LINUX.ORG.RU

PPTPd и сегменты сети

 , ,


0

1

Возник вопрос по настройке PPTPd. Есть локалка 192.168.0.0/21 со шлюзом 192.168.0.1. В 192.168.0.0/24 выдает адреса DHCP. Есть машина с PPTPd и IPшником в нулевом диапазоне (можно менять). PPTPd также имеет пул адресов в нулевом сегменте. Клиенты VPN имеют общий адрес на конце тунеля (совпадающий с адресом сервера), могут видеть все машины в локальной сети (во всех сегментах) и друг друга благодаря ProxyARP. Нужно создать дополнительный пул IP адресов для VPN клиентов в 192.168.1.0/24 так, чтобы они также были доступны из локальной сети и видели локальную сеть. Если просто добавить этот пул в список, то по неизвестным причинам клиенты с адресами из пула в первом сегменте не видят никакие сегменты кроме первого, в то время как клиенты с адресами из нулевого сегмента все еще видят всю сеть. Пытался, как советует man, убрать вообще localip из конфигов - ничего не изменилось.

Не понял. Шлюз является маршрутизатором между различными сегментами сети или у него один eth-интерфейс в локалку — 192.168.0.1/21? Шлюз является vpn-сервером?

И пишите нормально, если нулевой сегмент это 192.168.0.0/24, то и пишите адресом, а не вводите непонятные нулевые, первые и прочие сегменты.

mky ★★★★★ ()
Ответ на: комментарий от mky

Шлюз является маршрутизатором между ралзличными сегментами сети. 192.168.0.0/21 (255.255.248.0) - это маска подсети, которая установлена на этом шлюзе (то есть локальная сеть - это адреса от 192.168.0.1 до 192.168.7.255).

Balantay ()
Ответ на: комментарий от mky

Возможно так будет понятнее.

Есть маршутизатор (IP 192.168.0.1). Он раздает IP-шники по DHCP от 192.168.0.2 до 192.168.0.127.

Есть машина с поднятым pptpd, ее IP - 192.168.0.2. pptpd раздает IP-шики от 192.168.0.128 до 192.168.0.255 и от 192.168.1.2 до 192.168.1.255.

В сети также есть машина со статическим IP 192.168.2.1.

Машины из локалькой сети, получающие адреса по DHCP видят друг друга и машину со статическим IP. Клиенты VPN, получающие IP из диапазона 192.168.0.128-192.168.0.255 видят машины из локальной сети и машину со статическим IP, а также друг друга. Клиенты VPN, получающие IP из диапазона 192.168.1.2 - 192.168.1.255 видят только друг друга

Balantay ()
Ответ на: комментарий от Balantay

Клиенты VPN, получающие IP из диапазона 192.168.1.2 - 192.168.1.255 видят только друг друга

ppp работает только по явно прописаным маршрутам, proxy arp там нет. Если считать, что VPN-клиенты настроены «как обычно» и у них маршрут по умолчанию через VPN-сервер, то VPN-клиент 192.168.1.2 «не видит» VPN-клиент 192.168.0.128 из-за firewall (iptables) на VPN-сервере.

mky ★★★★★ ()
Ответ на: комментарий от mky

Покопавшись, выяснил, что проблемы с маршрутизацией в самой сети, и с pptpd они не связаны, как и с iptables.

Про proxyarp сказано в man-e по pptpd, или я чего-то не так в нем понял ?

Balantay ()
Ответ на: комментарий от Balantay

proxyarp имеет смысл в ситуации, когда только один ethernet-сегмент. Если маршрутизатор, и всем VPN-клиентам нужен доступ во все сегменты, то нужно настраивать маршрутизацию и proxyarp особого смысла не имеет (не имеет смысл выделять клиентам ip-адреса из ethernet-сегмента).

Я уточняю на всякий случай, потому что это:

Клиенты VPN имеют общий адрес на конце тунеля ... могут видеть все машины в локальной сети (во всех сегментах) и друг друга благодаря ProxyARP.

можно толковать по-разному. Если писать точнее, то VPN клиенты видят друг-друга и компьютеры из других сегментов благодаря только маршрутизации, а компьютеры из своего сегмента благодаря proxyarp и маршрутизации.

mky ★★★★★ ()
Ответ на: комментарий от mky

Понял, спасибо.

Придется все-таки настраивать нормально маршрутизацию.

Balantay ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.