none
RRAS, DHCP Relay Agent и VPN RRS feed

  • Вопрос

  • Добрый день. Есть VPN сервер в DMZ с двумя интерфейсами.

    FrontEnd - смотрит в интернет у него адрес 193.93.162.9 на пример

    BackEnd - смотрит в локалку, адрес 10.45.172.23

    DHCP сервер с адресом 10.10.2.252, на нем создана Superscope в которую включены две области (10.41.8.* и 10.45.172.* при этом запретили выдавать из области 10.45.172)

    10.41.8.* - адреса для VPN клиентов

    На VPN сервере, включил выдачу через DHCP, а так же добавил DHCP Relay Agent'a с адресом 10.10.2.252. После чего добавил Internal интерфейс.

    В итоге при подключении VPN клиентов, им выдается адреса APIPA. Как заставить выдавать адреса DHCP сервер, если FrontEnd интерфейс находится в другой сети ?


    17 февраля 2016 г. 15:19

Ответы

  • Адреса клиентам VPN выдаются не через DHCP - их выдаёт сервер RRAS через специальный протокол из набора PPP (IPCP). Чтобы иметь возможность выдать эти адреса, сервер RRAS должен получить их сам от сервера DHCP. У вас сервер RRAS, скорее всего, эти адреса получить не может, т.к. находится не в том сегменте сети, в котором находится сервер DHCP, а пересылка сообщений DHCP для него не настроена.

    Возможно (но не уверен, т.к. никогда не проверял такую конфигурацию), что вам поможет добавление в DHCP Relay Agent интерфейса для локальной сети сервера RRAS. Если такая конфигурация не работает, то придётся настроить доставку сообщений DHCP между серверами RRAS и DHCP каким-то другим образом.

    PS DHCP Relay Agent на сервере RRAS используется клиентами VPN, чтобы получать другую информацию, передаваемую через опции DHCP, но не адреса.


    Слава России!


    17 февраля 2016 г. 15:33
  • Если такая конфигурация не работает, то придётся настроить доставку сообщений DHCP между серверами RRAS и DHCP каким-то другим образом.

    Каким методом ?


    Например, настройкой маршрутизатора, чтобы он пересылал сообщения DHCP на указанный сервер (например, в маршрутизаторах Cisco для этого есть команда конфигурации ip helper-address). Если ваш маршрутизатор такого не может - путём поднятия RRAS с DHCP Relay Agent на другом сервере.

    Слава России!

    18 февраля 2016 г. 13:31

Все ответы

  • Адреса клиентам VPN выдаются не через DHCP - их выдаёт сервер RRAS через специальный протокол из набора PPP (IPCP). Чтобы иметь возможность выдать эти адреса, сервер RRAS должен получить их сам от сервера DHCP. У вас сервер RRAS, скорее всего, эти адреса получить не может, т.к. находится не в том сегменте сети, в котором находится сервер DHCP, а пересылка сообщений DHCP для него не настроена.

    Возможно (но не уверен, т.к. никогда не проверял такую конфигурацию), что вам поможет добавление в DHCP Relay Agent интерфейса для локальной сети сервера RRAS. Если такая конфигурация не работает, то придётся настроить доставку сообщений DHCP между серверами RRAS и DHCP каким-то другим образом.

    PS DHCP Relay Agent на сервере RRAS используется клиентами VPN, чтобы получать другую информацию, передаваемую через опции DHCP, но не адреса.


    Слава России!


    17 февраля 2016 г. 15:33
  • Если такая конфигурация не работает, то придётся настроить доставку сообщений DHCP между серверами RRAS и DHCP каким-то другим образом.

    Каким методом ?


    18 февраля 2016 г. 13:20
  • Если такая конфигурация не работает, то придётся настроить доставку сообщений DHCP между серверами RRAS и DHCP каким-то другим образом.

    Каким методом ?


    Например, настройкой маршрутизатора, чтобы он пересылал сообщения DHCP на указанный сервер (например, в маршрутизаторах Cisco для этого есть команда конфигурации ip helper-address). Если ваш маршрутизатор такого не может - путём поднятия RRAS с DHCP Relay Agent на другом сервере.

    Слава России!

    18 февраля 2016 г. 13:31
  • Вариант отдельного DHCP на сервере RRAS не рассматривали?
    20 февраля 2016 г. 14:42
    Модератор