none
VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель

    Вопрос

  • Приветствую!

    Господа, у меня общий вопрос по оптимальной организации соединения между домашней и корпоративной сетями, который состоит из нескольких подвопросов.

    Итак, на работе имеется LAN-сеть (192.168.32.0/25) и VPN для выхода в Интернет (192.168.33.0/25). Внешний IP VPN-сервера: 91.215.218.123, он же DNS-сервер.
    Дома всё тривиально: 192.168.1.0/24; внешние IP белые, динамические.

    Необходимо организовать соединение между домашней и корпоративной сетями, но при этом:
    а) без задействования шлюза корп. сети в виде основного;
    б) DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена.

    I. Маршрутизация.
    Тут всё стандартно. На домашней Win-машине (192.168.1.20) задал [U]постоянный[/U] маршрут для доступа к машинам корп. сети:

    route add 192.168.32.0 MASK 255.255.255.128 192.168.33.85 IF 38 METRIC 1 -p
    - где "IF 38" (192.168.33.85) - IP VPN'а.

    В итоге в таблице имею следующее:

    ===========================================================================
    Список интерфейсов
     38...........................VPN
     11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462
    ===========================================================================
    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.20     50
       91.215.218.123  255.255.255.255      192.168.1.1     192.168.1.20     51 // нафег не нужен
          192.168.1.0    255.255.255.0         On-link      192.168.1.20    306
         192.168.1.20  255.255.255.255         On-link      192.168.1.20    306
        192.168.1.255  255.255.255.255         On-link      192.168.1.20    306
         192.168.32.0  255.255.255.128         On-link     192.168.33.85     36 // добавленный маршрут
       192.168.32.127  255.255.255.255         On-link     192.168.33.85    291
        192.168.33.85  255.255.255.255         On-link     192.168.33.85    291
            224.0.0.0        240.0.0.0         On-link      192.168.1.20    306
            224.0.0.0        240.0.0.0         On-link     192.168.33.85    291
      255.255.255.255  255.255.255.255         On-link      192.168.1.20    306
      255.255.255.255  255.255.255.255         On-link     192.168.33.85    291
    ===========================================================================
    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
         192.168.32.0  255.255.255.128    192.168.33.85       1
    ===========================================================================
    После этого я могу обращаться по IP к машинам корп. сети.

    Однако тут возникает два нюанса:

    1. После поднятия VPN'а автоматически создается совсем не нужный маршрут: "91.215.218.123  255.255.255.255      192.168.1.1     192.168.1.20     51" - каким образом его также автоматически удалять?
    2. Сетевой администратор сообщил, что решение из разряда через одно место и что надо создавать маршрут динамически при изменении соответствующих интерфейсов. Действительно ли так правильнее? Попытался найти в гугле решение, но не обнаружил. Подскажите, пожалуйста, как это сделать: каким-либо скриптом или есть встроенные решения?


    II. DNS-сервер.
    "DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена." - для этого необходимо задействовать корп. DNS-сервер 91.215.218.123, но извне он недоступен.
    Я решил обойти эту проблему следующим образом. Добавил в настройки интерфейса клиента (192.168.1.20) два DNS:
    - предпочитаемый: 91.215.218.123 (корп. сеть);
    - альтернативный: 192.168.1.1. (домашняя сеть).
    И также добавил следующий постоянный маршрут:

    route add 91.215.218.123 MASK 255.255.255.255 192.168.32.1 IF 38 METRIC 1 -p
    В итоге таблица следующая:
    Список интерфейсов
     38...........................VPN
     11...f4 d1 08 2b 64 ca ......Intel(R) Wireless-AC 9462
    ===========================================================================
    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.20     50
       91.215.218.123  255.255.255.255      192.168.1.1     192.168.1.20     51 // по-прежнему нафег не нужен
       91.215.218.123  255.255.255.255     192.168.32.1    192.168.33.85     36 // добавленный маршрут
          192.168.1.0    255.255.255.0         On-link      192.168.1.20    306
         192.168.1.20  255.255.255.255         On-link      192.168.1.20    306
        192.168.1.255  255.255.255.255         On-link      192.168.1.20    306
         192.168.32.0  255.255.255.128         On-link     192.168.33.85     36
       192.168.32.127  255.255.255.255         On-link     192.168.33.85    291
        192.168.33.85  255.255.255.255         On-link     192.168.33.85    291
            224.0.0.0        240.0.0.0         On-link      192.168.1.20    306
            224.0.0.0        240.0.0.0         On-link     192.168.33.85    291
      255.255.255.255  255.255.255.255         On-link      192.168.1.20    306
      255.255.255.255  255.255.255.255         On-link     192.168.33.85    291
    ===========================================================================
    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
         192.168.32.0  255.255.255.128    192.168.33.85       1
       91.215.218.123  255.255.255.255     192.168.32.1       1
    ===========================================================================
    Соответственно, когда поднят VPN, то резолвинг всех имен идет через корп. DNS-сервер 91.215.218.123. Когда VPN тухнет, то вступает альтернативный домашний DNS-сервер 192.168.1.1.

