Jump to content

Взаимодействие подсетей + VPN

Rewop
 Share

Recommended Posts

Rewop

Rewop

Posted
Posted

Обычная ситуация - большая сеть, поделённая на подсети в 16-32 адреса. Шлюзом по у молчанию для клиентов является роутер который отделяет их от других подсетей. Инет через pptp. Как только создаётся соединения у клентов провисывается ещё один маршрут по умолчанию. Всё бы хорошо, но теперь пакеты направленный в соседние подсети летят к серверу инета и там оседают. Получается, что человек при выходе в инет не может взаимодействовать с машинами других подсетей.

Ситуацию исправляется прописывание маршрута на всю локальныю сеть с роутером в качестве шлюза. Но для клиента прописывать эту строку довольно сложное занятие (даже если прописывать маршрут как постоянный).

Как можно выйти из этого положения ?

PowerPack

PowerPack

Posted
Posted

Статический маршрут нужно прописать в реестр Windows (думаю так можно сделать). Т.е. написать батник и полсе очередной переустановки Windows пользователь должен скачать этот бат-файл и запустить его один раз. Соотв. для каждого сегмента сети - своя версия этого файла.

Guest

Guest

Posted
Posted

Если я правильно понял проблему, то спасет тебя использование VLAN'ов. Тогда у тебя каждая подсеть будет в своем VLAN, коммутация осуществляется на уровне 2. А роутер, являющийся шлюзом во внешний мир будет пакеты разруливать уже на уровне 3. При таком раскладе, ты сможешь прописать этот роутер в качестве шлюза для всех подсетей(на нем поднимешь столько виртуальных подынтерфейсов, сколько будет VLAN), запретить ему роутить трафик между подсетями, оставив это на откуп коммутации, а роутить он будет только трафик между внешней сетью и внутренними подсетями. Это не совсем готовое решение для того случая, который описан, но, заменив роутинг внутри большой локалки на коммутацию, и оставив сам роутинг только на границе со внешней сетью, думаю, проблему можно решить весьма изящно.

PowerPack

PowerPack

Posted
Posted
Если я правильно понял проблему, то спасет тебя использование VLAN'ов. Тогда у тебя каждая подсеть будет в своем VLAN, коммутация осуществляется на уровне 2. А роутер, являющийся шлюзом во внешний мир будет пакеты разруливать уже на уровне 3.

 

Решение не совсем понятное. Каким образом пользователи будут получать доступ к роутеру? Без авторизации? Тогда что им мешает за бесплатно пользоваться интернетом? Если мы рассматриваем вариант PPTP, тогда весь трафик, в том числе и межсегментный, будет идти через VPN соединение, что не приемлемо, т.к. сильно нагрузит роутер и понизит скорость обмена файлами в сети.

 

запретить ему роутить трафик между подсетями, оставив это на откуп коммутации, а роутить он будет только трафик между внешней сетью и внутренними подсетями.

 

А это как? Как коммутировать трафик между Vlan'ами без использования роутинга?

Guest

Guest

Posted
Posted
Если я правильно понял проблему, то спасет тебя использование VLAN'ов. Тогда у тебя каждая подсеть будет в своем VLAN, коммутация осуществляется на уровне 2. А роутер, являющийся шлюзом во внешний мир будет пакеты разруливать уже на уровне 3.

 

Решение не совсем понятное. Каким образом пользователи будут получать доступ к роутеру? Без авторизации? Тогда что им мешает за бесплатно пользоваться интернетом? Если мы рассматриваем вариант PPTP, тогда весь трафик, в том числе и межсегментный, будет идти через VPN соединение, что не приемлемо, т.к. сильно нагрузит роутер и понизит скорость обмена файлами в сети.

 

Я же говорю - это не готовое решение, а просто идея. Не нужен маршрут по умолчанию, когда используется коммутация. (если, конечно, не требуется разрешить доступ из одной подсети в другую)

Если это требуется, то почему бы не поднимать PPTP между хостом и роутером из его подсети, а трафик в/из интернета отдавать с "головного" роутера только на роутеры "второстепенные", которые будут сами отвечать за авторизацию. При таком варианте, весь трафик с хостов будет сыпаться на один и тот же роутер и для соседнего сегмента и для инета.

Rewop

Rewop

Posted
  • Author
Posted
Я же говорю - это не готовое решение, а просто идея. Не нужен маршрут по умолчанию, когда используется коммутация. (если, конечно, не требуется разрешить доступ из одной подсети в другую)

Если это требуется, то почему бы не поднимать PPTP между хостом и роутером из его подсети, а трафик в/из интернета отдавать с "головного" роутера только на роутеры "второстепенные", которые будут сами отвечать за авторизацию. При таком варианте, весь трафик с хостов будет сыпаться на один и тот же роутер и для соседнего сегмента и для инета.

 

Идея понятна, думал на эту тему, но не хочется пускать локальный трафик (которого может быть несравнимо больше) в туннеле вместе с инетом. Если это всё будет шифроваться (а такое может понадобится), то роутер может не выдержать.

 

В общем пока вижу решение только в прописывании отдельного постоянного маршрута сети - через батник или вручную.

PowerPack

PowerPack

Posted
Posted

ROUTE

-p При использовании с командой ADD задает сохранение маршрута при перезагрузке системы. По умолчанию маршруты не сохраняются при перезагрузке. Игнорируется для остальных команд, изменяющих соответствующие постоянные маршруты. Этот параметр не поддерживается в Windows 95.

Rewop

Rewop

Posted
  • Author
Posted
ROUTE

-p При использовании с командой ADD задает сохранение маршрута при перезагрузке системы. По умолчанию маршруты не сохраняются при перезагрузке. Игнорируется для остальных команд, изменяющих соответствующие постоянные маршруты. Этот параметр не поддерживается в Windows 95.

 

Читаем первый пост. Я об этом говорил.

Переставят винду, забудут и будут кричать, что сеть отваливается/не работает...

Nailer

Nailer

Posted
Posted

Rewop, proprietary VPN-клиенты, типа Cisco VPN клиента, умеет распространять политики на машину, на которой запущен, с девайса, с которым соединился юзер. Только девайс тоже должен быть Cisco..

 

Поройте, мб стандартный клиент умеет что-нибудь подобное..

PowerPack

PowerPack

Posted
Posted

При подключении к сети каждому пользователю выдаем ПАМЯТКУ, в которой огромными буквами пишем: после переустановки Windows, зайдите по следующей ссылке, скачайте этот bat - файл и запустите его!

Или сделать нормальный раздел тех. поддержки на сайте.

  • 2 weeks later...
Rewop

Rewop

Posted
  • Author
Posted
Rewop,

Как можно выйти из этого положения ?

Отдавать по DHCP

Разве он может передать клиенту таблицу роутинга ?

а шлюз по умолчанию меня не спасёт...

catalist

catalist

Posted
Posted

у меня подобная проблема решилась путём установки зебра+рипд(анонсы только на ng_if), а на виндовых клиентах рип слушатель ставится из стандартных прог..

Rewop

Rewop

Posted
  • Author
Posted
у меня подобная проблема решилась путём установки зебра+рипд(анонсы только на ng_if), а на виндовых клиентах рип слушатель ставится из стандартных прог..

 

А что проще для клиента ? прописать 1-2 постоянных маршрута или рип слушатель поставить ?

 

Таблица не столь большая. 1 статическая запись всего (пока). Но хочется сразу взять на себя настройку таблицы клиента... мало ли какие изменения необходимо будет внести.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.