W tym samouczku skonfigurowaliśmy serwer L2TP VPN , wszystko działa jak urok.
Jedynym problemem jest
Nie chcemy, aby klient kierował cały ruch przy użyciu tej sieci VPN, a tylko konkretną podsieć, np. 10.0.0.0/20
Na Macu musimy ręcznie ustawić trasę za pomocą polecenia, ale w przypadku urządzeń mobilnych wydaje się, że nie ma na to sposobu?
Czy można automatycznie skonfigurować klienta dla podsieci „10.0.0.0/20”?
Odpowiedzi:
OK, to pytanie jest zadawane w kółko przez Internet i przez większość czasu istnieje (częściowo) niepoprawna odpowiedź, że nie możesz zrobić tego, co opisano w oryginalnym poście. Pozwól, że wyjaśnię to raz na zawsze :)
Krótka odpowiedź brzmi: L2TP (i PPTP w tym przypadku) nie mają możliwości wykonywania wypychania trasy wewnątrz protokołu, ale można to osiągnąć poza protokołem.
Ponieważ L2TP jest wynalazkiem Microsoft, najlepszym źródłem informacji jest ich dokumentacja techniczna (a przy okazji są w tym całkiem dobrzy). Opis techniczny tego, co wyjaśnię poniżej, można znaleźć w Adresowaniu i routingu VPN . Słowami kluczowymi do prawidłowego skonfigurowania wszystkiego (jeśli zamierzasz przeprowadzić własne badania) są: DHCPINFORM i „bezklasowe trasy statyczne”.
Po pierwsze, jak to działa:
Jest jednak zastrzeżenie:
Opiszę typową konfigurację z wykorzystaniem Linux-a jako serwera VPN (możesz skonfigurować serwery MS, korzystając z łącza do dokumentacji Microsoft).
Aby skonfigurować trasy na klientach, będziemy potrzebować następujących składników:
Poniżej znajduje się zrzut działającej konfiguracji accel-ppp. Podaję w całości, w przeciwnym razie trudno byłoby wytłumaczyć, co się dzieje. Jeśli masz już działającą sieć VPN, możesz pominąć ten plik konfiguracyjny i skoncentrować się na konfiguracji DHCP opisanej poniżej.
W tym momencie nasi klienci mogą łączyć się przez L2TP (lub PPTP) i komunikować się z serwerem VPN. Tak więc jedyną brakującą częścią jest serwer DHCP, który nasłuchuje w utworzonych tunelach i odpowiada niezbędnymi informacjami. Poniżej znajduje się fragment pliku konfiguracyjnego dnsmasq (podaję tylko opcje związane z DHCP):
W powyższym fragmencie wypychamy trasy 192.168.70.0/24, 192.168.75.0/24 i 10.0.0.0/24 przez 192.168.99.254 (serwer VPN).
Wreszcie, jeśli wykryjesz ruch sieciowy (np. Na serwerze VPN), zobaczysz coś w rodzaju odpowiedzi na komunikat DHCPINFORM:
PS Prawie zapomniałem o istotnej części wymaganej do udanego użycia powyższej konfiguracji. Cóż, zostało to opisane w dokumentach Microsoft, o których mówiłem, ale kto czyta dokumentację? :) OK, klienci powinni zostać skonfigurowani bez użycia opcji „Użyj domyślnej bramy” na połączeniu VPN (w systemie Windows jest to we właściwościach połączenia -> Sieć -> Protokół internetowy w wersji 4 (TCP / IPv4) -> Właściwości -> Zaawansowane -> Ustawienia IP ). Na niektórych klientach dostępna jest również opcja o nazwie „Wyłącz dodawanie tras w oparciu o klasy” - należy ją wyłączyć, ponieważ wyraźnie wyłącza funkcję, którą próbujemy wdrożyć.
źródło
Nie sądzę, że możesz przesuwać trasę do klienta w sieci L2TP / IPSEC VPN. Musisz wykonać konfigurację bezpośrednio na kliencie.
Z jakim klientem mobilnym masz problemy? Łatwiej jest podać dane wejściowe, jeśli znamy używany system operacyjny i oprogramowanie.
źródło