pfsense, opnenvpn маршрутизация между 2-я одинаковыми сетями
-
Здравствуйте, уважаемые эксперты pfsense и не очень эксперты.
ситуация:
сеть сотрудника______________шлюз openvpn____________внутренняя сеть предприятия
192.168.0.0/24_____________________1.2.3.4>--------------->192.168.0.0/24
______________10.0.0.2--------->10.0.0.1->/
_________vpn адресЕсть ли инструменты для доступа клиента в сеть предприятия без изменения настроек сети (смена подсети на предприятии(чего делать совсем не хочется) или смена подсети у сотрудника(что тоже не желательно))?
-
@shlavabit Лучше поменять сеть у сотрудника.
Иначе как будет работать маршрутизация? -
Добрый.
смена подсети на предприятии(чего делать совсем не хочется) или смена подсети у сотрудника(что тоже не желательно))?
Вариант увольнения человека, ответственного за ТАКУЮ адресацию в сети рассматривается?
Зы. Оч. надеюсь, что "инициатором" такой адресации были не Вы.@Kowex
https://forum.netgate.com/topic/153740/маршрутизация-клиента-openvpn-в-две-сети-ipsec/43за использование ТАКОЙ адресации в сети ПРЕДПРИЯТИЯ(-Й) нужно уволнять за профнепригодность
Ну это ваше личное мнение с которым вы можете выступать только у себя на предприятии.
Вот вам пример, дружище. Расскажите теперь про "личное мнение" ТС-у. Что посоветуете?
-
Пробовать режим TAP, тогда маршрутизации, как таковой не будет. ну и озаботиться тем, чтобы клиент получал уникальный IP.
Альтернативный вариант, если ооочень и быстро нужно решить вопрос- парой кликов на поднять внутри сети небезопасный PPTP VPN на любой Windows-машине, пробросив на нее в pfSense порты TCP:1723 и GRE
Если у сотрудника Windows - встроенный VPN-клиент все равно должен будет работать, несмотря на совпадение локальной и удаленной сетей. На клиенте не забыть выключить
"использовать основной шлюз в удаленной сети"Ну а самое правильное - все же смена адресации. Если сотрудник работает из дому и не имеет в своей сети всяких NAS, умных устройств и т.д. он и не заметит разницы.
-
@werter если я Вас правильно понял, то увольнять нужно всех кто в локальной сети предприятия выбрал подсеть 192.168.0.0/24 ?
Даже если это так (и почти всех админов с которыми я сталкивался по работе нужно уволить) то Ваш ответ не помог )))Вот вам пример, дружище. Расскажите теперь про "личное мнение" ТС-у. Что посоветуете?
И глупый вопрос кто такой "ТС" ?
-
@shlavabit said in pfsense, opnenvpn маршрутизация между 2-я одинаковыми сетями:
ТС
Topic Starter.
@shlavabit said in pfsense, opnenvpn маршрутизация между 2-я одинаковыми сетями:
и почти всех админов с которыми я сталкивался по работе нужно уволить
Сейчас актуальность VPN чрезвычайно высока. И 192.168 у сотрудников дома - реальная проблема. Проблема это и при соединении офисов через VPN. Тоже знаю много (причем - достаточно квалифицированных) админов с сетями офисов 192.168 и, поверьте, они страдают из-за такой нумерации сетей подобно вам.
-
@pigbrother у сотрудников прям сеть, т.е. несколько хостов должны ходить в сеть предприятия? Есть это single host, то используйте OpenVPN, с отдельной сеткой в Tunnel Network, которая ни с кем не пересекается
-
-
Даже если это так (и почти всех админов с которыми я сталкивался по работе нужно уволить)
Все верно. За такой "подход" к работе - "даувай, до свидания".
Вы же с сам с этим столкнулись. Или будете теперь каждому, кто подключается извне и имеет ip-адрес из 192.168.0.0/y перенастраивать оборудование? А как быть с кафе, гостиницами и т.д.?
Вам ПРИЙДЕТСЯ изменить адресацию в сети своего предприятия. И передать "привет" друзъям-"одминам", разъяснив как ненадо делать на личном примере.
@pigbrother
Если ТС не внемлет таким "рассуждениям", то точно будет бит канделябром. -
После "исследования" проблемы, какого-то стандартного инструмента (какого-нибудь суперната который бы натировал все и всех) не обнаружили, но в итоге квази-соломоново решение нашлось.
Определились 2-е группы подключаемых :- те кто будут подключаться к виртуальному рабочему месту.
- те кто вынужден забрать комп с предприятия домой (в виду того, что другие члены их семей уже давно на удаленке и свободных мест дома не оказалось).
для первых - на виртуальных рабочих местах создаются виртуальные ip доступные для vpn сети;
для вторых (с рабочим комп-ом) - после установки vpn соединения им пробрасываются маршруты до нужных сетей предприятия (аналог виндовой команды выглядит так: route add 192.168.0.0 mask 255.255.255.0 10.0.0.1).для первых (с виртуальным рабочим местом) все работает прекрасно.
для вторых (с комп-ом дома) пропадают домашние сервисы вроде хранилища с музыкой, фильмами (такие вообще интересно еще сохранились ?), но на работу сотрудника это не повлияет. ))А увольнять кого-то, несмотря на настойчивые предложения некоторых уважаемых форумчан
Все верно. За такой "подход" к работе - "даувай, до свидания".
я бы не стал.
Я за работу над ошибками, профессиональный рост и как следствие рост личностный )))))).Всем большое спасибо, считаю тему закрытой.