял я еще один впн (сеть 10.8.10.0). Настроил маршруты. Клиент залогинился <br>&gt;и пытается достучаться до user1.lan1.office.ru. Даже если имя и разрешится (что <br>&gt;вряд ли) потому что упоминание про user1.lan1.office.ru есть только на моем <br>&gt;днс, то в адрес 10.10.10.97 и естессно все это уйдет в <br>&gt;провайдерскую сеть. Или я что-то не правильно понимаю? <br><br>ну да, так и выходит.. тогда занести user1.lan1.office.ru дополнительно в сеть 10.8.10.0/24 - должно работать хотя бы на уровне обращеня по ip. иначе опять упираемся в адреса - непонятно кто есть кто.<br>Во всех описаниях по впн и маршрутам идут примеры, связаные с разными сетями - типа 192.168.1.0/24 и 192.168.2.0/24 к примеру. В принципе, все верно - иначе зачем все эти причиндалы внутри сети (сетей) с одним адресным пространством?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#10 Tue, 17 Feb 2009 09:31:35 GMT &gt;может, я что не так понял - чтобы такой клиент видел эти <br>&gt;сети ему надо указать их шлюз и днс до кучи. но <br>&gt;тогда он остается без провайдерских маршрутов. то что предлагаю я - <br>&gt;еще один впн - без замены у клиента шлюза по <br>&gt;умолчанию. просто запросы отправленые в Вашу сеть (которая не пересекается с <br>&gt;клиентской провайдерской) - будут уходить именно в нее, потому как она <br>&gt;будет отличаться от 10.10.10.0/24. т.е. инет, к примеру, клиент кушает от <br>&gt;своего провайдера, а ресурсы Вашего впн - у Вас, _присутсвуя одновременно <br>&gt;в 2х впн_ - вот что я пытаюсь донести. <br><br>Предположим поднял я еще один впн (сеть 10.8.10.0). Настроил маршруты. Клиент залогинился и пытается достучаться до user1.lan1.office.ru. Даже если имя и разрешится (что вряд ли) потому что упоминание про user1.lan1.office.ru есть только на моем днс, то в адрес 10.10.10.97 и естессно все это уйдет в провайдерскую сеть. Или я что-то не правильно понимаю?<br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#9 Tue, 17 Feb 2009 09:04:34 GMT <br>&gt;Какие настройки Вы предлагаете прописать на клиенте при логине к ВПН серверу <br>&gt;чтобы ему были доступны сети 192.168.40.0/24 и 10.10.10.0/24? <br><br>может, я что не так понял - чтобы такой клиент видел эти сети ему надо указать их шлюз и днс до кучи. но тогда он остается без провайдерских маршрутов. то что предлагаю я - еще один впн - без замены у клиента шлюза по умолчанию. просто запросы отправленые в Вашу сеть (которая не пересекается с клиентской провайдерской) - будут уходить именно в нее, потому как она будет отличаться от 10.10.10.0/24. т.е. инет, к примеру, клиент кушает от своего провайдера, а ресурсы Вашего впн - у Вас, _присутсвуя одновременно в 2х впн_ - вот что я пытаюсь донести.<br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#8 Tue, 17 Feb 2009 08:51:49 GMT ВО, ключевая фраза:<br>"Иначе - если "вдруг" такой клиент попадает к вам в vpn, как он будет делать различие между двумя одинаковыми ip?"<br>Именно это и происходит.<br>Давайте прям на примере.<br>Клиент настройки дом. сети:<br>ip 10.10.10.128<br>mask 255.255.255.0<br>gate 10.10.10.1<br>dns 10.10.10.15<br><br>Предположим в локальной сети есть машина user1.lan1.office.ru и есть user2.lan2.office.ru<br>Для них на ДНС сервере 10.10.10.10 и ДНС сервере 192.168.40.10 соответственно:<br>запись A 10.10.10.97<br>запись А 192.168.40.10<br>Адрес ВПН сервера 10.10.10.250<br>Еще один ВПН 192.168.40.250<br>Куда будет логиниться клиент - я могу выбирать.<br>В сетевом окружении машины при логине не видны и не будут видны, ввиду кривости этой службы в Win. То есть обращение только с помощью разрешения имен по ДНС.<br><br>Какие настройки Вы предлагаете прописать на клиенте при логине к ВПН серверу чтобы ему были доступны сети 192.168.40.0/24 и 10.10.10.0/24?<br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#7 Tue, 17 Feb 2009 08:15:11 GMT /поскипано/<br><br>&gt;Если, как Вы предлагаете, разворачивать доп. сеть, то в ДНС вторая запись <br>&gt;на каждую машину <br><br>??? не понял. зачем?<br><br>&gt;плюс доп. интерфейс на каждой машине. Я вас <br>&gt;правильно понял? Если да, то это не вариант. <br><br>с чем столкнулся, когда появился второй интерфейс на машине (win) - отключить в св-вах netbios на виртуальной сетевушке, дабы не тормозило при обзоре сети. Вам не разрешено организовывать более одного vpn?<br>Мне кажется, что при Ваших условиях, когда у клиента то же адресное пространство для его vpn (провайдерского), что и Ваше - налепить поверх еще одну сеть и связать их. Иначе - если "вдруг" такой клиент попадает к вам в vpn, как он будет делать различие между двумя одинаковыми ip? openvpn сервер можно поднять и на win машине, и настроек там - гибкости неописуемой<br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#6 Tue, 17 Feb 2009 07:45:01 GMT мы похоже о разных вещах говорим:<br>есть локальная сеть 10.10.10.0/24<br>локальная сеть 192.168.10.0/24<br>два линукса используются в качестве шлюзов.<br>VPN сервера подняты не на Линуксе, а на W2000. Линуксы просто пробрасывают пакеты внутрь локалок. Днс сервер (который занимается разрешением локальных имен) находится по адресу 10.10.10.10 и 192.168.10.10 соответственно. Роутинг между двумя локальными сетями настроен, физически они находятся в одном здании.<br>Для каждой машины из локальной сети сделана соответствующая запись на ДНС сервере. При подключении по впн юзеры работают с сервисами в обеих сетях.<br>Если, как Вы предлагаете, разворачивать доп. сеть, то в ДНС вторая запись на каждую машину плюс доп. интерфейс на каждой машине. Я вас правильно понял? Если да, то это не вариант.<br> https://www.opennet.ru/openforum/vsluhforumID10/4138.html#5 Mon, 16 Feb 2009 13:47:02 GMT выслать ему сертификаты с конфигом и гуи установщик под опенвпн - всего делов-то..<br><br><br>