Nastavení VPN
Moderátoři: MichalM.Mac, zmiy, dandas, AdamVyborny, yonah, Macforum_Admin, Unreed
Nastavení VPN
Zdravím vespolek ... rád byc se zeptal na nastavení VPN, respektive využívám VPN proti Mikrotiku přes L2PT nad IPSEC, potud je vše OK, vše funguje a není co řešit ... ale potřeboval bych jestli není možné zadat odpovídající příkaz pro routing do vzdálené sítě jen pro konkrétní IP rozsah ... tedy teď jsem ve stavu, že vše plně funguje když zaškrknu volbu: Posílat vše přes připojení VPN, což je fajn, ale zbytečné.
Já bych potřeboval vlastně totéž, ale jen pro konkrétní IP rozsah, tedy vše kromě 10.10.10.0/24 standardně a 10.10.10.0/24 routuj přes VPN. Umím si představit to napsat v řádce, ale jak to automatizovat ve spojení s VPN ?!
Volbu tohoto typu jsem tam nenašel , je tam řeč jen o proxy ... což předpokládám není ono.
Netušíte někdo jak toto řešit, nepoužíváte přístup pomocí VPN ?! Díky za každý nápad ...
Já bych potřeboval vlastně totéž, ale jen pro konkrétní IP rozsah, tedy vše kromě 10.10.10.0/24 standardně a 10.10.10.0/24 routuj přes VPN. Umím si představit to napsat v řádce, ale jak to automatizovat ve spojení s VPN ?!
Volbu tohoto typu jsem tam nenašel , je tam řeč jen o proxy ... což předpokládám není ono.
Netušíte někdo jak toto řešit, nepoužíváte přístup pomocí VPN ?! Díky za každý nápad ...
Re: Nastavení VPN
Nejde to řešit na straně VPN serveru?
Používám OpenVPN a routování řeším právě na serveru.
Používám OpenVPN a routování řeším právě na serveru.
Re: Nastavení VPN
NAstavení na straně serveru je již takříkajíc pozdě ... potřebuji aby pakety, které nemají potřebu jít přes VPN tama vůbec nešly. Tedy aby VPN fungovala selektivně, nikoliv celý provoz. Ono to samozřejmě funguje, ale kupříkladu kdybych streamoval video, tak poteče přes firemní síť a VPN, místo napřímo, což je nelogické ...
Re: Nastavení VPN
Tak to mám nastaveno. Na serveru mám dlouhou routovací tabulku, kde je definováno, které všechny sítě se mají naroutovat přes VPN a ostatní jdou mimo.
Plus teda mám ještě na jiném portu další VPN, která přehazuje default route tak, aby šlo přes VPN všechno. To mám pro případy, kdy se připojuji na veřejné wifi sítě.
Plus teda mám ještě na jiném portu další VPN, která přehazuje default route tak, aby šlo přes VPN všechno. To mám pro případy, kdy se připojuji na veřejné wifi sítě.
Re: Nastavení VPN
Jako ono to asi jde vrátit až ze serveru, ale mě přijde logičtější změnit routovací tabulku přímo na stroji, který se připojuje. Tedy default gateway nechat jak je, ale pro požadovaný rozsah prostě přidat statickou routu. Tedy abych vůbec tunelem nemusel pakety nesměřující do sítě za VPN posílat.
Prostě něco jako přidat po spuštění VPN script který provede něco ve smyslu
Prostě něco jako přidat po spuštění VPN script který provede něco ve smyslu
Kód: Vybrat vše
sudo route add -net SIT/16 CIL
- MichalM.Mac
- Příspěvky: 3342
- Registrován: 30 črc 2012 11:03
- Kontaktovat uživatele:
Re: Nastavení VPN
Tento typ VPN nemá ve specifikaci natlačení route na klienta. Některé servery to tam umí nacpat bokem přes DHCP Inform.
Pokud je to tedy třeba řešit manuálně, použiješ tebou zmíněný příkaz "route add". Při připojení a opojení VPN v macOS navíc lze spustit skript, ve kterém nastavení route můžeš řešit. Dej to Googlu. Najdeš několik článků, které to řeší.
Pokud je to tedy třeba řešit manuálně, použiješ tebou zmíněný příkaz "route add". Při připojení a opojení VPN v macOS navíc lze spustit skript, ve kterém nastavení route můžeš řešit. Dej to Googlu. Najdeš několik článků, které to řeší.
Re: Nastavení VPN
Hmmm, tak to potom opravdu ošetřím scriptem, mě zarazila ta volba "Posílat vše přes připojení VPN", nechápu co posílá když se to neativuje ?!
