Заметки сисадмина » Проблемы при работе с VPN-интерфейсом?

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Проблемы при работе с VPN-интерфейсом?

2007-04-25 · Posted in Kerio Winroute

Всего скорее это проблема многочисленных шлюзов (ipconfig.exe /ALL это покажет). В обычной сети оставляем шлюз по умолчанию, в VPN убираем опцию "использовать шлюз в удалённой сети" и прописываем Static Route туда. Хотя можно и наоборот – в случае с Инетом через VPN это будет даже предпочтительней – оставляем "использовать шлюз в удалённой сети" и убираем Default Gateway из свойств "домосети", прописав отдельный маршрут в неё. В общем так: маршруты должны быть статическими, более чем одного шлюза по умолчанию при поднятом VPN быть не должно.[/q]Например: у нас есть стандартное соединение локальной сети с внешней с помощью шлюза + VPN-интерфейс, через который подаётся Инет. VPN-интерфейс подвешивается на внешний адрес. Адреса такие:
– локалка: 192.168.10.0/24, внутренний интерфейс 192.168.10.1;
– внешняя сеть: 193.232.218/24, внешний интерфейс 193.232.218.254, шлюз 193.232.218.1, адрес VPN-сервера 193.232.218.200;
– VPN: 192.168.11.10/32, интерфейс 192.168.11.10.
В свойствах VPN-соединения ставим "Использовать шлюз в удалённой сети", из свойств подключения "внешняя сеть" убираем шлюз по умолчанию, а вместо него прописываем Static Route:
Net 193.232.218.0 Mask 255.255.255.0 Gateway 193.232.218.1 Interface 193.232.218.254.
DNS на шлюзе прописываем доменные – только на внутреннем интерфейсе, если он в домене. Если нет – провайдерские (на том интерфейсе, в котором они лежат), т.е. для DNS из диапазона 193.232.218/24 – внешнюю сеть, для всех остальных – VPN.
Соответственно для пользователей локалки
PERMIT 192.168.10.0/24 -> any:any NAT (192.168.11.10) /для примера будем лояльными касательно ограничений исходящих портов и протоколов, но это только для примера/
Остальные правила – по своему разумению. Есть сомнения – см. типовые конфигурации с учётом того, что External.IP для данного примера = 192.168.11.10.
Для случая, когда DNS провайдера располагаются в подсети 193.232.218.0/24, перед правилом
PERMIT 192.168.10.0/24 -> any:any NAT (192.168.11.10)
пишем правило
PERMIT 192.168.10.0/24 -> any:any NAT (193.232.218.254).

Leave a Reply