|
Главная | Правила | Регистрация | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
|
Опции темы | Опции просмотра |
22.04.2019, 03:03 | #1 (permalink) |
Member
Регистрация: 24.09.2011
Сообщений: 17
Сказал(а) спасибо: 2
Поблагодарили 1 раз в 1 сообщении
Репутация: 60
|
VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель
Господа, у меня общий вопрос по оптимальной организации соединения между домашней и корпоративной сетями, который состоит из нескольких подвопросов. Итак, на работе имеется LAN-сеть (192.168.32.0/25) и VPN для выхода в Интернет (192.168.33.0/25). Внешний IP VPN-сервера: 91.215.218.123, он же DNS-сервер. Дома всё тривиально: 192.168.1.0/24; внешние IP белые, динамические. Необходимо организовать соединение между домашней и корпоративной сетями, но при этом: а) без задействования шлюза корп. сети в виде общего; б) DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена. I. Маршрутизация. Тут всё стандартно. На домашней Win-машине (192.168.1.20) задал постоянный маршрут для доступа к машинам корп. сети: Код:
route add 192.168.32.0 MASK 255.255.255.128 192.168.33.85 IF 38 METRIC 1 -p В итоге в таблице имею следующее:[SPOILER] Код:
=========================================================================== Список интерфейсов 38...........................VPN 11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 50 91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51 // нафег не нужен 192.168.1.0 255.255.255.0 On-link 192.168.1.20 306 192.168.1.20 255.255.255.255 On-link 192.168.1.20 306 192.168.1.255 255.255.255.255 On-link 192.168.1.20 306 192.168.32.0 255.255.255.128 On-link 192.168.33.85 36 // добавленный маршрут 192.168.32.127 255.255.255.255 On-link 192.168.33.85 291 192.168.33.85 255.255.255.255 On-link 192.168.33.85 291 224.0.0.0 240.0.0.0 On-link 192.168.1.20 306 224.0.0.0 240.0.0.0 On-link 192.168.33.85 291 255.255.255.255 255.255.255.255 On-link 192.168.1.20 306 255.255.255.255 255.255.255.255 On-link 192.168.33.85 291 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 192.168.32.0 255.255.255.128 192.168.33.85 1 =========================================================================== Однако тут возникает два нюанса: 1. После поднятия VPN'а автоматически создается совсем не нужный маршрут: "91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51" - каким образом его также автоматически удалять? 2. Сетевой администратор сообщил, что решение из разряда через одно место и что надо создавать маршрут динамически при изменении соответствующих интерфейсов. Действительно ли так правильнее? Попытался найти в гугле решение, но не обнаружил. Подскажите, пожалуйста, как это сделать: каким-либо скриптом или есть встроенные решения? II. DNS-сервер. "DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена." - для этого необходимо задействовать корп. DNS-сервер 91.215.218.123, но извне он недоступен. Я решил обойти эту проблему следующим образом. Добавил в настройки интерфейса клиента (192.168.1.20) два DNS: - предпочитаемый: 91.215.218.123 (корп. сеть); - альтернативный: 192.168.1.1. (домашняя сеть). И также добавил следующий постоянный маршрут: Код:
route add 91.215.218.123 MASK 255.255.255.255 192.168.32.1 IF 38 METRIC 1 -p Код:
Список интерфейсов 38...........................VPN 11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 50 91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51 // по-прежнему нафег не нужен 91.215.218.123 255.255.255.255 192.168.32.1 192.168.33.85 36 // добавленный маршрут 192.168.1.0 255.255.255.0 On-link 192.168.1.20 306 192.168.1.20 255.255.255.255 On-link 192.168.1.20 306 192.168.1.255 255.255.255.255 On-link 192.168.1.20 306 192.168.32.0 255.255.255.128 On-link 192.168.33.85 36 192.168.32.127 255.255.255.255 On-link 192.168.33.85 291 192.168.33.85 255.255.255.255 On-link 192.168.33.85 291 224.0.0.0 