On Tue, Jan 15, 2008 at 08:14:28PM +0300, Oleg Frolkov wrote: > Или выделить пул реальных IP и раздавать vpn серверам для фиктивных > интерфейсов? > Моим аргументом является то что выделенный мною белый ip не может пересечься > ни с чьей внутренней сетью, если-же я буду выдавать что-то типа 10.0.0.1 > то теоретически > в какой-то конфигурации я из чужой сети с роутером имеющим тот-же адрес > не смогу > соединиться со своим VPN сервером. Любой придуманный экзотический ip из > серой сети > может применяться где-то еще,
Да, это проблема, и принципиально неразрешимая с IPv4. Но практически она решается уходом с начала адресного диапазона куда-то вглубь, где вероятность пересечься с другой организацией ничтожно мала. Принципиальные проблемы существуют. Даже в винде, сюрприз. Вот яркий пример: винда считает список dns'ов параметром интерфейса, если на ней поднять vpn, то возникнет новый туннельный интерфейс, на котором можно прописать свои dns'ы. В случае pptp, и для цисковких клиентов, и для openvpn, и для некоторых других vpn-нов сервер умеет список dns'ов оправить клиенту, а винда умеет их принять и прописать. А теперь, внимание, вопрос. Какой dns будет использоваться? Вопрос не праздный, потому что домен "lan.company.tld", может быть не виден из интернета, и если спросить сначала интернетовский dns, то резолвер получит NXdomain и дальше искать НЕ ПОЙДЁТ. Как быть? Ставить приоритетным тот dns, который на туннельном интерфейсе? Ага, так поступают многие vpn-клиенты, причём это обычно никак не регулируется. Но теперь надо вспомнить, что у нас есть не только та локалка, которая доступна через vpn, но и "своя", в которую торчит физический интерфейс. И в "своей" локалке тоже может быть свой локальный dns, очень-очень нужный для локальной почты, web-прокси и ещё тыщи вещей. Винда этот вопрос решить не может, точнее, костылей для него в винде пока нет. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