- MichalM.Mac
- Příspěvky: 3342
- Registrován: 30 črc 2012 11:03
- Kontaktovat uživatele:
Re: Nastavení VPN
"Posílat vše přes připojení VPN" znamená, že to z VPN interfacu udělá "defaultní".
Veškerý traffic je pak routován přes VPN.
Veškerý traffic je pak routován přes VPN.
Re: Nastavení VPN
Tomu rozumím, ale co obráceně ... tedy při nepovolení této možnosti, co bude systém routovat do rozhraní VPN ?!?
- MichalM.Mac
- Příspěvky: 3342
- Registrován: 30 črc 2012 11:03
- Kontaktovat uživatele:
Re: Nastavení VPN
Pouze tu síť, ve které VPN interface proti serveru, což právě bývá problém, když extra síť na VPN klienty a servery jsou v jiné.
Re: Nastavení VPN
Zkusím vynutit skriptem přidání routy a mohlo to by být přesně ono ... je fakt ze interní síť za routerem je odlišná od rozsahu kde se potřebuji pohybovat. Vyzkouším jestli pochopím jak napsat odpovídající script
- MichalM.Mac
- Příspěvky: 3342
- Registrován: 30 črc 2012 11:03
- Kontaktovat uživatele:
Re: Nastavení VPN
Mel by si mít config ala tento
client
dev tun
proto udp
remote yyyyy
remote xxxxx
resolv-retry infinite
persist-key
persist-tun
pkcs12 "xxxxx"
ns-cert-type server
comp-lzo
verb 4
mute 20
keepalive 10 60
script-security 3
route-nopull
route 172.16.0.0 255.240.0.0
route 192.168.0.0 255.255.0.0
dhcp-option DOMAIN xxx.cz
dhcp-option DNS aaaaa
Sent from my iPad using Tapatalk
client
dev tun
proto udp
remote yyyyy
remote xxxxx
resolv-retry infinite
persist-key
persist-tun
pkcs12 "xxxxx"
ns-cert-type server
comp-lzo
verb 4
mute 20
keepalive 10 60
script-security 3
route-nopull
route 172.16.0.0 255.240.0.0
route 192.168.0.0 255.255.0.0
dhcp-option DOMAIN xxx.cz
dhcp-option DNS aaaaa
Sent from my iPad using Tapatalk
Re: Nastavení VPN
To je to, co jsem radil já, a tak to dělat nechce.... Navíc mi to dost přijde jako konfigurák pro OpenVPN, kterou nemá
Re: Nastavení VPN
nakonec se ukázalo nejjednodušší standardní řešení přes /etc/ppp/ip-up a opačně ip-down a tam klasický "route add" a "route del" a samozřejěm vypnout volbu "Posílat vše přes připojení VPN".
Jinak ale plně funguje i ta možnost s použítím "Posílat vše přes připojení VPN", jen se mě příčí veškeré provoz tlačit tunelem a pak vracet zpět ... přijdme mě logičtější do tunelu tlačit jen co tam patří a má smysl.
Jinak ale plně funguje i ta možnost s použítím "Posílat vše přes připojení VPN", jen se mě příčí veškeré provoz tlačit tunelem a pak vracet zpět ... přijdme mě logičtější do tunelu tlačit jen co tam patří a má smysl.
Re: Nastavení VPN
To záleží na tom, co a kde tlačíš
Já mám třeba pronajatý jeden virtuál, kde mám jenom VPNky (s přesměrováním jenom něčeho, přesměrování komplet a jedna na TCP port 443 pro sítě s omezením). Virtuál je na páteři, takže problémy s rychlostí nemám.
Jednak mám pak vždycky stejnou českou IP adresu. Takže můžu dětem pustit Déčko i u moře. Můžu si nastavit na některé systémy přístupy jenom z této jedné IP adresy.
No a pak (při komplet provozu skrz VPN) se nebojím připojovat na WiFi třeba v KFC. Jestli má někdo u vedlejšího stolu fake AP a připojuji se vlastně na něj, tak analýzou mého provozu moc nezíská.
Já mám třeba pronajatý jeden virtuál, kde mám jenom VPNky (s přesměrováním jenom něčeho, přesměrování komplet a jedna na TCP port 443 pro sítě s omezením). Virtuál je na páteři, takže problémy s rychlostí nemám.
Jednak mám pak vždycky stejnou českou IP adresu. Takže můžu dětem pustit Déčko i u moře. Můžu si nastavit na některé systémy přístupy jenom z této jedné IP adresy.
No a pak (při komplet provozu skrz VPN) se nebojím připojovat na WiFi třeba v KFC. Jestli má někdo u vedlejšího stolu fake AP a připojuji se vlastně na něj, tak analýzou mého provozu moc nezíská.