Misak
ну если умеешь ...
Misak
хотя у меня с 2002-го no ip redirects рефлекс
Andrey
Я вот не сетевик не разу. Можно немного ликбеза?
Есть локалка, допустим на добрую сотню серверов. У них у всех просто есть дефолтный гейтвей. И все они в 10.0.0.0/16.
И все это клево работает. Но приходит момент когда встаёт необходимость поставить VPN и пустить юзеров.
VPN нет возможности поставить на дефолтной гейтвее. Ставим на ещё одном серваке в той же сети.
Юзерам VPN выдаётся сетка например 10.5.0.0/16. Особенность в том что требуется видеть на серваках их «реальные» IP из vpn сети.
Я вижу 2 варианта:
1) Icmp redirect. Т.е на VPN серваке просто включается форвардинг и ответы от серверов идут по редиректу.
2) Каким то образом прописать маршрут на всех сераваках до VPN подсети via сервер VPN.
Вопрос первый, как правильнее?
Судя по тому что вроде как icmp redirect зло, то правильнее второй вариант.
Отсюда второй вопрос, как разливать маршруты? Не ставить же на все серваки ospf?
Мне приходила в голову идея, раздавать маршруты через dhcp, но показалось что они не удаляются потом если я их убрал из списка на dhcp.
Илья
это называется кривой дизайн
Kirilka
1) ставить ВэПээН за дефолтгейтвеем
Илья
д
Andrey
1) ставить ВэПээН за дефолтгейтвеем
Как это?
Гейтвей стоит на границе между локалкой и интернетом.
Kirilka
2) (кривой дизайн) - сделать на гейтвее маршрут до впн.
и трафик от серверов будет ходить - сервер-дефгв-впн
а обратно - впн-сервер
Kirilka
Как это?
Гейтвей стоит на границе между локалкой и интернетом.
сделать третий интерфейс на гейтвее, не ?
Andrey
2) (кривой дизайн) - сделать на гейтвее маршрут до впн.
и трафик от серверов будет ходить - сервер-дефгв-впн
а обратно - впн-сервер
Вот да, первый вариант реализации это и предусматривал.
Demetrius
ну да 4 раза через один гв будет ходит что поделаешь
Demetrius
-)
Илья
а че там, виртуалки?
Pavel
у России ИТ рынок больше польского?
Тегните кто-нибудь Семеняку (не знаю, почему он у меня здесь не тегается). Он мне на днях говорил, что польский рынок ну совсем немного меньше российского
Pavel
(Был до прошлой недели)
Илья
ну поднять еще одну виртуалку
Илья
которая будет впн терминировать
Илья
и с нее ротинг до гв
Илья
в отдельном влане
Andrey
т.е. будет все равно весь траф бегать через дефолт гв?
Илья
конечно
Илья
и там можно организовать сесурити
Илья
а иначе это адок
Andrey
Я правильно понимаю что если нужно вообще убрать траф VPN'щиков с дефолта, то без прямых маршрутов до VPN сервера не обойтись?
Илья
по крайней мере это решение будет иметь перспективы на развитие
Илья
зачем его надо убирать с дефолта
Илья
это же впн
Илья
там нет гигабит iscsi трафика
Илья
а вопросы сесурити, развития и масштабирования на хую провернуть, это дорого стоит
Andrey
просто потенциально там может быть достаточно много трафа. У VPN сервера есть свой отдельный выход в интернеты. А на гейтвее всего гигабит в локалку и сотка наружу.
Илья
впн сервер со своим выходом в инет и все это в одном л2
Илья
роутеры придумали трусы
Kirill
а зачем? впн гейт всё равно будет один интерфейсом в 10.5.0.0/16
Илья
только л2, только хардкор
Kirill
а, сори, упустил
Kirill
это не деф гейт
Kirill
ну через DHCP раздать в 10.0.0.0/16 статик роут в 10.5.0.0/24
Kirill
или на существующем DG сделать pbr
Andrey
ну через DHCP раздать в 10.0.0.0/16 статик роут в 10.5.0.0/24
Вот вопрос. А когда я уберу его по какой то причине из списка раздачи. Он уйдет с серваков?
Kirill
для DHCP 249\121 опция вполне
Kirill
да, через 1\2 времени аренды
Andrey
Тююююю, да это же все сильно упрощает
Kirill
потому что через 1\2 времени аренды dhcp клиент должен постучать в dhcp сервер на предмет "а есть чо?"
Kirill
соот-но время аренды в 10 минут и погнали
Kirill
и для всего остального
Kirill
это опция DHCP
Kirill
но новый винды - 249
Kirill
для ведра и прочего легаси -121
Kirill
но там главное не наебаться в расчёте
Kirill
ищи примеры
Kirill
впрочем, вёдра игнорят 121\249
Kirill
посему вафли в отдельный влан
Andrey
нене, у меня linux only
Vladislav
249 - более ранняя (и не полная) MS реализация 121
Vladislav
121 по rfc, у MS 249. в 121 может быть дефолт 0.0.0.0, в 249 нет. формат идентичен
Kirill
да, норм опция 121
Kirill
извините
Kirill
249 это легаси
Kirill
мс дхцп тоже в 249 умеет
Kirill
нонче ;)
Kirill
раньше не умело
Vladislav
да как бы нет, живет своей параллельной жизнью на ms клиентах/серверах
Vladislav
последние лет 10
Kirill
у меня сейчас через 121 раздаётся на ура
Kirill
игнорят только вёдра
Kirill
и ХРюши
Kirill
но хрюши я закопал
Kirill
а что там с линями мне неведомо, к счастью
Vladislav
Vladislav
win10 запрашивает и то и другое. более ранние винды 121 не умели
Kirill
121 вин7 умеет
Kirill
и 2008р2 соот-но
Kirill
а вот более ранние - да. там сиди считай 249
Vladislav
не win7 не умела раньше, инфа сотка. допатчили значит