IPSec VPN маршрутизируемые локальные сети

354
BoomBoomPowe

Недавно я перешел с домашнего OpenVPN на домашний Cisco (XAuth) IPSec VPN для большей совместимости. Однако я не нашел документации по «проталкиванию» маршрутов от сервера IPSec к клиентам. В OpenVPN это довольно просто, просто добавьте push "route 10.10.10.0 255.255.255.0"в конфигурацию, чтобы маршрутизировать клиентов в подсеть 10.10.10.0/24через сервер. Однако настройки Cisco IPSec VPN сильно отличаются, и я не могу понять, как это сделать. Чтобы уточнить, вот что теперь видит клиент в VPN:

+--------------+ +--------+ +--------------+ | Client #1 |--------------| Server |----------------| Client #2 | | 198.51.100.2 | +--------+ | 198.51.100.3 | +--------------+ +--------------+

Но я хочу, чтобы это выглядело примерно так:

 +---------------+ +-------------+ | Device on | | Device on | +----| LAN #2 | | LAN #1 | | | 192.168.0.100 | | 192.168.0.3 |-------------+ +---------------+ +-------------+ |  +--------------+ +--------+ +--------------+ | Client #1 |--------------| Server |----------------| Client #2 | | 198.51.100.2 | +--------+ | 198.51.100.3 | +--------------+ +--------------+

Таким образом, если, например, на устройстве в локальной сети № 2 запущен веб-сервер, клиент, подключенный к VPN, может ввести http://192.168.0.100/веб-браузер, и он подключится. Если на клиенте № 1 также запущен веб-сервер, устройство через локальную сеть также может подключиться к нему http://198.51.100.2/. Также клиенты VPN могут пинговать друг друга и устройства в локальной сети. Спасибо!

ПРИМЕЧАНИЕ. Я НЕ использую L2TP / IPSec, я использую Cisco IPSec / Xauth: Настройки VPN Mac OS X [! [] [1]

РЕДАКТИРОВАТЬ: я тестировал вручную добавление маршрута на клиенте, и это работает, так что это просто вопрос сервера, говорящего клиенту, чтобы добавить такой маршрут.

Например, для маршрутизации подсети 192.168.0.0/24 через шлюз 198.51.100.1 выполните эту команду в Mac OS X:

sudo route -n add -net 192.168.0.0/24 198.51.100.1

и эта команда:

sudo route add -net 192.168.0.0/24 gw 198.51.100.1

в линуксе

0
Что такое «клиентское» программное обеспечение? Вы просто устанавливаете соединение IPSec или используете что-то вроде Cisco Anyconnect? Я предполагаю, что вы использовали клиент OpenVPN ранее? Я почти уверен, что без протоколов маршрутизации невозможно протолкнуть маршруты через соединение L2TP / IPSec. Это возможность, которая не существует, но может быть реализована конкретным клиентом или протоколом маршрутизации, если они добавлены. Appleoddity 7 лет назад 0
О, я не использую L2TP, я использую "Cisco IPSec", как показано в отредактированном посте. Клиент, который я использую, - это встроенное VPN-соединение из сетевых настроек Mac OS X. Я перешел с OpenVPN на Cisco IPSec, чтобы избежать необходимости в дополнительном программном обеспечении. BoomBoomPowe 7 лет назад 0
Я ценю нежелание использовать стороннее программное обеспечение. Я вполне уверен, что протокол IPSec не предусматривает проталкивание маршрутов. Это реализовано проприетарным способом между сервером и клиентом, как в OpenVPN. Помимо использования статических маршрутов в каждой системе, вы можете попробовать использовать DHCP: https://ercpe.de/blog/advanced-dhcp-options-pushing-static-routes-to-clients Appleoddity 7 лет назад 0
Посмотрите ответ здесь о предложении соответствия: https://networkengineering.stackexchange.com/questions/16428/cisco-vpn-clients-routing-over-ipsec-vpn-acl Appleoddity 7 лет назад 0

0 ответов на вопрос

Похожие вопросы