Open VPN redirection

[krky]

Zdravim, mam taku dilemu, ako vyriesit smerovanie pri pouzivani OPENVPN. Jedna sa o to, ze v domacej sieti (GW: 192.168.2.1) mam PC, ktory sa pripaja na firemnu VPN (GW: 10.0.0.0/8). Problem nastane len v pripade, ak sa z tohto PC pokusime tlacit na tlaciaren, ktora je pripojena u mna doma lokalne cez USB na VDSL modem (Bridge mode). Sietovu adresu tlaciarne, resp. managed IP tohto modemu mam 10.0.0.138. Teda vnutorne v OS matchne IPcku tlaciarne a ta sa mu zhoduje s GW na TUN resp. so sietou. Podla vypisu z wireshark sa nepresmerovava vsetka komunikacia pri pripojeni k VPN na vzdialeny router, ale iba z vnutornej siete firmy.

Ktore z rieseni by bolo najlepsie:
1. staticka cesta a zmena administrativnej vzdialenosti (neviem ako je to vo WIN stabilne v case a ci je to vobec mozne)
2. zmena managed IP modemu, ku ktoremu je pripojena tlaciaren (asi najlahsia varianta)
3. nejaka konfiguracna zmena v klientskej casti konfigu pre OPENVPN (zatial som ziadnu nenasiel)

Plus mam este otazku ohladom priority pri rozhodovani smerovania za pouzitie OPENVPN, je nejaka moznost prinutit, aby najprv OS vyskusal poslat paket na lokalny router a az potom cez OPENVPN server, pripadne v akej casti sa rozhoduje kam poslat data, nenasiel som ziaden pekny diagram, ktory to vysvetluje? Dakujem za pomoc

[Reklama]

[František Ryšánek]

Mělo by se uplatnit pořadí podle velikosti záznamů ve směrovací tabulce (= podle masky). Specifičtější route by měl vyhrát, bez ohledu na metriku. Tzn. pokud máte doma LANku s 10.0.0.0 s maskou /24, měla by vyhrát nad routem 10.0.0.0/8 pushnutým z VPN access boxu. Pokud ovšem nemáte v lokální konfiguraci OpenVPN příkaz "redirect-gateway". Nebo Vám ho možná pushne VPN access box na dálku. Což se dá odstínit lokálním příkazem tuším "ignore redirect-gateway".

Pokud je ta tiskárna na nějaké IP adrese v lokálním "directly connected" subnetu, který máte na lokálním rozhraní do Ethernetu pod Windows tak jako tak nakonfigurovaný, zkusil bych ještě statický ARP záznam. Tzn. v příkazovém řádku Windows arp -s atd.

Nechci po Vás kompletní routovací tabulku z těch Windows, protože byste si mohl odkopat detaily o vnitřní síti Vašeho zaměstnavatele, což není bezpečnostně zrovna košer.

[krky]

Dakujem za pomoc, zobrazil som si routovaciu tabulku a zistil som, ze zamestnavatel pouziva rovnaky subnet 192.168.2.0/24 ako ja doma. Teda routa cez VPN mala nizsiu metriku a preto mi to vyhadzovalo Destination Unreachable, kedze v jeho sieti tato IP nebola dostupna. Vyriesil som to statickou cestou, co nie je asi moc prenositelne riesenie. Ked PC pride do inej siete a ta bude mat subnet 192.168.2.0/24, tak to moze sposobit galibu. Kazdopadne sa mi nechcelo menit u mna doma subnet mam tu kopu device-ov, na ktore mam staticku IP alebo v DHCP napevno pridelenu z POOLu. Bolo by to vsak asi najelegantnejsie riesenie problemu.

Dakujem aj za prikaz "ignore redirect-gateway", nevedel som, ze je to mozne ignorovat na strane klienta, aj ked zamestnavatelovi sa forwarduje iba vnutorna siet a ja mam defualt route na moj device.