none
DHCP, Option 121, лишние маршруты RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    есть VPN на базе 2012 R2 (L2TP, SSTP). Используем DHCP на этом же сервере для назначения адресов и маршрутов. Всё работает, но не понятно почему добавляется два лишних маршрута, которых в опции 121 нет:

    Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.254.1.1      10.254.1.86     25
         10.0.0.0        255.0.0.0     10.255.9.119     10.255.9.142     26
       10.100.0.0    255.255.255.0         On-link      10.255.9.142     26
185.xxx.xxx.xxx  255.255.255.255       10.254.1.1      10.254.1.86     26
   185.yyy.yyyy.yyy  255.255.255.255         On-link      10.255.9.142    281

    при чём один из них идёт через локальный маршрутизатор.

    В самой локальной сети такой проблем нет, все прописанные маршруты есть, лишних нет (Wireshark показывает правильные настройки опции 121). Проблема только с VPN клиентами (wireshark по естественным причинам не показывает ничего), которые настраивались руками через Панель Управления.

    10 сентября 2018 г. 9:59
    |
    Модератор

Ответы

  • Question
    Нужно войти
    0
    Нужно войти

    всё, разобрался. Прошу прощения, я не указал, что принт-сервер находится в другой подсети: 10.253.3.0/24. Без VPN доступ к сети через шлюз по умолчанию. Т.к. VPN добавляет маршрут 10./8, то естественно трафик идёт через VPN. Решил проблему добавлением опции 121 в области 10.254.1.0 на локальном DHCP, вроде:

    route add -p 10.253.3.0 mask 255.255.255.0 10.254.1.1

    теперь всё работает.

    Спасибо

    • Помечено в качестве ответа AnahaymModerator 11 сентября 2018 г. 15:42
    11 сентября 2018 г. 15:41
    |
    Модератор

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    Насколько я разбираюсь в иксах и игреках, то первый маршрут - это маршрут к серверу VPN через локальный маршрутизатор (он нужен, чтобы не потерялась связь по VPN, если менется шлюз по умолчанию).

    А второй - к какому-то адресу IP на сервере VPN через туннель VPN (который являет собой канал типа "точка-точка"). Подозреваю, что это - тот самый адрес, который RRAS выбрал себе в качестве адреса другого конца туннеля (интерфейс Internal).

    Слава России!

    10 сентября 2018 г. 11:53
    |
  • Question
    Нужно войти
    0
    Нужно войти

    увы нет. я дам пояснения по сетям и маршрутам.

    10.254.1.0 /24 - локальная сеть в офисе

    10.255.9.0 /24 - сеть датацентра, она же назначается VPN клиентам.

    10.255.9.142 - IP адрес VPN подключения.

    10.0.0.0 /8 - это лишний маршрут. его нет в опции 121.

    10.100.0.0/24 - это правильный маршрут. он есть в опции 121

    185.х - это лишний маршрут, его нет в опции 121, более того, не понятно, почему через локальный шлюз. Теперь понял. Это сам VPN сервер. Раньше почему-то я этот адрес не замечал.

    185.y - это правильный маршрут. он есть в опции 121

    Сама проблема заключается в том, что в локальной сети есть принтер с адресом 10.254.1.200. Так вот во время подключенного VPN принтер не доступен. Выяснилось, что tracert к нему почему-то пошёл через VPN. Точнее причина тому наличие маршрута 10.0.0.0/8.... если руками убрать этот маршрут - принтер доступен. Но он, маршрут, всегда добавляется при подключении VPN. Т.к. проблема только с сетями 10.0.0.0/8

    Я удалял опцию 121 - всё равно этот странный маршрут появляется. Сегодня вечером буду перезагружать VPN. Есть подозрение, что после любых изменений на DHCP нужно перезапускать RRAS (была проблема, когда RRAS не видел новый DHCP, до тех пор, пока RRAS не перезапустили...)




    10 сентября 2018 г. 12:45
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    10.0.0.0/8 - это реликт проткола PPP: классовый адрес сети, к которой принадлежит выданный клиенту адрес IP (проткол PPP не имеет возможности передать маску поддсети, поэтому устанавливает на клиенте машрут для всей сети соответствующего класса).

    Слава России!


    • Изменено M.V.V. _ 10 сентября 2018 г. 13:29
    10 сентября 2018 г. 13:21
    |
  • Question
    Нужно войти
    0
    Нужно войти
    10.0.0.0/8 - это реликт проткола PPP: классовый адрес сети, к которой принадлежит выданный клиенту адрес IP (проткол PPP не имеет возможности передать маску поддсети, поэтому устанавливает на клиенте машрут для всей сети соответствующего класса).

    Слава России!


    так его никогда не было в маршрутах (или я не помню его) и всё работало...

    с другой стороны, в другом офисе нет проблем с принтером. если дело не в маршруте, то в чём?

    10 сентября 2018 г. 13:37
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти
    Дело может быть не только в прямом, но и в обратном маршруте.

    Слава России!

    10 сентября 2018 г. 18:08
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Дело может быть не только в прямом, но и в обратном маршруте.

    Слава России!

    так прямой вообще не должен быть. это локальная сеть. почему она вдруг решила заворачиваться через VPN? Вообщем не понятно, завтра протестирую новый VPN, у которого будет другая адресация ибо я сомневаюсь, что и там будет 10./8 сеть...
    10 сентября 2018 г. 21:14
    |
    Модератор
  • Question
    Нужно войти
    0
    Нужно войти

    всё, разобрался. Прошу прощения, я не указал, что принт-сервер находится в другой подсети: 10.253.3.0/24. Без VPN доступ к сети через шлюз по умолчанию. Т.к. VPN добавляет маршрут 10./8, то естественно трафик идёт через VPN. Решил проблему добавлением опции 121 в области 10.254.1.0 на локальном DHCP, вроде:

    route add -p 10.253.3.0 mask 255.255.255.0 10.254.1.1

    теперь всё работает.

    Спасибо

    • Помечено в качестве ответа AnahaymModerator 11 сентября 2018 г. 15:42
    11 сентября 2018 г. 15:41
    |
    Модератор