Использовать внешний ip vpn клиентов для запросов внутри локальной сети.

а зачем это тебе, мамкин хакир?

Никак, только забирать эту информацию вручную.

Это и есть реальный адрес клиента.

Я и удивлен что это 10. прикольно.

А про какой адрес он пишет? Инет адрес чтоли? Тогда пусть ходит туда не через впн.

Он мысль коряво выдал, но я распарсил. Клиенты - подключаюься к офисной сети 10/… и сервис внутри офисной сети, но 192/…

А какая разница с каким адресом они приходят к сервису?

А какая разница? Может учет удаленных сотрудников там какой или еще что.

не так. Клиенты через сеть впн-10 подключаются к офисной сети 192.

Мне до сих пор интересно с какого перепуга там сеть 10 дали ;)

Он хочет их банить по гео-ип ;)

А почему нет? Обычно большие частные сети как раз в зоне 10 делают. Все по правилам.

большие частные

Вот мне и интересно у него что клиентов (забыл уже сколько) десятки тысяч?

Может так удобней сети делить. Я вот себе дома тоже в зоне 10 сеть сделал, т.к. прописать ip мобил и пр. своих и гостей, разнести телек в другую подсеть, принтер… виртуалки некоторые в свои подсети, если совместная работа над петпроектами и т.д. Зачем себя ограничивать, есть можно не ограничивать?

не фига не понял, что разве вам мало 192.168.0.0/16 ?

Веб сервис пусть обращается к впн сервису с запросом какой реальный IP у клиента)

Да нет, достаточно, но как-то привычней было 10 забивать, адреса легче запоминаются, если принцип их раздачи одинаков, что дома, что на работе, что в других местах.

10 обычно лепят кому нужно 10.0.0.0/8, вроде когда я работал на ЖД то сеть жд как раз была 10…

Не ну можно кто спорит но изврат ведь. Правил для фиревалла и раутинга у него уже больше в 2 раза так как юзает и 10 и 192.168

Так что мешает по внутреннему ип учитывать то?

ЕМНИП, эти пакет должны проходить через nat INPUT. То есть при продключении клиента скрипт может создавать соотвествующее iptables SNAT-правило. Только этого может оказаться мало и ещё нужно будет наворачивать CONTRACK/connmark маршрутизацию, чтобы ответные на эти пакеты не уходили под defaul-маршруту.

Если вы ничего не поняли из того, что я написал, то забейте. Готового скрипта для такого не знаю, писать нужно будет аккуратно, а то может быть, что соединение упало, скрипт на отключение клиента не вызвался и т.д.

Ну, может у него к сайту geo-ip прикручен. Или просто хотелка начальника, которому разработчик сайта нажаловался :)

Так если никакой полезной нагрузки то и самому рандомом можно генерить

фиревалла

раутинга

За что.

Я себе выбрал сеть вида 10.123.0.0/16 с расчетом на меньший шанс пересечения с другими сетями. А 192.168.0.0/16 - она везде.

Ситуация следующая, клиенты подключаются в офисной сети через VPN

Очень подробное описание.

с ip адресом 192.168.1.100
Но как сделать чтобы обращение к сервису шло через реальный IP адрес за которым находится клиент?

Не раздавать клиенту defgw или в зависимости от реализации VPN, не принимать запросы на хосте 192.168.1.100 от сети 10.10.10.0/24 пусть клиенты сами имеются настраивая свою клиентскую часть.
ЗЫ Знаю, что ответ частично злой, уж постите.

Клиенты через сеть впн-10 подключаются к офисной сети 192.

Мне до сих пор интересно с какого перепуга там сеть 10 дали ;)

Вот это как раз норм явление. Причем как в историческом ракурсе, так и в текущих реалиях всяких сохо.

Вот мне и интересно у него что клиентов (забыл уже сколько) десятки тысяч?

Не обязательно именно так, но то что Ц-ки может быть мало, это легко. Примеры:
1. VPN это ovpn с net30.
2. Сетей из 192.168/16 может быть много и соответственно даже для внутренних нужд адресов надо много.

Ничего не мешает, ТС спрашивает «как?!»)))

Так я и грю что в зависимости от задачи может быть ответ: нагенерить рандомные. Только без подробностей от ТС не ясно.

Без понятие про текущие, но по книжкам какие я читал в прошлом веке про ип4, л2 и т.д. я четко помню для каких обьемов 10 и 192.168.

И если по впн пришел в сетку то лучше иметь и адрес этой сетки, по сути в этом смысл впн. Зачем впн из другой сети я хз.