240.0.0.0 On-link 192.168.1.20 306 224.0.0.0 240.0.0.0 On-link 192.168.33.85 291 255.255.255.255 255.255.255.255 On-link 192.168.1.20 306 255.255.255.255 255.255.255.255 On-link 192.168.33.85 291 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 192.168.32.0 255.255.255.128 192.168.33.85 1 91.215.218.123 255.255.255.255 192.168.32.1 1 =========================================================================== Однако и здесь профессиональный сетевик меня тормазнул, сообщив, что таким макаром будет создаваться задержка. Поэтому прошу подсказать вас как решить вопрос с DNS-сервером в моем случае по уму? III. Альтернативное решение - GRE-туннель. А вообще указанный выше товарищ порекомендовал поднять постоянный GRE-туннель на централизованном устройстве (роутере). Однако я немного в ступоре от данной рекомендации. Во-первых, насколько я понял, GRE-тунель предполагает использование на двух концах статические IP-адреса. У меня же дома "внешние IP белые, динамические". Конечно, есть DDNS, но он вроде имя в организации GRE-туннеля неуместно. Во-вторых, когда я уточнил, что будучи в разъездах в качестве роутера у меня будет использоваться Android-телефон, но на это я получил ответ, что под Android никаких проблем организовать GRE-туннель нет. Однако там та же ситуация: динамические IP-адреса и, более того, они ещё сидят за провайдерским NAT'ом. Вопросы тут такие: 1. Возможно ли организовать GRE-туннель с белым динамическим IP-адресом на одном из концов? 2. Возможно ли организовать GRE-туннель с серым IP-адресом на одном из концов? 3. Освобождает ли GRE-туннель от прописывания такого же постоянного маршрута, который был указан в вопросе I? Благодарю!!! |
22.04.2019, 03:03 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Прочитайте пожалуйста эти обсуждения Сетевой маршрут, пинг Динамический ip Туннель через ретранслятор Дисконнект провайдер Домолинк, возможно ли настроить другой маршрут до сервака |
22.04.2019, 12:10 | #2 (permalink) | |||||
Специалист
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
|
Цитата:
Цитата:
Цитата:
Цитата:
по сути все протоколы туннелирования используют тот же гре. желательно. Цитата:
1) вам всегда надо указывать куда туннель должен установиться т.е. с динамическим адресом не прокатит. 2) возможно с нюансами 3) естественно нет. это точно такой же туннель где нужна маршрутизация. по уму - это иметь в дмз отдельные впн сервер и днс. по уму - это иметь отдельный днс для локалки, внутри локалки. по уму - присылать адрес внутреннего днс при подключении к впн. |
|||||
22.04.2019, 16:33 | #3 (permalink) | |||
Member
Регистрация: 24.09.2011
Сообщений: 17
Сказал(а) спасибо: 2
Поблагодарили 1 раз в 1 сообщении
Репутация: 60
|
По поводу метрики я видел, однако для чего лишний маршрут в системе?
Цитата:
Цитата:
Видимо, всё-таки обязательно? Цитата:
P.S. Почему-то мне недоступны "спасибки" либо я их в упор не вижу... |
|||
22.04.2019, 17:27 | #4 (permalink) | ||
Специалист
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
|
Цитата:
Цитата:
кстати, подключение домашней сети в корпоративную это моветон. я бы сказал - дыра в безопасности. Так делать нельзя. Максимум, что можно сделать - дать доступ к вашему рабочему месту, для RDP сессии. И тогда все проблемы отпадут сами собой. т.е. на впн сервере - биндинг ip адреса к учетке, прописывание правила в фаерволе сервера впн на доступ только к вашему компу по порту 3389. за такую фривольность, как вам дали надо драть руки из плеч надо жмакать на весы, в левом нижнем углу сообщения. |
||
22.04.2019, 18:18 | #5 (permalink) | |
Member
Регистрация: 24.09.2011
Сообщений: 17
Сказал(а) спасибо: 2
Поблагодарили 1 раз в 1 сообщении
Репутация: 60
|
Этот маршрут говорит о том, что DNS-сервер надо опрашивать через внутреннюю сеть. А какой маршрут был бы более уместным, чтобы было видно корпоративный DNS-сервер?
