Re: VPN && routing
Denis S -> debian-russian@lists.debian.org @ Thu, 14 Apr 2005 07:52:46 +0300:
>> А зачем так сложно? У тебя доступ в инет без VPN тоже работает?
DS> Нет без впн инет не работает, у меня много подсетей и у каждого клиента
DS> доступ в инет осуществляется через vpn, а все сервера в том числе и впн
DS> находятся в отдельном сегменте.
В таком случае тебе до подъема VPN дефолтный роутинг вообще не нужен.
Нужен роутинг на сеть серверов и возможно, на каждую из остальных
подсетей отдельно (а может быть, и на все скопом). Тогда опция
defaultroute у pppd будет работать, и при подъеме инета не будет
колбасить роутинг на остальные сети.
DS> А вот еще такой вопрос. Можно ли в сквиде, на шлюзе, сделать такую весч:
DS> когда юзер лезит на ресурсы за пределы сети сквид бы сам поднимал впн а
DS> после того как не один клиент не "лезит" за пределы сети впн опускается?
В сквиде, по-моему, нет. На шлюзе - можно. Да, стоит понимать, что
прежде чем сквид узнает, что клиенту надо за пределы сети, ему нужно
успешно отрезолвить запрошенный клиентом адрес. А для этого надо
поднять VPN для DNS-запроса. Собственно, после этого становится
очевидно, что правильное решение, похоже, одно - опция demand у pppd.
Ну и, соответственно, парная к ней idle. Опционально средствами
файрвола на шлюзе можно сделать так, чтобы прямые запросы с клиента не
маршрутизировались наружу (и соответственно, не поднимали сеть), а
средствами сквида (рекомендуется) - чтобы запросы на www.microsoft.com и
msn.microsoft.com (кажется, так его фамилия) не обслуживались. Ибо если
будут обслуживаться - эксплореры, поставленные по умолчанию, заколебут
сеть поднимать. А вот windowsupdate, скорее всего, стоит оставить, если
локального сервера апдейтов нет. Если есть разработчики под винды -
msdn тоже понадобится.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Вам правду резать или кусочком?
Кнышев
Reply to: