Richieste DHCP che perdono tramite VPN


1

Ho una configurazione estesa per gestire: 3 edifici fuori sede con router basati su firmware Tomato, collegandomi a un altro router basato su Tomato come configurazione VPN. Il router Server è anche nella nostra rete LAN privata (come dispositivo periferico).

Nella nostra LAN principale, abbiamo un server DHCP in esecuzione su un server Linux, che offre 192.168.0.0/19 (sì, la subnet mask è 255.255.224.0!), Con 192.168.2.x / 24 ottetto escluso. Su ogni sito, ogni client VPN Tomato (i router da ora in poi) dovrebbe offrire agli IP i client in un determinato intervallo all'interno della sottorete 192.168.2.x. SiteA è 192.168.2.2-29 (router è .1), SiteB è 192.168.2.31-50 (router è .30) e SiteC è 192.168.2.52-80 (.51 è il router). I computer possono connettersi al nostro server senza problemi.

Quello che sta accadendo, però, è che all'improvviso (quando prima funzionava perfettamente bene), ho il router di SiteA che offre contratti di locazione a clienti di altri siti. Poiché si trovano nella stessa rete definitiva (192.168.0.0/19), possono accedere ai server nella nostra LAN, ma non a Internet.

Come soluzione temporanea, ho potuto accedere in remoto ai computer su SiteB e SiteC e assegnare il gateway predefinito come router in ogni posizione. Questa non è una buona soluzione, poiché impedisce agli altri membri del personale di visitare il sito con i loro laptop o tablet e di essere in grado di connettersi immediatamente.

I router non sono compilati con il supporto per ebtablescome raccomandato in alcuni altri thread. L'obiettivo finale è che i server DHCP offrano solo contratti di locazione sul lato LAN dei propri router.

Configurazione del client VPN del router B.
inserisci qui la descrizione dell'immagine inserisci qui la descrizione dell'immagine

Configurazione client VPN del router A ( Il traffico Internet di reindirizzamento era originariamente disabilitato; era abilitato sopra solo per il test )
inserisci qui la descrizione dell'immagine inserisci qui la descrizione dell'immagine


scusate, DHCP utilizza le trasmissioni layer2, quindi non è possibile ambito un server in quel modo, se non bloccando le richieste DHCP che attraversano la VPN.
Frank Thomas,

@FrankThomas Come potrei farlo? Ho accesso SSH a ciascuno dei router, se questo aiuta
Canadian Luke,

bene, implementerei un firewall su ogni gateway VPN e facendolo cadere tutto il traffico UDP \ 67-68 che vede attraversare dalla VPN a locale e viceversa. Sembra che i router non abbiano i moduli firewall installati, quindi ciò rende più difficile.
Frank Thomas,

I clienti di entrambi i siti B e C stanno ricevendo assegnazioni IP dal sito A o solo uno di essi (B o C)? Il DHCP funziona su altri siti, ad esempio se tentato manualmente, il router distribuisce gli IP? Il mio punto è che forse i client stanno andando fino al sito A perché il loro router locale non ha risposto o ha negato la richiesta.
Dr.Ping

E, come già accennato, separare i siti per sottorete è il modo corretto ed evita molti mal di testa
Dr.Ping

Risposte:


2

La tua VPN è TAP, supponendo che OpenVPN sia la tecnologia sottostante, quindi questo significa che hai una VPN layer2. Ciò significa che hai le cose configurate come se fossero tutte fisicamente connesse allo stesso interruttore. Se non desideri una rete layer2, non utilizzare TAP.


TUN (l'unica altra opzione) consentirebbe comunque ciò che desidero, in cui tutti i clienti possono vedersi attraverso ciascun sito? E hai accesso a Internet?
Canadian Luke,

Se hai impostato correttamente i tuoi percorsi. Una rete tun è la soluzione migliore, è solo un po 'più complicata. Il fattore complicante è che non sono sicuro che tu possa farlo con il pomodoro. Sono assolutamente certo che l'OpenVPN sottostante lo supporti però. Dovresti anche cambiare un po 'la tua rete, in modo che i siti remoti si trovino su sottoreti separate.
Zoredache,

E non posso cambiare il nostro schema di rete per i prossimi mesi, sfortunatamente :-(
Canadian Luke

Ah, allora hai un problema impegnativo. Non sono sicuro di cosa suggerire. Il DHCP probabilmente funziona principalmente per te, perché i client DHCP generalmente accettano solo la risposta più veloce, che di solito proviene dal server DHCP fisicamente più vicino.
Zoredache,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.