Цитата:
Какого именно IP? Они в лучшем случае динамические, в худшем - вообще серые. Это два. Видимо, двжиок глючит. Пытаюсь Вам поднять репу, а мне говорят, что перед этим я должен кого-то ещё похвалить, хотя я Вас и не хвалил. |
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
22.04.2019, 20:54 | #6 (permalink) |
Member
Регистрация: 24.09.2011
Сообщений: 17
Сказал(а) спасибо: 2
Поблагодарили 1 раз в 1 сообщении
Репутация: 60
|
Что-то я запутался...
В общем, снес я все маршруты "91.215.218.123 MASK 255.255.255.255". По итогу таблица после подключения к VPN вот такая: Код:
=========================================================================== Список интерфейсов 38...........................VPN 11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 50 192.168.1.0 255.255.255.0 On-link 192.168.1.20 306 192.168.1.20 255.255.255.255 On-link 192.168.1.20 306 192.168.1.255 255.255.255.255 On-link 192.168.1.20 306 192.168.32.0 255.255.255.128 On-link 192.168.33.85 36 192.168.32.127 255.255.255.255 On-link 192.168.33.85 291 192.168.33.85 255.255.255.255 On-link 192.168.33.85 291 224.0.0.0 240.0.0.0 On-link 192.168.1.20 306 224.0.0.0 240.0.0.0 On-link 192.168.33.85 291 255.255.255.255 255.255.255.255 On-link 192.168.1.20 306 255.255.255.255 255.255.255.255 On-link 192.168.33.85 291 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 192.168.32.0 255.255.255.128 192.168.33.85 1 =========================================================================== А резолвинг внешних имен через DNS-сервер моего роутера (192.168.1.1). Сетевик же сказал как-то юзать один корпоративный DNS-сервер через что-то проксирующее... =/ |
22.04.2019, 21:12 | #7 (permalink) |
Специалист
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
|
ваш комп закешировал имена ресурсов скорее всего. ттл истечет и записи пропадут.
если у вас в конторе есть сетевик и админ - пускай они и рожают вам костыль лично я против BYOD т.к. это размазывает периметр безопасности. Если уж размазывать его то тогда хотя бы использовать нормальные решения аля cisco any connect. |
22.04.2019, 22:36 | #9 (permalink) | |||
Member
Регистрация: 24.09.2011
Сообщений: 17
Сказал(а) спасибо: 2
Поблагодарили 1 раз в 1 сообщении
Репутация: 60
|
Цитата:
Цитата:
Цитата:
Мне вот на текущем этапе хочется понять каким образом задействовать корп. DNS-сервер таким образом, чтобы тот резолвил бы и внутренние, и внешние адреса. |
|||
22.04.2019, 23:55 | #10 (permalink) |
Специалист
Регистрация: 13.08.2007
Сообщений: 4,159
Записей в дневнике: 5
Сказал(а) спасибо: 41
Поблагодарили 16 раз(а) в 8 сообщениях
Репутация: 23496
|
Ipconfig /flushdns сделайте и посмотрите, перестанут ли резолвиться хосты.
Я не совсем понимаю о каких клиентах идет речь. Я представил себе картину что вы из дома конектитесь в корпорат и что-то там делаете со своего компа. В таком случае клиент эт вы и ваш комп. Сетка у вас там малюсенькая, всего 126 хостов. Попросите список доменов зоны и сделайте себе из него файлик хостс. Да и если у вас ваша схема уже взлетела, то какая разница на сколько она фейшуйная. У вас явно не требуется никаких сертификаций, нет отдела пентеста, безопасников и прочего сброда запрещальщиков. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Опции темы | |
Опции просмотра | |
|
|