Народ, помогите. Настраиваю в сети ВПН. Столкнулся с проблемой. Если в локалке есть ресурс, который находится не в одной подсети с IP клиента, то соединение уйдет в ВПН-канал (и соответственно посчитается). Как этого избежать, не прописывая маршруты на клиентских машинах? (система FreeBSD 5.4, впн - на mpd+freeradius)
>Народ, помогите. Настраиваю в сети ВПН. Столкнулся с проблемой. Если в локалке
>есть ресурс, который находится не в одной подсети с IP клиента,
>то соединение уйдет в ВПН-канал (и соответственно посчитается). Как этого избежать,
>не прописывая маршруты на клиентских машинах? (система FreeBSD 5.4, впн -
>на mpd+freeradius)Никак
если только неперевести его в другую подсеть....
>Народ, помогите. Настраиваю в сети ВПН. Столкнулся с проблемой. Если в локалке
>есть ресурс, который находится не в одной подсети с IP клиента,
>то соединение уйдет в ВПН-канал (и соответственно посчитается). Как этого избежать,
>не прописывая маршруты на клиентских машинах? (система FreeBSD 5.4, впн -
>на mpd+freeradius)
Есть такая замечательная программа как zebra.
Сам юзаю такую схему как у тебя.
А смысл такой: на шлюзе (FreeBSD) поднимаешь зебру и говришь ей слушать ng интерфейсы, потом поднимаешь РИПД который идёт вместе с зеброй. Настраиваешь на то чтобы он выдавал анонсы нужных тебе сетей через нужные тебе шлюзы.
У клиентов скорее всего это винда ставишь РИПД - слушатель, он идёт в стандартной поставке (через установку и удаление программ). Счастливо!
>Есть такая замечательная программа как zebra.
>Сам юзаю такую схему как у тебя.
>А смысл такой: на шлюзе (FreeBSD) поднимаешь зебру и говришь ей слушать
>ng интерфейсы, потом поднимаешь РИПД который идёт вместе с зеброй. Настраиваешь
>на то чтобы он выдавал анонсы нужных тебе сетей через нужные
>тебе шлюзы.
>У клиентов скорее всего это винда ставишь РИПД - слушатель, он идёт
>в стандартной поставке (через установку и удаление программ). >Счастливо!Большое спасибо за совет. Неужели во всех сетях так? Для наших пользователей настроить ВПН - уже непосильная задача (хотя думаю, привыкнут), а тут еще и RIP им прийдется запускать (или статические маршруты прописывать).
Устанавливать RIP на машине клиента это бред, притом многие ставят фаерволы и ваш рип работать не будет, а юзеры будут звонить вам и кричать что у них левый трафф считает, тогда уж проще прописать статик роуты в винде (тот же результат). А решение очень простое - настроить правильно фаервол, тобишь запретить шлюзовать пакеты из интерфейсов ppp в интерфейс сетевой карты и наоборотУ меня на linux это выглядит примерно так:
iptables -A FORWARD -i ppp+ -o eth0 -j DROP
iptables -A FORWARD =i eth0 -o ppp+ -j DROPзнак "+" говорит что может быть любой интерфейс ppp0, ppp1 и тд
Но тут есть одно, входящие пакеты который посылает юзер дропнуться но и пощитаются так как дроп идет после того как пакет передался с уровня ppp на ип, для этого включаем в ppp active-filter и пересобираем пакет. Тогда в опциях можно задавать фильтры ala tcpdump. Создаем один или два таких фильтра где фильтруем как минимум 139, 137, 445 порты (эт нетбиос - он больше всех засоряет даже если никто ничего не качает) и фильтр для localnet. Тобишь пает запрос придет на шлюз ppp его не пощитает и просто передаст на ип уровень и тут его фаервол дропнет.
>Устанавливать RIP на машине клиента это бред, притом многие ставят фаерволы и
>ваш рип работать не будет, а юзеры будут звонить вам и
>кричать что у них левый трафф считает, тогда уж проще прописать
>статик роуты в винде (тот же результат).Как раз абсолютно не бред, тут дело в правильном подходе и правильной настройке, к тому же службу рип в винде поставить как два байта переслать, а в вашем случае придётся ещё хуже, так как придётся на каждом клиенте писать батник который будет при загрузке добавлять новые роуты в ТМ.
а не проще действительно раздавать статик роуты клиенту через дхцп?
>а не проще действительно раздавать статик роуты клиенту через дхцп?Ух ты. Действительно проще. Не знал, что по dhcp это умеет. Попробую.