Входящее VPN подключение с динамических адресов
Orange 20 июля, 2015 - 17:48
Доброго времени суток всем!
Смотрите какая задача:
Имеем два офиса OFFICE1 и OFFICE2, трафик между ними не тарифицируется. Интернет на OFFICE1 безлимитный, но там серый IP.
Интернет на OFFICE2 жутко дорогой, зато там белый IP. Между офисами поднят VPN, все отлично работает.
Вопрос:
Как организовать подключение удаленных пользователей (используем openvpn) с динамических IP к OFFICE2?
- Если в OFFICE2 ставим дефолтный роутинг на WAN порт провайдера, все работает, но весь трафик прет по платному каналу.
- Если в OFFICE2 ставим дефолтный роутинг на VPN порт OFFICE1, не могут подключатся удаленные пользователи с динамических IP.
Подскажите плиз какие тут могут быть решения, и на какую тему лучше гуглить?
Спасибо!
»
- Для комментирования войдите или зарегистрируйтесь
Если на удаленные клиенты
Если на удаленные клиенты можно достучаться из Инета, то можно сделать call-back на клиента из ОФИС1.
Иначе на данной топологии - никак!
Универсальное решение - поднять где-нибудь на дешевом (сейчас их полно от 3$/месяц за 10Мбит/с) хостинге с белым (можно и с динамическим) адресом свой сервер. До него - ВПН из ОФИС1. Ну а далее - заворачивать все внешние ВПН запросы вовнутрь ВПН трубы до ОФИС1.
Поскольку никаких данных на этом сервере не будет, то он может быть теоретически в любой точке земного шара и требования по ресурсам минимальны. Важна только пропускная способность канала (ну и задержка пакетов, разумеется), чтобы обеспечить нормальную работу клиентов с ОФИС1.
Сетку рисовать надо. Хоть на
Сетку рисовать надо. Хоть на салфетке. Непонятно через что идет впн менжду оффисами. Непонятно кто занимается маршрутами. Ну и приватные сети можно разными средствами лепить. Хоть через ссх.
В качестве решения можно сделать две впн сети. Одна для связи оффисов, и одна (в оффисе2, как я понял) для удаленного подключения извне. В оффисе2 настроить маршруты, так чтоб через платного прова шел только траф впн сети для подключения удаленных клиентов. Ориентироватся по адресу сети ессно. Остальное слать через дешевый нет оффиса2. В оффисе1 разрешить натить пакеты из оффиса2.
Это если реализовывать вашу схему. Если же между оффисами дешевый впн, можно вообще на дорогого прова забить. Сделать серый адрес белым нам поможет.... dyndns. Динднс по слухам прекратил бесплатную раздачу в 2014. Однако на просторах рунета есть аналоги типа динру (https://dynru.ru/).
Да все там понятно...
Да ничего рисовать не надо - все там понятно, да и неважно это в контексе вопроса.
Где-то так уже сделано у ТС. Но тогда весь трафик от удаленных клиентов пойдет по дорогому каналу - именно этого и хочет избежать ТС!
:D
Ага, и как это вы заставите прова редиректить в вашу "серую" (т.е. немаршрутизируемую в Инете!) подсеть внешние запросы?! Речь-то идет не о
выходев Инет, а оВНЕШНИХподключениях... ;)Видимо вы просто путаете понятия "
серый" и "динамический" адрес. Это далеко не одно и тоже.Но, кстати, возможно это еще один вариант решения - договориться с провом о редиректе группы внешних портов для установки ВПН соединений. Не надо сбрасывать со счетов административный ресурс! :)
Можно попробовать поднять
Можно попробовать поднять openvpn в OFFICE1, но при этом пробросить порт с OFFICE2. Хз заработает ли, но попробовать можно. Ну или настраивать выдачу маршрутов для клиентов (а не для сервера)...
Правда если весь трафик полученный с OFFICE1 всё равно будет идти клиенту через инет OFFICE2, то, ИМХО, всё равно экономии не получится, т.к. он всё равно пойдёт через дорогой маршрут.