И если по впн пришел в сетку то лучше иметь и адрес этой сетки, по сути в этом смысл впн. Зачем впн из другой сети я хз.

Вы говорите о местечковом впн с полутора калеками клиентами.

Ну вообще я писал про одинаковость сети. Ну да если это 192.168 то это всего лишь 65 536 адресов.

Ну да если это 192.168 то это всего лишь 65 536 адресов.

Нет, 65 534. И таки даже этого кол-ва имхо вполне достаточно для вполне не маленького предприятия.

И таки даже этого кол-ва имхо вполне достаточно для вполне не маленького предприятия.

и

Вы говорите о местечковом впн с полутора калеками клиентами.

Я не совсем ВАС понимаю.

Началось с этого:

И если по впн пришел в сетку то лучше иметь и адрес этой сетки, по сути в этом смысл впн. Зачем впн из другой сети я хз.

Я вам объяснил, что «из этой сетки» «это какой из сотен?». Т.е. ваше высказывание подходит только для какой-то мелкой сети с полутора калеками в виде клинтов, но не более того. Однако если у вас например несколько десятков сетей за ВПН, то из какой из них вы предлагаете «иметь и адрес этой сетки»?

ЗЫ Да и фиг бы с ними с пром масштабами, у меня даже «домашнии» и те малька «поделены», т.е. несколько сетей на отдельно взятую машинку. А вы про предприятие.

По книжкам прошлого века, и я про это пишу как раз.

Для малых сетей сетка: 192.168.0.0/16
Для больших сетей: 10.0.0.0/8

Не понимаю что тут не понятно, а вот ваши слова я не понимаю. Т.е. во всех раутингах, фиревалах, апачах и т.д. стоит 16. И когда чел с впн пришел он тоже как бы внутри сети.

P.S. Если опять не понятно пишу то: 192.167.1.1 это итальянский белый инет ип.

По книжкам прошлого века, и я про это пишу как раз.

Для малых сетей сетка: 192.168.0.0/16

Для больших сетей: 10.0.0.0/8

Ты маски сетей всегда по книжкам задаешь? Других вариантов не знаешь?

большие частные

А почему именно большие? Ну есть 192,172, 10 - выделенные под локалки, есть какие-то правила относительно бошинности ещё?

Я сё дома 10 сделал :)

Поздравляю ВАС. (192,172) Это американский диапазон ;)

ЭЭЭ, не понял. Маска задает сеть.

P.S. Извините у меня нет правил наезжать на юзеров, но я не думал что все так плохо … это не какие уже не книжки это основы раутинга. Самый базис.

Другие личности в твоей голове запрещают делать, например, 10.0.0.0/24?

Это не запрещено. Только зачем? И опять же в этом случае все сети из 10-ки, там уже 192.168 не уперлась.

Когда-то очень давно, когда маршрутизаторы были довольно тупыми, в зоне 10 были только подсети класса А. Но потом маршрутизаторы стали умнее и дешевле и стало возможно на всех маршрутизаторах спокойно организовывать сети и /24 и даже /28 и /31, и с тех пор это различие пропало.

(192,172) Это американский диапазон ;)

Прям все?

где в Америке 192.168.0.1, если не секрет? Из дома не пингуется, а с работы – пингуется!!! :)

Нуда и в этих дешевых могли отделить 192.168.0.0/16 ;)

По книжкам прошлого века, и я про это пишу как раз.
Для малых сетей сетка: 192.168.0.0/16
Для больших сетей: 10.0.0.0/8

Вот есть у вас сеть предприятия в которой есть сети 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 ... 192.168.254.0/24
Вопрос из какой из этих сетей вы предлагаете раздавать адреса для ВПН ? И почему именно из неё, а не из соседней?

Я сё дома 10 сделал :)

Хипстер. Мне пока нескольких из 172.16-17... хватает :)

ЭЭЭ, не понял. Маска задает сеть.
P.S. Извините у меня нет правил наезжать на юзеров, но я не думал что все так плохо … это не какие уже не книжки это основы раутинга. Самый базис.

Если вы все ещё не поняли, то вас в этот «самый базис» и ткнули.

И опять же в этом случае все сети из 10-ки

Ну откуда в вас столько максимализма?

там уже 192.168 не уперлась.

А про это вам голоса в голове нашептали.

Когда-то очень давно, когда маршрутизаторы были довольно тупыми, в зоне 10 были только подсети класса А.

Сами поняли что написали? 10/8 это A, а подсети тоже A ?

Да, написал фигню. Я имел ввиду, что маршрутизатор не умел разбивать сеть и была только одна сеть: 10.0.0.0/8.