VPN default route mellőzése - kérdés

Hálózati eszközök

Sziasztok!

Régóta járatok Mikrotiken vpn-t. Nincsen vele probléma, évek óta üzemel.
A szokást, hogy a kliensek a cég internetét hasznáják ilyenkor, a belső hálót elérik kívülről,
megszüntetnénk, mert eddig bőven elég volt a sávszél minden irányba, minden végpont között.
Digi 1000-es van (volt) mindenhol.

De
A cég egyik részlege másik telephelyre költözik, s ott viszont igen gyengécske az internet.
(10 Mbit s ez is sűrűn szakad... ezen a problémán már elindultunk a szolgáltatónál.).

A kérdés az, hogy mit kell beállítsak, hogy a vpn (ipsec/l2tp) ne állítsa be saját magát
default route-nak, de a belső hálózat eszközei ip alapján elérhetőek legyenek.
A VPN-en 192.168.10.x, a belső hálón 192.168.20.x subnetet használok.

Ha pl a windows-ban adon meg, hogy "nodefaultroute..", akkor a belső hálót sem érem el..

ui: van OpenVPN-em máshol, linux alapon, ott ez a dolog megy a 10.8.x.x hálózattal gond nélkül.
ui2: a kliensek otthoni router-configjai szinte mindenhol 192.168.1.x vagy 192.168.0.x, ha ez fontos..

  • 1444 megtekintés

( secretx v | 2017. 04. 02., v – 12:20 )

Elso tippem az lenne, hogy bevan allitva a serveren a redirect-gateway, ezt kellene kiszedni szerver oldalon...

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Úgy gondolom, alapvető hálózati ismeretek hiányoznak nálam.
Rájöttem, default-route nélkül nem megy, illetve csak akkor, ha azonos subnetben vannak.
Így ezzel tudom kijátszani a megmaradt lehetőségeimet, viszont akkor át kell állítsam valamelyik oldalt.
Így már megy. .. csak kényelmetlen.

( answ | 2017. 04. 02., v – 13:19 )

En OSPF-et hasznalok a routing informaciok terjesztesere es tokeletesen mukodik.

( cabal v | 2017. 04. 03., h – 10:07 )

Szerintem ezt a kliens oldalon tudod legegyszerűbben módosítani. Windowsban Hálózati kapcsolatok->Adott VPN/Tulajdonságok->Hálózat/Ipv4/Tulajdonságok/Speciális/Alapértelmezett átjáró használata a távoli hálózaton - pipa kikapcsolása

A szervereden meg a vpn-en bejelenkezők ip tartományát nem engeded ki a netre.

Ha jól értettem a kérdést.

( Zs | 2017. 04. 03., h – 10:50 )

Az a probléma, hogy az l2tp is ppp-t használ. Ott meg routing infóként csak annyi opciód van, hogy a túloldal legyen-e default gateway vagy ne? Innen kezdve ha a belső hálót is láttatni szeretnéd úgy, hogy a belső hálóban több subnet is van, akkor bajban leszel:
- default gw esetén minden forgalom átmegy a VPN-en, tehát az internet felé menő is - ez nem szerencsés, ettől szeretnél szabadulni
- default gw hiánya esetén csak annak a subnetnek a forgalma megy át a VPN-en, ami a VPN alhálóba tartozó forgalom, a céges további belső hálók forgalma nem

Megoldási lehetőségek:
- a kliens "okos" és beállítható, hogy bár ez a VPN nem default gw, de ha él, akkor egyébként a további "route"-okat is be kell állítani - de ehhez "okos" kliens kell. Nem nagyon láttam ilyet...
- kliens oldalon a VPN kihúzása után le kell futtatni egy scriptet, amely az extra route-okat felteszi. Ehhez viszont a felhasználónak is olyannak kell lennie... :-)
- nagyon nem szép, de a kliens felé olyan subnetet publikálsz, ami lefedi a teljes céges tartományt. pl. 10.1.0.x a céges belső háló, 10.1.1.y a VPN subnet, akkor ha a VPN felé a 10.1.1.y-ból úgy osztasz IP-t, hogy netmask 23, akkor a 10.1.[0,1].z forgalom is a VPN felé megy. Előny, hogy tisztán fogadó oldalon beállítható, hátrány, hogy nagyon nem szép és nagyon megköti a belső háló lehetőségeit.

"Megoldási lehetőségek:"
ide azert hozzatennem, hogy
Windows klienseken ppp teljesen jo, ott van automatan ms classless route dhcpn. Tehat routing info teljesen automatikus.
Linux alatt is mukodik termeszetesen classless route csak ubuntu desktop alatt pl nincs alapbol engedve.
De ilyen mac meg linux meg ilyenfajta desktopokra/stbre ott van openvpn. Es akkor az is automata.

+ lehetőség: NAT a fontos szolgáltatásokhoz, a router VPN oldali címén DST NAT-olni. Nem kell látni a belső hálót és a mobil kliens tényleg csak a számára fontos dolgokhoz ér hozzá.
Akkor van baj, ha valami szolgáltatás nem szereti a NAT-ot vagy a kliens helyi hálón is használatos vagy még az is, hogy ha IPv6-ot használnánk a VPN-en belül (bár vannak technikák rá, de pl a Mikrotik nem tudja). Viszont nem kell kliens oldalon a routinggal bajlódni.

Ha meg az a baj, hogy a VPN-en keresztül akar a kliens gép a csatlakozás után kimenni az internetre, akkor van ez a jó kis PS parancs (Windows kliens esetén):

Set-VpnConnection -Name "myVPN" -SplitTunneling $True

Ugye értelem szerűen a myVPN átírandó

( an-dee | 2017. 04. 04., k – 09:10 )

Mikrotikhez nem értek, de a Te esetedben a default gw-nek pont a normál internetnek kell lennie. Nem tudom az ilyen if neve mikrotikben.
Ha felépítesz egy vpn-t akkor gondolom annak is van ott egy if neve, tehát minden ami másik telephelyen van, azt arra kell routeolni.