    Однако и здесь профессиональный сетевик меня тормазнул, сообщив, что таким макаром будет создаваться задержка.
    Поэтому прошу подсказать вас как решить вопрос с DNS-сервером в моем случае по уму?


    III. Альтернативное решение - GRE-туннель.
    А вообще указанный выше товарищ порекомендовал поднять постоянный GRE-туннель на централизованном устройстве (роутере). Однако я немного в ступоре от данной рекомендации.
    Во-первых, насколько я понял, GRE-тунель предполагает использование на двух концах статические IP-адреса. У меня же дома "внешние IP белые, динамические". Конечно, есть DDNS, но он вроде имя в организации GRE-туннеля неуместно.
    Во-вторых, когда я уточнил, что будучи в разъездах в качестве роутера у меня будет использоваться Android-телефон, но на это я получил ответ, что под Android никаких проблем организовать GRE-туннель нет. Однако там та же ситуация: динамические IP-адреса и, более того, они ещё сидят за провайдерским NAT'ом.

    Вопросы тут такие:
    1. Возможно ли организовать GRE-туннель с белым динамическим IP-адресом на одном из концов?
    2. Возможно ли организовать GRE-туннель с серым IP-адресом на одном из концов?
    3. Освобождает ли GRE-туннель от прописывания такого же постоянного маршрута, который был указан в вопросе I?


    Благодарю!!!




    • Изменено The_Immortal 23 апреля 2019 г. 10:47
    21 апреля 2019 г. 23:05

Все ответы

  • VPN сервер на чем поднят? Windows, cisco или другая софтина\железка? Маршрут между 32 и 33 подсетью должен быть прописан на маршрутизаторе и на серверах, на которые нужен доступ из 33 подсети. На удаленном(домашнем) компьютере никаких маршрутов прописывать не нужно.

    При подключении к VPN удаленный(домашний) компьютер использует dns сервера, которые указаны в vpn-подключении. Также весь трафик идет через vpn-сервер.

    При отключении VPN - использует dns сервера сетевого адаптера.

    23 апреля 2019 г. 8:36
  • > VPN сервер на чем поднят?

    На Fedora.

    > Маршрут между 32 и 33 подсетью должен быть прописан на маршрутизаторе и на серверах

    Он есть.

    > Также весь трафик идет через vpn-сервер.

    Такая задача не стоит: "... без задействования шлюза корп. сети в виде основного".

    > На удаленном(домашнем) компьютере никаких маршрутов прописывать не нужно.

    Полагаю, если опция "Использовать основной шлюз в удаленной сети" неактивна, то маршрут в локальную сеть прописывать всё-таки нужно?

    На текущий момент резолвинг корпоративных имен происходит через преподчитаемый DNS корпоративной сети (91.215.218.123).
    А резолвинг внешних имен происходит именно через альтернативный - DNS-сервер моего KN-1810 (192.168.1.1).

    А хотелось бы всё гонять через один DNS...

    • Изменено The_Immortal 23 апреля 2019 г. 11:45
    23 апреля 2019 г. 10:50
  • Чтоб весь трафик не шёл через впн, нужно клиенту отключить использование основного шлюза в удалённой сети. Во встроенном в винды клиенте есть такая настройка. Если хочется всё резолвить своим днс, то можно настроить условную пересылку, она позволяет направлять запросы конкретных доменов для разрешения на конкретные DNS-серверы, но мне кажется это извращение, зачем такие сложности, чем плох днс за впн?
    26 апреля 2019 г. 13:23