Не понимаю, чем вам так мешает маска /30. И почему Вы поэтому поводу готовы на спор тратить столько времени. Это не принципиально для сабжа.
В вашем случае OpenVPN будет брать адреса из диапазона 10.8.1.1-2, к серверу могут быть еще подключения. Как поведет себя OpenVPN при исчерпании это пула адресов я не знаю.
Еще раз повторюсь, задача стоит соединить сеть, не трогая пользовательские машины, которые на статике. Если Вам угодно — это приказ начальства. Он не обсуждается, как и само начальство.
Если доступны машины для изменения типа адресации, то можно добраться до каждой машины сети, если конечно они не замурованы с бункере и на них не стоит экзотическая ОС. Но в таком случае сабжевой проблемы не возникнет.
Ваш вариант предполагает усложнить маршрутизацию и значительно повысить нагрузку на оборудование (коммутаторы L2 неуправляемые), это либо передавать весь сетевой трафик через шлюз. Либо прописать пути до каждой машины на каждой машине.
Давайте без предплоложений, как поступить если условия были бы другие.
Я довольно смутно могу представить реализацию того, что Вы предложили. Тем более она не для данного конкретного случая. Но мне интересно увидеть статью по этому поводу или хотя бы ссылки.
Не называйте себя так.
Вы ping'анете LAN1, если такой машины нет, то пакет никуда не уйдет. Если Вы ping'анете 10.8.1.111, то он из LAN1 уйдет в LAN2 и pong'анется обратно, если там есть машина 192.168.0.111. Для каждой сети существует только своя сеть с адресом 192.168.0.0/24.
Маска выдается OpenVPN-cервером из конфигурационного файла. Маска /30 в данном случае не подойдет, клиентов у VPN-сервера может быть больше, чем позволяет маска /30. Надо или не надо — зависит от обстоятельств.
Если можете продемонстрировать что-то более простое с тем же результатом, то очень хотелось бы увидеть. (Без сарказма, мне интересны и другие пути решения задачи.)
Честно скажу, что схему рисовал в первый раз в жизни, для чего пришлось осваивать Dia. С ГОСТовскими стандартами не знаком. Но вроде все наглядно.
Согласен по поводу маски, для класса сети типа А маска должна быть 8. Но тут бесклассовая адресация (CIDR). Не вижу смысла использовать весь диапазон, когда он может пригодиться для иных целей, например для других конфигураций VPN-сервера.
Да и по сути, я сильно конфиг OpenVPN не менял, такую маску поставили разработчики по умолчанию. Можете у них узнать.
Тоже вариант, расшарить батник с подобным содержимым. netsh interface ip set address name="Подключение по локальной сети" source=dhcp
Жаль, что в виндовых клиентах по умолчанию нет никакого шелла, можно было бы все автоматизировать и не париться.
DNS в LAN1 можно попробовать настроить как подчиненный для зоны мастер-серевера из LAN2 c view, хотя я не знаю, предоставляет ли такие возможности администратору DNS Windows Server'а. Но наличие AD предполагает возможность централизованной смены IP-адресов через DHCP, и описанной проблемы не возникнет. А там деревья, леса и прочие особенности.
Я давно не претендую на адекватность своих действий. Но все же хотелось бы узнать, почему подход неправильный? Как применять DHCP, если в условиях задачи явно указано, что нет возможности менять адреса? Вы ведь тоже предлагаете NAT с обеих сторон с кучей манипуляций, когда это решение в несколько команд без установки дополнительного ПО.
Идея хорошая, что-то вроде DNS-proxy, но подобных решений не встречал. Вы можете быть первым.
Простейший вариант — запустить DNS-сервер на VPN-сервере с измененными копиями зонных файлов с главного DNS-сервера подсети.
Почему что-то должно произойти? И в этом как раз и прелесть NETMAP'а.
Без него можно просто указать в роутах нужные машины, типа:
ip route add 192.168.0.x/32 via <адрес шлюза>
И вот тут как раз Ваш вопрос будет актуален, если будут совпадающие ip.
В вашем случае OpenVPN будет брать адреса из диапазона 10.8.1.1-2, к серверу могут быть еще подключения. Как поведет себя OpenVPN при исчерпании это пула адресов я не знаю.
Еще раз повторюсь, задача стоит соединить сеть, не трогая пользовательские машины, которые на статике. Если Вам угодно — это приказ начальства. Он не обсуждается, как и само начальство.
Если доступны машины для изменения типа адресации, то можно добраться до каждой машины сети, если конечно они не замурованы с бункере и на них не стоит экзотическая ОС. Но в таком случае сабжевой проблемы не возникнет.
Ваш вариант предполагает усложнить маршрутизацию и значительно повысить нагрузку на оборудование (коммутаторы L2 неуправляемые), это либо передавать весь сетевой трафик через шлюз. Либо прописать пути до каждой машины на каждой машине.
Давайте без предплоложений, как поступить если условия были бы другие.
Я довольно смутно могу представить реализацию того, что Вы предложили. Тем более она не для данного конкретного случая. Но мне интересно увидеть статью по этому поводу или хотя бы ссылки.
Вы ping'анете LAN1, если такой машины нет, то пакет никуда не уйдет. Если Вы ping'анете 10.8.1.111, то он из LAN1 уйдет в LAN2 и pong'анется обратно, если там есть машина 192.168.0.111. Для каждой сети существует только своя сеть с адресом 192.168.0.0/24.
Честно скажу, что схему рисовал в первый раз в жизни, для чего пришлось осваивать Dia. С ГОСТовскими стандартами не знаком. Но вроде все наглядно.
Согласен по поводу маски, для класса сети типа А маска должна быть 8. Но тут бесклассовая адресация (CIDR). Не вижу смысла использовать весь диапазон, когда он может пригодиться для иных целей, например для других конфигураций VPN-сервера.
Да и по сути, я сильно конфиг OpenVPN не менял, такую маску поставили разработчики по умолчанию. Можете у них узнать.
netsh interface ip set address name="Подключение по локальной сети" source=dhcpЖаль, что в виндовых клиентах по умолчанию нет никакого шелла, можно было бы все автоматизировать и не париться.
Простейший вариант — запустить DNS-сервер на VPN-сервере с измененными копиями зонных файлов с главного DNS-сервера подсети.
Без него можно просто указать в роутах нужные машины, типа:
ip route add 192.168.0.x/32 via <адрес шлюза>
И вот тут как раз Ваш вопрос будет актуален, если будут совпадающие ip.