macforum.cz

Zdravím vespolek ... rád byc se zeptal na nastavení VPN, respektive využívám VPN proti Mikrotiku přes L2PT nad IPSEC, potud je vše OK, vše funguje a není co řešit ... ale potřeboval bych jestli není možné zadat odpovídající příkaz pro routing do vzdálené sítě jen pro konkrétní IP rozsah ... tedy teď jsem ve stavu, že vše plně funguje když zaškrknu volbu: Posílat vše přes připojení VPN, což je fajn, ale zbytečné.

Já bych potřeboval vlastně totéž, ale jen pro konkrétní IP rozsah, tedy vše kromě 10.10.10.0/24 standardně a 10.10.10.0/24 routuj přes VPN. Umím si představit to napsat v řádce, ale jak to automatizovat ve spojení s VPN ?!

Volbu tohoto typu jsem tam nenašel , je tam řeč jen o proxy ... což předpokládám není ono.

Netušíte někdo jak toto řešit, nepoužíváte přístup pomocí VPN ?! Díky za každý nápad ...

Nejde to řešit na straně VPN serveru?
Používám OpenVPN a routování řeším právě na serveru.

NAstavení na straně serveru je již takříkajíc pozdě ... potřebuji aby pakety, které nemají potřebu jít přes VPN tama vůbec nešly. Tedy aby VPN fungovala selektivně, nikoliv celý provoz. Ono to samozřejmě funguje, ale kupříkladu kdybych streamoval video, tak poteče přes firemní síť a VPN, místo napřímo, což je nelogické ...

Tak to mám nastaveno. Na serveru mám dlouhou routovací tabulku, kde je definováno, které všechny sítě se mají naroutovat přes VPN a ostatní jdou mimo.
Plus teda mám ještě na jiném portu další VPN, která přehazuje default route tak, aby šlo přes VPN všechno. To mám pro případy, kdy se připojuji na veřejné wifi sítě.

Jako ono to asi jde vrátit až ze serveru, ale mě přijde logičtější změnit routovací tabulku přímo na stroji, který se připojuje. Tedy default gateway nechat jak je, ale pro požadovaný rozsah prostě přidat statickou routu. Tedy abych vůbec tunelem nemusel pakety nesměřující do sítě za VPN posílat.

Prostě něco jako přidat po spuštění VPN script který provede něco ve smyslu

Tento typ VPN nemá ve specifikaci natlačení route na klienta. Některé servery to tam umí nacpat bokem přes DHCP Inform.

Pokud je to tedy třeba řešit manuálně, použiješ tebou zmíněný příkaz "route add". Při připojení a opojení VPN v macOS navíc lze spustit skript, ve kterém nastavení route můžeš řešit. Dej to Googlu. Najdeš několik článků, které to řeší.

Hmmm, tak to potom opravdu ošetřím scriptem, mě zarazila ta volba "Posílat vše přes připojení VPN", nechápu co posílá když se to neativuje ?!

"Posílat vše přes připojení VPN" znamená, že to z VPN interfacu udělá "defaultní".
Veškerý traffic je pak routován přes VPN.

Tomu rozumím, ale co obráceně ... tedy při nepovolení této možnosti, co bude systém routovat do rozhraní VPN ?!?

Pouze tu síť, ve které VPN interface proti serveru, což právě bývá problém, když extra síť na VPN klienty a servery jsou v jiné.

Zkusím vynutit skriptem přidání routy a mohlo to by být přesně ono ... je fakt ze interní síť za routerem je odlišná od rozsahu kde se potřebuji pohybovat. Vyzkouším jestli pochopím jak napsat odpovídající script

Chceš tohle -> https://gist.github.com/GabLeRoux/c7d4c ... 426613912a
http://hints.macworld.com/article.php?s ... 5025933762

Mel by si mít config ala tento

client
dev tun
proto udp
remote yyyyy
remote xxxxx
resolv-retry infinite
persist-key
persist-tun
pkcs12 "xxxxx"
ns-cert-type server
comp-lzo
verb 4
mute 20
keepalive 10 60
script-security 3

route-nopull

route 172.16.0.0 255.240.0.0
route 192.168.0.0 255.255.0.0


dhcp-option DOMAIN xxx.cz
dhcp-option DNS aaaaa


Sent from my iPad using Tapatalk

To je to, co jsem radil já, a tak to dělat nechce.... Navíc mi to dost přijde jako konfigurák pro OpenVPN, kterou nemá

nakonec se ukázalo nejjednodušší standardní řešení přes /etc/ppp/ip-up a opačně ip-down a tam klasický "route add" a "route del" a samozřejěm vypnout volbu "Posílat vše přes připojení VPN".

Jinak ale plně funguje i ta možnost s použítím "Posílat vše přes připojení VPN", jen se mě příčí veškeré provoz tlačit tunelem a pak vracet zpět ... přijdme mě logičtější do tunelu tlačit jen co tam patří a má smysl.

To záleží na tom, co a kde tlačíš

Já mám třeba pronajatý jeden virtuál, kde mám jenom VPNky (s přesměrováním jenom něčeho, přesměrování komplet a jedna na TCP port 443 pro sítě s omezením). Virtuál je na páteři, takže problémy s rychlostí nemám.

Jednak mám pak vždycky stejnou českou IP adresu. Takže můžu dětem pustit Déčko i u moře. Můžu si nastavit na některé systémy přístupy jenom z této jedné IP adresy.

No a pak (při komplet provozu skrz VPN) se nebojím připojovat na WiFi třeba v KFC. Jestli má někdo u vedlejšího stolu fake AP a připojuji se vlastně na něj, tak analýzou mého provozu moc nezíská.