OS X Mountain Lion'lu bir VPN sunucusu için biraz garip bir kurulum var. Esasen şirketimin güvenlik duvarını extranet bağlantımıza atlamak için bir köprü olarak kullanılıyor - ekibimizin yapması gereken bazı şeyler dışarıya kesintisiz erişim gerektiriyor ve ana güvenlik duvarı üzerinden trafiğe izin vermek için BT politikalarını değiştirmek sadece bir seçenek değil.
Extranet bağlantısı bir Wireless-N yönlendirici aracılığıyla sağlanır (buna Wi-Fi X diyelim). Mac Mini sunucum, birincil yönlendirici olarak bu yönlendiriciye bağlantı ile yapılandırılmış, böylece yönlendirici üzerinden internete kesintisiz erişim. Bu aygıtla hemen alt ağda bağlantı LAN bağlantı noktası üzerinden yapılabilir, ancak alt ağın dışındaki şeyler daha az güvenilirdir.
VPN sunucusunu, hem PPTP hem de L2TP kullanarak 192.168.11.150-192.168.11.200 aralığındaki istemcilere IP adresleri sağlayacak şekilde yapılandırabildim ve standart Mac OS X VPN kullanarak VPN aracılığıyla extranete bağlanabildim Sistem Tercihleri'ndeki istemci, ancak şaşırtıcı olmayan bir şekilde, yerel bir adres (buna internal.company.com diyelim) hiçbir şey döndürmez.
VPN ayarlarında Rotalar kurarak VPN Sunucusunun sınırlamasını atlamaya çalıştım. Şirketimiz 10.xxx yerine tüm dahili trafik için 13.xxx kullanmaktadır, bu nedenle yönlendirme tablosu şöyle görünmektedir:
IP Address ---------- Subnet Mask ---------- Configuration
0.0.0.0 248.0.0.0 Private
8.0.0.0 252.0.0.0 Private
12.0.0.0 255.0.0.0 Private
13.0.0.0 255.0.0.0 Public
14.0.0.0 254.0.0.0 Private
16.0.0.0 240.0.0.0 Private
32.0.0.0 224.0.0.0 Private
64.0.0.0 192.0.0.0 Private
128.0.0.0 128.0.0.0 Private
Buraya hiçbir şey girilmezse, tüm trafiğin VPN üzerinden yönlendirildiği izlenimindeydim. Bir şey girildiğinde, yalnızca VPN üzerinden gitmek için özel olarak işaretlenmiş trafik VPN'den geçecek ve diğer tüm trafik istemciye kendi varsayılan bağlantısını kullanarak erişebilir. Bu nedenle özellikle 13.xxx dışındaki her alt ağı Özel olarak işaretlemek zorunda kaldım.
Şüphem, VPN sunucusuna yerel alt ağın dışından erişemediğimden, ana DNS sunucusuyla bağlantı kurmaması ve bu nedenle daha büyük ağda erişilememesi. Internal.company.com gibi ana bilgisayar adlarının girilmesinin istemciye geri dönmediğini düşünüyorum, çünkü sunucunun IP adresinin genel aralıkta olduğunu bilmediğinden şüpheleniyorum (muhtemelen ping testi yapmalı ama şu an erişim sağlayamaz), söz konusu ana makine adı hakkında hiçbir şey bulamadığı için DNS sunucusuna erişemez.
Bana öyle geliyor ki, tüm bunları çözüme kavuşturmak için kullanabileceğim tüm seçenekler aynı tür bir çözüme dayanıyor:
Sunucudaki ikincil bağlantıyla DNS'ye nasıl erişileceğini öğrenin. Sunucumu yerel ağ geçidimi de kontrol etmesi gerektiğini bilmek için [bir şey] yapabiliyorum (diyelim ki Sunucu IP == 13.100.100.50 ve Ağ Geçidi IP == 13.100.100.1). Oradan Ağ Geçidi IP'si 13.1.1.1'de DNS Sunucusu bulmamı ve iç ağım hakkında bilgi vermemi söyleyebilir. Bu yol hakkında çok kafam karıştı - mantıklı olup olmadığımdan gerçekten emin değilim.
Bu istemci tarafını yapmaya çalışmayı düşündüm, ama bu da mantıklı değil, çünkü bu her bir istemci tarafı kurulumuna zaman ekleyecektir. Ayrıca, sunucuda çözmek daha mantıklı görünüyor - Yönlendirme masamdan tamamen kurtulabilirim ya da saklayabilirim - Tek fark, iç trafiğin sunucudan da geçmesi olurdu - muhtemelen gereksiz bir yük o.
Orada herhangi bir yardım var mı? Yoksa kafamın üstündeyim mi? Ileri proxy ya da saydam proxy de benim için bir seçenek olsa da, bunlardan birini ayarlamak için hiçbir fikrim yok. (Biliyorum, Google benim arkadaşım.)