The_Immortal
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую!
Господа, у меня общий вопрос по оптимальной организации соединения между домашней и корпоративной сетями, который состоит из нескольких подвопросов.
Итак, на работе имеется LAN-сеть (192.168.32.0/25) и VPN для выхода в Интернет (192.168.33.0/25). Внешний IP VPN-сервера: 91.215.218.123, он же DNS-сервер.
Дома всё тривиально: 192.168.1.0/24; внешние IP белые, динамические.
Необходимо организовать соединение между домашней и корпоративной сетями, но при этом:
а) без задействования шлюза корп. сети в виде общего;
б) DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена.
I. Маршрутизация.
Тут всё стандартно. На домашней Win-машине (192.168.1.20) задал постоянный маршрут для доступа к машинам корп. сети:
Код:| route add 192.168.32.0 MASK 255.255.255.128 192.168.33.85 IF 38 METRIC 1 -p |
- где "IF 38" (192.168.33.85) - IP VPN'а.
В итоге в таблице имею следующее:Подробнее...
После этого я могу обращаться по IP к машинам корп. сети.
Однако тут возникает два нюанса:
1. После поднятия VPN'а автоматически создается совсем не нужный маршрут: "91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51" - каким образом его также автоматически удалять?
2. Сетевой администратор сообщил, что решение из разряда через одно место и что надо создавать маршрут динамически при изменении соответствующих интерфейсов. Действительно ли так правильнее? Попытался найти в гугле решение, но не обнаружил. Подскажите, пожалуйста, как это сделать: каким-либо скриптом или есть встроенные решения?
II. DNS-сервер.
"DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена." - для этого необходимо задействовать корп. DNS-сервер 91.215.218.123, но извне он недоступен.
Я решил обойти эту проблему следующим образом. Добавил в настройки интерфейса клиента (192.168.1.20) два DNS:
- предпочитаемый: 91.215.218.123 (корп. сеть);
- альтернативный: 192.168.1.1. (домашняя сеть).
И также добавил следующий постоянный маршрут:
Код:| route add 91.215.218.123 MASK 255.255.255.255 192.168.32.1 IF 38 METRIC 1 -p |
В итоге таблица следующая:Подробнее...
Соответственно, когда поднят VPN, то резолвинг всех имен идет через корп. DNS-сервер 91.215.218.123. Когда VPN тухнет, то вступает альтернативный домашний DNS-сервер 192.168.1.1.
Однако и здесь профессиональный сетевик меня тормазнул, сообщив, что таким макаром будет создаваться задержка.
Поэтому прошу подсказать вас как решить вопрос с DNS-сервером в моем случае по уму?
III. Альтернативное решение - GRE-туннель.
А вообще указанный выше товарищ порекомендовал поднять постоянный GRE-туннель на централизованном устройстве (роутере). Однако я немного в ступоре от данной рекомендации.
Во-первых, насколько я понял, GRE-тунель предполагает использование на двух концах статические IP-адреса. У меня же дома "внешние IP белые, динамические". Конечно, есть DDNS, но он вроде имя в организации GRE-туннеля неуместно.
Во-вторых, когда я уточнил, что будучи в разъездах в качестве роутера у меня будет использоваться Android-телефон, но на это я получил ответ, что под Android никаких проблем организовать GRE-туннель нет. Однако там та же ситуация: динамические IP-адреса и, более того, они ещё сидят за провайдерским NAT'ом.
Вопросы тут такие:
1. Возможно ли организовать GRE-туннель с белым динамическим IP-адресом на одном из концов?
2. Возможно ли организовать GRE-туннель с серым IP-адресом на одном из концов?
3. Освобождает ли GRE-туннель от прописывания такого же постоянного маршрута, который был указан в вопросе I?
Благодарю!!! |
Просто к чему было это его "надо создавать маршрут динамически при изменении соответствующих интерфейсов" - как я будучи клиентом на могу на сиё повлиять? 
