|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Denis V. Terebiy 2:5020/400 17 Apr 2002 16:50:45
To : All
Subject : VPN masquerade
--------------------------------------------------------------------------------
Такие забавные грабли с сабжем встретил - даже не знаю с какой стороны к ним
подбираться. Может кто с чем подобным сталкивался или хоть посоветует где
копать... Может это даже не в линухе копарь надо, тогда пошлете меня в
соответствующем направлении :-)
Постановка задачи:
Есть внутренняя сетка конторы 192.168.2.0/24.
Есть внутренняя сетка заказчика 192.168.91.0/24, на которой стоит несколько
серверов, к которым нужен доступ одновременно с нескольких компов конторы.
Есть линуховый роутер на красной шапке и iptables v1.2.6a. Ядро с
вкомпиленным сабжем. Сабж работает.
Есть VPN шлюз у заказчика. Работает по PPTP.
При подключении одного клиента из конторы, используя в качестве gateway
линуховый роутер все нормально.
Hо:
Более одного клиента одновременно к VPN шлюзу подключится не могут.
Судя по
http://www.linux.org/docs/ldp/howto/VPN-Masquerade-HOWTO-2.html#multiclientp
ptp и учитывая то, что клиентские тачки - W2K - это, вероятно, так и
задумано. Ладно.
Хотя после отключения одного клиента второй может подключится только через
определенный (от десятка минут до пары часов) промежуток времени. Допустим.
Беру другой решение - на одной из виндовых 192.168.2.Х тачек расшариваю VPN
соединение. Hа других 192.168.2.Y и 192.168.2.Z (которым это соединение
нужно) прописываю роутинг на 192.168.64.0/26 через 192.168.2.Х. Все путем -
пакеты ходят.
Вот только несколько, мягко говоря, своеобразно:
Машина 192.168.2.Х работает полностью нормально. В частности - по РАдмину
подключается к любому серверу на площадке и свободно выполняет SQL запросы
на их информиксовых серверах.
Машины 192.168.2.Y и 192.168.2.Z по РАдмину могут подключиться только к
одному серверу (имею ввиду - полная консоль, передача файлов и телнет
возможны к любому серверу). Если б вообще ни к какому - это куда ни шло, но
к одному-то может... В результате для работы с остальными серверами
используется этот один как РАдминовский гейт. Изврат, конечно, но что
делать?
Это было-бы еще терпимо, вот только SQL запросы с таких машин удаленно не
запускаются. И, опять-же, не запускаются загадочно: те запросы, которые
должны вернуть ошибку (таблицы там нету, еще чего) - ошибку возвращают. А
те, что должны вернуть ответ - нифига не возвращают. И вот это уже
разработчикам совсем не нравится.
А теперь, собстно, вопрос - че это за фигня может быть?
;-)
Мест, откуда теоретически это глюк может быть родом я сходу могу назвать....
ээээ...... четыре (роутинг на машине 192.168.2.X, VPN маскарадинг на линухе,
VPN gate у заказчика, MTU).
Вот только это все равно много :-].
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
VPN masquerade |
Denis V. Terebiy |
17 Apr 2002 16:50:45 |
|
|
