Mac OS X 10.8 VPN Server: LAN trafiği için VPN'yi atlama (LAN trafiğini ikincil bağlantıya yönlendirme)


10

OS X Mountain Lion'lu bir VPN sunucusu için biraz garip bir kurulum var. Esasen şirketimin güvenlik duvarını extranet bağlantımıza atlamak için bir köprü olarak kullanılıyor - ekibimizin yapması gereken bazı şeyler dışarıya kesintisiz erişim gerektiriyor ve ana güvenlik duvarı üzerinden trafiğe izin vermek için BT politikalarını değiştirmek sadece bir seçenek değil.

Extranet bağlantısı bir Wireless-N yönlendirici aracılığıyla sağlanır (buna Wi-Fi X diyelim). Mac Mini sunucum, birincil yönlendirici olarak bu yönlendiriciye bağlantı ile yapılandırılmış, böylece yönlendirici üzerinden internete kesintisiz erişim. Bu aygıtla hemen alt ağda bağlantı LAN bağlantı noktası üzerinden yapılabilir, ancak alt ağın dışındaki şeyler daha az güvenilirdir.

VPN sunucusunu, hem PPTP hem de L2TP kullanarak 192.168.11.150-192.168.11.200 aralığındaki istemcilere IP adresleri sağlayacak şekilde yapılandırabildim ve standart Mac OS X VPN kullanarak VPN aracılığıyla extranete bağlanabildim Sistem Tercihleri'ndeki istemci, ancak şaşırtıcı olmayan bir şekilde, yerel bir adres (buna internal.company.com diyelim) hiçbir şey döndürmez.

VPN ayarlarında Rotalar kurarak VPN Sunucusunun sınırlamasını atlamaya çalıştım. Şirketimiz 10.xxx yerine tüm dahili trafik için 13.xxx kullanmaktadır, bu nedenle yönlendirme tablosu şöyle görünmektedir:

IP Address ---------- Subnet Mask ---------- Configuration
0.0.0.0               248.0.0.0              Private
8.0.0.0               252.0.0.0              Private
12.0.0.0              255.0.0.0              Private
13.0.0.0              255.0.0.0              Public
14.0.0.0              254.0.0.0              Private
16.0.0.0              240.0.0.0              Private
32.0.0.0              224.0.0.0              Private
64.0.0.0              192.0.0.0              Private
128.0.0.0             128.0.0.0              Private

Buraya hiçbir şey girilmezse, tüm trafiğin VPN üzerinden yönlendirildiği izlenimindeydim. Bir şey girildiğinde, yalnızca VPN üzerinden gitmek için özel olarak işaretlenmiş trafik VPN'den geçecek ve diğer tüm trafik istemciye kendi varsayılan bağlantısını kullanarak erişebilir. Bu nedenle özellikle 13.xxx dışındaki her alt ağı Özel olarak işaretlemek zorunda kaldım.

Şüphem, VPN sunucusuna yerel alt ağın dışından erişemediğimden, ana DNS sunucusuyla bağlantı kurmaması ve bu nedenle daha büyük ağda erişilememesi. Internal.company.com gibi ana bilgisayar adlarının girilmesinin istemciye geri dönmediğini düşünüyorum, çünkü sunucunun IP adresinin genel aralıkta olduğunu bilmediğinden şüpheleniyorum (muhtemelen ping testi yapmalı ama şu an erişim sağlayamaz), söz konusu ana makine adı hakkında hiçbir şey bulamadığı için DNS sunucusuna erişemez.

Bana öyle geliyor ki, tüm bunları çözüme kavuşturmak için kullanabileceğim tüm seçenekler aynı tür bir çözüme dayanıyor:

Sunucudaki ikincil bağlantıyla DNS'ye nasıl erişileceğini öğrenin. Sunucumu yerel ağ geçidimi de kontrol etmesi gerektiğini bilmek için [bir şey] yapabiliyorum (diyelim ki Sunucu IP == 13.100.100.50 ve Ağ Geçidi IP == 13.100.100.1). Oradan Ağ Geçidi IP'si 13.1.1.1'de DNS Sunucusu bulmamı ve iç ağım hakkında bilgi vermemi söyleyebilir. Bu yol hakkında çok kafam karıştı - mantıklı olup olmadığımdan gerçekten emin değilim.

Bu istemci tarafını yapmaya çalışmayı düşündüm, ama bu da mantıklı değil, çünkü bu her bir istemci tarafı kurulumuna zaman ekleyecektir. Ayrıca, sunucuda çözmek daha mantıklı görünüyor - Yönlendirme masamdan tamamen kurtulabilirim ya da saklayabilirim - Tek fark, iç trafiğin sunucudan da geçmesi olurdu - muhtemelen gereksiz bir yük o.

Orada herhangi bir yardım var mı? Yoksa kafamın üstündeyim mi? Ileri proxy ya da saydam proxy de benim için bir seçenek olsa da, bunlardan birini ayarlamak için hiçbir fikrim yok. (Biliyorum, Google benim arkadaşım.)


belki bu diğer yazı yardımcı olabilir: superuser.com/questions/453766/…
Lorenzo Von Matterhorn

Yanıtlar:


2

Bunu deniyorum:

Sadece bazı trafik almak için emin değilim Ben sorunu çözebilirim, ama kurulum biraz değişmesi gerekir. Mac'inizin iki ağ arayüzü olduğunu varsayıyorum, onlara eth0 ve eth1 diyelim :-)

eth0'ın iş ağınıza bağlı olduğunu ve dahili (iş ağı) adresi 13.1.1.6, alt ağ 255.0.0.0 olduğunu varsayacağız.

eth1'in WiFi X'inize bağlı olduğunu ve işleri basit tutmak için 192.168.1.10 alt ağı 255.0.0.0 olan bir adrese (eth1 <---> WiFi X ağı) sahip olduğunu varsayacağız.

BSD ve Linux üzerinde VPN sunucuları kurdum, ancak Mac'i kurmadım, ancak konsept hala aynı olacak, seçenekleriniz var, bir tane listeleyeceğim:

1) Mac'teki yönlendirme tablosunun aşağıdaki gibi bir girişi olduğundan emin olun:

$>sudo route add 13.0.0.0/8 eth0

Bunun yapacağı şey, şirketinizin ağı (13 ağı) için WiFi X veya VPN arayüzü üzerinden gelen herhangi bir trafiğin bunu yapmasını sağlamaktır. Bu olmadan, Mac'in (köprüyü sağlayan) gerçekten iki arayüz arasındaki trafiği nasıl yönlendireceğini bilmenin bir yolu yoktur ve varsayılan olarak, belirttiğiniz WiFi X olan varsayılan arayüzden göndermeye çalışır.

Yukarıdaki VPN yönlendirme tablosuna yaptıklarınızı geri alırdım ve eğer (umarım) zaten orada değilse bunu deneyin.

Yukarıdakiler bunu yapmazsa, lütfen VPN Sunucunuzun yönlendirme tablosu ve ip adres listesiyle güncelleyin veya karşılaştığınız herhangi bir düzeltmeyle güncelleyin. Umarım bu sizi doğru yöne yönlendirir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.