Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
serg3263
Зарегистрирован: 26.07.2004 Сообщения: 72
|
Добавлено: Пт Июл 01 2005 22:23 Заголовок сообщения: VPN + RAS + routing |
|
|
СИТУАЦИЯ:
Была одна сеть, 192.168.100.0/24. Сегмент которой нах в др здании и коннект обеспечивал соотв. "Ethernet провайдер".
На днях провайдер Ethernet'а установил в своей сети роутеры.
В результате сегмент сети оказался отделен. Провайдер назначил мне 2 ЕГО IP (внешние для моей сети).
ВОПРОС:
Как правильно "восстановить разрыв"? Я использую W2k3 RAS VPN server и Client VPN connection. Чему нужно уделить внимание, чтобы достичь максимальной доступности компов по разные сторонв "разрыва"? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Сб Июл 02 2005 10:26 Заголовок сообщения: |
|
|
Какие проблемы? Изменились только адреса точек входа в сеть провайдера. Вот и все.
Маршрутизаторы, говоришь, появились... Ожидайте глюков с маршрутизацией в первое время. Команды ping и tracert рекомендую изучить досконально. |
|
Вернуться к началу |
|
|
serg3263
Зарегистрирован: 26.07.2004 Сообщения: 72
|
Добавлено: Пн Июл 04 2005 19:36 Заголовок сообщения: |
|
|
ХОД РЕШЕНИЯ:
Поставил RAS with VPN server and NAT на одной стороне, на другой стороне VPN клиента настроил.
Сервер в бОльшей части сети, на PDC (так по железу получилось), его IP тоже из основной подсети (192.168.100.33), а клиенту он выделяет IP из клиентской подсети (192.168.101.33).
Командами route -p add сконфигурил routes, в моем случае для нек workstation нужно до 4 разных гейтов (такова специфика). Поэтому шир использую route add.
Клиент VPN (192.168.101.33) стоит на хосте с IP 192.168.101.233. Остальные компы в мАлой сети имеют def gate 192.168.5.233.
Из мАлой подсети VPN клиент может работать с компами в осн подсети, если на вторых добавлен роут в мАлую подсеть (route -p add 192.168.101.0 MASK... 0 192.168.100.33).
Q1:
Правильно ли присваивать VPN IP из той же подсети, что и реальный IP клиента?
Q2 (ПРОБЛЕМА):
Нет роутинга на компе с VPN клиентом между real IP (192.168.101.233) and VPN IP (192.168.101.33).
Routes в таблице есть:
192.168.100.0 255.255.255.0 192.168.101.33 24
192.168.101.0 255.255.255.0 192.168.101.233 192.168.101.233 20
Может MS имеет какаие-либо ограничения для VPN? Плз подскажите, кто в курсе :) ...
Вся таблица routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.101.33 192.168.101.33 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.101.0 255.255.255.0 192.168.101.233 192.168.101.233 20
192.168.101.33 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.101.233 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.101.255 255.255.255.255 192.168.101.33 192.168.101.33 50
192.168.101.255 255.255.255.255 192.168.101.233 192.168.101.233 20
192.168.185.85 255.255.255.255 192.168.192.1 192.168.192.9 24
192.168.192.0 255.255.255.0 192.168.192.9 192.168.192.9 20
192.168.192.9 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.192.255 255.255.255.255 192.168.192.9 192.168.192.9 20
224.0.0.0 240.0.0.0 192.168.101.33 192.168.101.33 50
224.0.0.0 240.0.0.0 192.168.101.233 192.168.101.233 20
224.0.0.0 240.0.0.0 192.168.192.9 192.168.192.9 20
255.255.255.255 255.255.255.255 192.168.101.233 192.168.101.233 1
255.255.255.255 255.255.255.255 192.168.192.9 192.168.192.9 1
Default Gateway: 192.168.101.33
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
192.168.185.85 255.255.255.255 192.168.192.1 24
192.168.100.0 255.255.255.0 192.168.101.33 24
--------------------
Внешнией IP VPN server'a 192.168.185.85,
External client's IP 192.168.192.9, gate 192.168.192.1.
VPN IP 192.168.101.33
Internel client's IP: 192.168.101.233 |
|
Вернуться к началу |
|
|
serg3263
Зарегистрирован: 26.07.2004 Сообщения: 72
|
Добавлено: Ср Июл 06 2005 13:43 Заголовок сообщения: |
|
|
РЕЗУЛЬТАТ:
Один VPN client может работать с VPN сервером. Виртуальный интерфейс клиентская машина не может маршрутизировать средствами MS RAS. (В настройках маршрутов RAS не позволяет выбрать виртуальный интерфейс).
Q:
Kerio WinRout поддерживает использование виртуальных интерфейсов для созд-я маршрутов
("видит" ли Kerio вируальное устройство как реальное, нет ли каких-либо ограничений или глюков при работе с IP виртуальных устройств)? |
|
Вернуться к началу |
|
|
serg3263
Зарегистрирован: 26.07.2004 Сообщения: 72
|
Добавлено: Вт Июл 19 2005 13:31 Заголовок сообщения: |
|
|
Получилась система:
{ brunch SubNET 192.168.101.0 }
^
!
v
[eth 192.168.101.233]
^
!
v
( Kerio WinRoute )
^
!
v
----------8<---------------------------------*
[MS VPN client interface 192.168.100.34]
^
!!!
!!!
VPN
!!!
!!!
v
+-------------------------------+
! MS w2k3 RAS
[server interface 192.168.100.33]
! ^
! !
+-------------------------------+
!
v
[eth 192.168.100.253]
^
!
v
{ main SubNet 192.168.100.0 }
*В которой есть проблема:
пакеты из основной сети (main), адресованные в подсеть не достигают Kerio WinRoute
(в логах отсутствуют).
На MS RAS сервере при
tracert -d 192.168.101.x
ошибки таймаута, хотя route есть в таблице (presistant route).
Q:
как можно обойти "ограничение" пути пакетов в др подсеть через виртуальный
интерфейс? |
|
Вернуться к началу |
|
|
|