Перейти к содержимому

LAN & VPN на пальцах

- Если одинаковые подсети...
  • Ford Focus Sport Limited Edition
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 681

 

Вот объясните, плиз... Есть локальная сеть орг-ии - 192.168.0.0. И есть VPN доступ к ней. Допустим, VPN-клиенты получают адреса из сети 172.27.12.0. Внимание, вопрос! Каак VPN-клиент будет работать, если у него своя локальная сеть ТОЖЕ 192.168.0.0?
То есть, у него есть свой роутер в своей сети - 192.168.0.1, и допустим, локальный сетевой принтер 192.168.0.14. Дык вот как ему при подключенном VPN по RDP-протоколу попадать именно на офисный сервер 192.168.0.14, а не на локальный принтер?
Route add добавлен через VPN-интерфейс.
PS. При идеальных условиях - т.е. только один внешний Интернет-интерфейс и VPN - всё отлично работает.
Кудрявыми должны быть извилины, а не руки!!!
  • 0

  • статус временно недоступен...
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Донатор
  • Сообщений: 11 189

Никак. IP адреса в сети должны быть уникальны и route Вам не поможет. Меняйте одну из подсетей, например на 192.168.1.х или делайте сдвиг (в одной подсети адреса 192.168.0.[1-100], во второй - 192.168.0.[101-200])
  • 1

  • Ford Focus Sport Limited Edition
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 681

Спасибо! В принципе, по законам маршрутизации оно и так понятно. Просто мне не совсем понятно, как простые смертные пользуются VPN - они тоже у себя при неработоспособности предварительно узнают удалённую подсеть и выключают свою или что-то меняют? smile.gif
ЗЫ. Риторический вопрос...
Кудрявыми должны быть извилины, а не руки!!!
  • 0

  • рядовой пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 690

в винде маршрут по умолчанию будет тот, который появился последним....
Recreational Vehicle Runner
Full Time 4WD with 4G63T

[ ссылка на ваш БЖ удалена администрацией ]
  • 0

  • 3/|0u^
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 2 337

были такие траблы.. вручную прописывали маршруты на свою подсеть


  • 0

  • Человек с Черным Юмором
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 1 110

можно еще с маршрутизацией протоколов подумать, а вообще над разные подсети, поэтому, часто, такие траблы.
...встречаю я опасность не жопой, лицом...
  • 0

  • Ford Focus Sport Limited Edition
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 681

QUOTE (LIK @ 28 апреля 2010, 21:57)
можно еще с маршрутизацией протоколов подумать

А по-подробнее можно?

Кудрявыми должны быть извилины, а не руки!!!
  • 0

  • рядовой пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 705

Как все запущено, давайте систематизируем задачу.
есть офисная сеть орган-ции 192.168.0.0/24 назовем её NET_A, есть стыковочная сеть 172.27.12.0/24 NET_B и есть локальная сеть клиента 192.168.0.0/24 NET_C.
Решение простое. Оторвать от сердца ещё одну сеть, назовем её по умному фейковой, например 10.0.0.0/24 (с потайным смыслом что больше у вас не будет клиентов с такой сетью, а лучше например 10.20.30.0/24 что бы была уникальная наверняка) и на границе VPN - NET_A делать DNAT преобразование.
Тогда клиент подключаясь к VPN будет набирать не 192.168.0.222, а например 10.0.0.222, пакеты будут идти в туннель (об этом надо позаботится дополнительно), далее при выходе из VPN DNAT-ится в другую адресацию и соответственно ответы по той же схеме уйдут обратно. И тогда на самом деле не важно какая локальная адресация у клиента...

System Administrator & Linux Developer
RHCE 803005810813863
  • 0

  • статус временно недоступен...
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Группа: Донатор
  • Сообщений: 11 189

QUOTE (Kornet @ 29 апреля 2010, 20:30)
Как все запущено, давайте...
... запустим еще дальше...
Вариант, конечно... Но зачем огород городить, когда можно перевести одну из подсетей в соседний диапазон?


добавлено в [mergetime]1272599139[/mergetime]

QUOTE (TeranT @ 29 апреля 2010, 8:34)
А по-подробнее можно?

А можно вопрос: в чем сложность изменения одной подсети? Скажем на 192.168.1.ххх...
  • 0

  • Ford Focus Sport Limited Edition
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 681

QUOTE (Kornet @ 29 апреля 2010, 21:30)
на границе VPN - NET_A делать DNAT преобразование.

Это возможно, если на этой границе стоит Kerio WF Appliance (на линухе)? И как, примерно?
QUOTE (Dark Merlin @ 30 апреля 2010, 9:43)
в чем сложность изменения одной подсети? Скажем на 192.168.1.ххх...

в этой сети кроме компов куча IP-камер, UPS'ов и прочей лабудени - придётся городить огород smile.gif
И, насколько я понимаю, сменив маску сети с 255.255.255.0 на 255.255.0.0 - с адреса 192.168.0.66 должны видеться любые IP-шники в диапазоне 192.168.0.0-192.168.254.254?
Кудрявыми должны быть извилины, а не руки!!!
  • 0

  • рядовой пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 198

мост кинуть с тем же openvpn
да, и накуа там керио ? :)

Сообщение отредактировал The Ripper: 18.05.2010 - 12:03

  • 0

  • Ford Focus Sport Limited Edition
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 681

QUOTE (The Ripper @ 18 мая 2010, 13:02)
мост кинуть с тем же openvpn
да, и накуа там керио ? :)

Принципиально не хотел всякие другие VPN, кроме виндового и Керио. Да ещё он и шлюзом работает.

Кудрявыми должны быть извилины, а не руки!!!
  • 0

  • рядовой пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 198

QUOTE (TeranT @ 18 мая 2010, 13:26)
Принципиально не хотел всякие другие VPN, кроме виндового и Керио.

Ну продолжайте "принципиально не хотеть" :)

QUOTE (TeranT @ 18 мая 2010, 13:26)

Да ещё он и шлюзом работает.

ииии? прочие решения тут какую роль играют ? Или с "виндовым и Керио" он шлюзом не работает ? :)

Поменять адресацию в одной из сетей тоже "принципиально не хотеть" ?

Нет, ну "принципиально хотеть" всякие "упражнения с конем" это на здоровье, конечно...
В ваших терзаниях я вижу только стремление отыметь собственный мозг, а не решить задачу
  • 0

  • Ford Focus Sport Limited Edition
  • PipPip
  • Вставить ник
  • Цитировать
  • Группа: Пользователи
  • Сообщений: 681

Мы не ищем лёгких путей smile.gif Решив эту задачу маршрутизацией и туннелированием, я хоть буду знать, как это делается. А вот подсеть сменить - это и эникей сможет, а осадка в виде знаний и опыта не останется. Поэтому давайте не разглагольствовать, почему я не хочу просто сменить сеть - мы это уже выяснили, что это одно из решений данной задачи.
Кудрявыми должны быть извилины, а не руки!!!
  • 0


1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей