Комментарии 29
>имеет более высокий приоритет. (не уверен в правильности фразы про приоритет, может кто-то поправит).
Метрика? >_<
Метрика? >_<
0
Простите, а как пересекаются 192.168.100.0/24 и 192.168.1.0/24?
+3
192.168.100.0/24 — это подсеть для удаленных пользователей, а 192.168.1.0/24 — подсеть для различных внутренних ресурсов.
-2
ну так. Это разные подсети — 24 бита это первых три октета, соответственно 192.168.100.XXX != 192.168.1.XXX
+1
я вот тоже не пойму…
может не /24, а /16?
может не /24, а /16?
0
Проблема была не в том, что совпадает адрес, выдаваемый удаленному пользователю в сети VPN и адрес в домашней сети, а в том, что некоторые ресурсы в рабочей сети были недоступны из-за совпадения их адресов с адресами, входящими в маску домашней сети (192.168.1.0/24).
0
Т.е. по VPN комп (iPad) получает адрес из пространства 192.168.100.0/24, а фактическое пространство удаленной сети — 192.168.1.0/24, как и рабочей; а далее уже шлюз VPN передает пакеты внутрь удаленной сети (как бы, принцип NAT'а)?
+1
Да, в данном случае все именно так.
Но даже если бы комп получал адрес сразу в сети 192.168.1.0/24, действия по выходу из ситуации были бы такими же.
Но даже если бы комп получал адрес сразу в сети 192.168.1.0/24, действия по выходу из ситуации были бы такими же.
0
Хватило ума выбрать для VPN-адресов такой распространенный сегмент. Выбирать надо что-то зубодробительное, типа 10.37.239.0/24. И пихать клиенту маршруты до LAN организации с короткими масками (или вообще, на время сеанса переписывать def. gw на vpn), тогда никаких проблем не будет.
+11
> Выбирать надо что-то зубодробительное, типа 10.37.239.0/24
Меня аж перекосило, зубодробительнее некуда! :)
Меня аж перекосило, зубодробительнее некуда! :)
+2
НЛО прилетело и опубликовало эту надпись здесь
Внутреннюю сеть необязательно переделывать, более того, иногда это просто невозможно. Достаточно просто пушить vpn-пользователю специфичные маршруты до своей сети, в идеале — хостовые (/32) до каждого сервиса, к которому необходим доступ посредством VPN. Тогда трафик гарантированно пойдет куда нужно, даже если будет пересечение по суперсетям.
+1
Вроде 172.16.0.0/12 подходит?
0
IP: 192.168.1.7
MASK: 255.255.255.255
GW: 192.168.1.1
Оно же не должно работать впринципе, или я чего-то не знаю?
MASK: 255.255.255.255
GW: 192.168.1.1
Оно же не должно работать впринципе, или я чего-то не знаю?
0
Если маршруты прописать то будет
0
Топик о том, что маршруты ручками прописать нельзя :)
Возможно, маршрут до шлюза добавляется автоматически на беспроводной интерфейс.
Возможно, маршрут до шлюза добавляется автоматически на беспроводной интерфейс.
0
А еще проще сделать на VPN GW Split tunnel ))) И все будет всегда бегать )
И не факт что будет работать если роуты поменять ручками, ipsec это UPD конекция и если сменить шлюз то сессия должна рухнуть )
И не факт что будет работать если роуты поменять ручками, ipsec это UPD конекция и если сменить шлюз то сессия должна рухнуть )
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
iPad/iPhone в поездке. Совпадение адресов VPN и общественной сети