LINUX.ORG.RU
решено ФорумAdmin

Нужен VPN с выдачей маршрутов клиенту

 


0

1

Всем привет!

Администрирую VPN-сервис, который всем устраивает, кроме одного: не умеет выдавать клиентам отдельный маршрут до определённой приватной сети. Хотелось бы сделать так: клиент подключается по VPN к офису; убирает у себя в Windows галочку «Использовать основной шлюз в удалённой сети» и в результате ходит в обычный Интернет без VPN, а в одну приватную сеть - через VPN. То есть клиент может работать в приватной сети и не забивать офисный канал абсолютно легальным скачиванием любимого сериала.

Более полный список пожеланий:

  • аутентификация в OpenLDAP, на крайний случай - в RADIUS'e;
  • наличие VPN-клиентов для Linux, Windows, Mac OS;
  • возможность выдавать клиентам маршрут до отдельной приватной сети;
  • серверная часть - Linux или pfSense.

Сейчас у меня VPN устроен следующим образом. Наружу смотрит брандмауэр pfSense. Клиенты подключаются к его публичному адресу по PPTP. Брандмауэр pfSense перенаправляет их (PPTP redirection) на сервер с MPD5 в приватной сети, который аутентифицирует их в RADIUS'e, берущем пользователей в LDAP. Вот как раз MPD5 и не умеет выдавать маршрут до приватной сети (где-то читал, что это свойство PPTP вообще).

Заранее спасибо тем, кто откликнется.

Раздача маршрутов - дело dhcp. Тут народ как-то настраивал какой-то из swan'ов с isc dhcpd, ниасилил и потом легко настроил его же в паре с dnsmasq. Наверное strongswan+dnsmasq, поищи по форуму.

Если не морочиться всякими айписеками, то люниксовый pptpd емнип умеет радиус.

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Спасибо за отклик!

Попробую скрестить инструкции http://gnu.su/news.php?extend.1833 и http://belgorod.lug.ru/wiki/index.php/Gentoo:_установка_VPN_сервера_с_авториз....

Ссылку на первую из них нашёл на этом форуме.

Ещё раз спасибо за отклик!

Alexander7 ()

С pptp не подскажу как, но на openvpn делали маршрутизацию, чтобы у пользователя просто был маршрут в приватную сеть, без ната. То есть идем на внутренний ресурс, попадаем в vpn, идем вконтактик попадаем в интернет.

autonomous ★★★★★ ()

Делал машрутизацию в связке accel-ppp+dnsmasq. Костыль тот еще. Так как у меня dnsmasq обслуживал еще и внутреннюю сетку и надо было настроить чтоб в ppp интерфейс отдавал одно, в локалку другое. Плююнул и вернулся на openvpn. Возня не стоит того.

as_lan ★★ ()
Ответ на: комментарий от as_lan

Надо было делать в связке pptpd|accel-ppp+isc-dhcpd, там есть фильтры

 if substring(hardware, 0, 1) = 08 {
        option ms-route # There routed network's
 }

anonymous ()
Ответ на: комментарий от Alexander7

Удалось скрестить http://gnu.su/news.php?extend.1833 и http://belgorod.lug.ru/wiki/index.php/Gentoo:_установка_VPN_сервера_с_авториз.... Как неуверенный пользователь iptables смотрел ещё https://wiki.gentoo.org/wiki/Home_Router#NAT_.28a.k.a._IP-masquerading.29.

Спасибо всем, кто откликнулся!

Alexander7 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.