[alibek]

Есть офисная сеть 192.168.1.0/24, в которой поменять адресацию довольно затруднительно.

В офисной сети есть VPN-сервер, посредством которого к ней подключаются снаружи.

Есть сервисная железка (EdgeRouter Lite под управлением VyOS), которая выполняет различную диагностику на местах (пинги, трассировки и т.п.). Выполняет она это в интерактивном режиме, запуском готового скрипта. В основном она подключается как DHCP-клиент (в локальную сеть абонента или клиента).

Хочется автоматизировать, в идеале чтобы запускать можно было удаленно и автоматом выгружать результаты в офисную сеть.

Настроил на железке VPN-подключение, она подключается к офисной сети и в принципе может сделать все необходимое.

Но проблема в том, что в 98% случаев у абонентов локальная сеть тоже 192.168.1.0/24. Соответственно нет возможности отличить абонентскую сеть 192.168.1.0 от офисной сети 192.168.1.0.

Если VPN-подключение оставить шлюзом по умолчанию, то соответственно и весь интернет-трафик от железки будет инкапсулироваться в VPN и работать через офисную сеть, что исказит результаты.

Можно убрать шлюз по умолчанию и запускать VPN-подключение только по требованию (выполнить все замеры, подключиться к офисной сети, выгрузить данные, отключиться), но тогда связь будет односторонней (нельзя будет из офисной сети самостоятельно подключиться к железке).

Можно ли тут что-то придумать, чтобы все же различать трафик?

[GrandPr1de]

горой правил нат 1:1 на впн шлюзе

сделать типо 10.250.250.2 -> 192.168.1.2 и так на всю подсеть
в случае с впном я надеюсь что впн сервер отдает впн клиентам другую подсеть и тут проблем быть не должно

[vop]

Да уж, сеть в офисе 192.168.1.0/24 - это ккаккой-та пазор, что ли... :)

 

Переводить офис на другую подсеть, хотя бы начать с установки вторых адресов.

[alibek]

Там контроллер домена и ещё некоторые моменты, затрудняющие смену адресации.

 

55 минут назад, GrandPr1de сказал:

сделать типо 10.250.250.2 -> 192.168.1.2 и так на всю подсеть

Так ведь 192.168.1.2 может в обоих сетях оказаться.

Я скорее думал маркировать пришедший с VPN трафик, чтобы затем по этой маркировке настроить PBR для исходящего трафика.

[sdy_moscow]

1 час назад, vop сказал:

Да уж, сеть в офисе 192.168.1.0/24 - это ккаккой-та пазор, что ли... :)

 

Переводить офис на другую подсеть, хотя бы начать с установки вторых адресов.

100500 +

[st_re]

1 час назад, alibek сказал:

Там контроллер домена 

Ну при перенумирации домен контроллер конечно требует некоторой аккуратности в действиях и понимания, что там для чего, но не вот таки Бином Ньютона ни разу..

[dmp.user]

Контроллер домена не особо мешает смене адресации. Для мягкого перехода можно вообще в маршрутизируемом сегменте сети с другой адресацией поднять новый контроллер домена,  затем передать ему роли с первого и после убрать старый. Много дней тут не требуется. Какие-то другие моменты не связанные c доменом, думаю тоже вполне решаемы.

[jffulcrum]

2 часа назад, alibek сказал:

Там контроллер домена и ещё некоторые моменты, затрудняющие смену адресации.

 

На всех КД заранее накидываются вторые IP, подсеть вносится в сайт, проверяется, что именно слушает DNS (и DHCP, если есть), в DNS создается зона PTR для подсети, ipconfig /registerdns. Потом на первом КД убрать бывший адрес, заменить в свойствах сетевого адаптера адреса прочих КД в списке DNS-серверов на новые (и заодно проверить, что есть 127.0.0.1 в списке) и ребут первого КД. Выждать репликации  - та же операция на втором и прочих (если есть). Может потребоваться dcdiag /fix, если Netlogon не сможет обновить записи SRV при загрузке