none
rras vpn without nat ? RRS feed

  • Вопрос

  • Всем доброго дня. Хотел бы узнать - есть ли возможность службой RRAS настройки входящих vpn-соединений без NAT? В мастере настройки NAT не указывал, но все равно в igmp добавились интерфейсы "внутренний"= маршрутизатор v3 и "подключение по локальной сети" = прокси. Компы по VPN подключаются из одной локальной сети к vpn-серваку на windows server 2003 и в соответствии со статическим маршрутом на RRAS попадают на нужные ресурсы в другой сети, где идет фильтрация по mac. Соответственно хотелось бы сделать vpn подключение, чтобы был виден mac источника.   Сейчас указал 2 протокола: pptp и l2tp - но в обоих случаях все компы, которые законнектились идут под одним mac. Я так понимаю, что то что я хочу, может получиться только с PPPoE который запихивает PPP-кадры в Ethernet-кадры. Но данное решение, как я понимаю, будет работать только в пределах того же сегмента сети, где и сам сервак. Соответственно PPPoE-подключения к vpn серверу за циской или др роутером из др сегментов не найдут отклика, что не есть гуд. Теперь мучаюсь вопросом как компы из одной сетки "пробрасывать" в другую, чтобы был виден mac...

    Надеюсь понятно изложил, если что не ругайте :)

    17 июня 2013 г. 6:12

Ответы

  • nat тут совсем не причем, он транслирует ip адреса, а не маки, и к vpn отношения не имеет. маки не будут видны за пределами широковещательного домена, то есть за любым роутером,  чтобы маки были видны надо объединять сети по vpn на втором уровне, например MPLS
    а вообще фильтрация по макам это мягко говоря маразм - они подделываются любой домохозяйкой
    17 июня 2013 г. 8:02
  • Проблему предоставления MAC можно решить посредством создания моста между сетями. Трудность тут только в том, что половинки моста объединяются через канал "точка-точка" (каковым является туннель VPN). Windows Server делать такие мосты не умеет. Cisco IOS раньше умел (если не выпилили - то и сейчас умеет), причем цена нужных для этого маршрутизаторов сильно меньше, чем тех, что поддерживают MPLS. Но следует иметь в виду, что всеь широковещательный трафик в локальной сети при таком подходе будет гоняться через туннель и грузить каналы в/из Интернет.

    PS А MPLS AFAIK - это тоже технология 3-го уровня, маршрутизирующая пакеты IP, а не кадры Ethernet (которые как раз и содержит адрес MAC).


    Слава России!

    17 июня 2013 г. 9:13
  • А Вы попросите вышестоящих товарищей, чтобы они разрешали подключения для MAC-адреса сервера VPN - и будет вам счастье. 


    Слава России!

    17 июня 2013 г. 11:04
  • потому что задача сама по себе кривая и rras совсем не для этого предназначен. тот же mpls не для vpn клиентов предназначен, а для site-to-site vpn.
    17 июня 2013 г. 9:12

Все ответы

  • nat тут совсем не причем, он транслирует ip адреса, а не маки, и к vpn отношения не имеет. маки не будут видны за пределами широковещательного домена, то есть за любым роутером,  чтобы маки были видны надо объединять сети по vpn на втором уровне, например MPLS
    а вообще фильтрация по макам это мягко говоря маразм - они подделываются любой домохозяйкой
    17 июня 2013 г. 8:02
  • Такой фильтрацией занимаются уже вышестоящие товарищи. В общем, чего я и опасался - нифига не получится на rras :(  В pptp и l2tp маки вообще не увидеть, в PPPoE только в пределах броадкаста, и то rras не умеет на таком протоколе сервак поднимать, только сам коннектится. MPLS требует серьезных вложений в покупки новых цысок - это мимо. Из дешевых софтверных решений увидел только совет на хабре каким-то магическим образом поднять образ цыски на pc, но как и с чем это едят мне пока туманно представляется.
    17 июня 2013 г. 8:32
  • потому что задача сама по себе кривая и rras совсем не для этого предназначен. тот же mpls не для vpn клиентов предназначен, а для site-to-site vpn.
    17 июня 2013 г. 9:12
  • Проблему предоставления MAC можно решить посредством создания моста между сетями. Трудность тут только в том, что половинки моста объединяются через канал "точка-точка" (каковым является туннель VPN). Windows Server делать такие мосты не умеет. Cisco IOS раньше умел (если не выпилили - то и сейчас умеет), причем цена нужных для этого маршрутизаторов сильно меньше, чем тех, что поддерживают MPLS. Но следует иметь в виду, что всеь широковещательный трафик в локальной сети при таком подходе будет гоняться через туннель и грузить каналы в/из Интернет.

    PS А MPLS AFAIK - это тоже технология 3-го уровня, маршрутизирующая пакеты IP, а не кадры Ethernet (которые как раз и содержит адрес MAC).


    Слава России!

    17 июня 2013 г. 9:13
  • Спасибо ответившим. Я узнал, что хотел. Задача действительно кривая, куча обстоятельств толкают на решение дибильных задач через не менее изящные костыли. Наверное, придется поднимать на дебиане pppoe ((
    17 июня 2013 г. 10:05
  • А Вы попросите вышестоящих товарищей, чтобы они разрешали подключения для MAC-адреса сервера VPN - и будет вам счастье. 


    Слава России!

    17 июня 2013 г. 11:04