6 votos

Enrutamiento de las conexiones a través de la VPN basado en el nombre de host (no en el rango de IP)

Esto me molesta enormemente.

Necesito conectarme a la red del cliente a través de una VPN. Pero definitivamente no desea enviar todo el tráfico a través de la red del cliente, por lo que esta opción queda descartada. Lo que necesito básicamente es que el sistema operativo sepa que todos los subdominios de la red del cliente (*.ejemplo.com) deben pasar por la conexión VPN.

He probado un par de opciones:

  1. Cambiar el orden de los servicios y poner la VPN en la parte superior, pero esto funciona igual que "Enviar todo el tráfico a través de la conexión VPN".
  2. Usando la opción "VPN on Demand" de las opciones avanzadas de la red, pero esta característica es bastante basura para ser honesto. Parece que sólo funciona en Safari (?!) y no enruta la conexión, pero básicamente activa el sistema operativo para conectarse a la VPN seleccionada.

La razón por la que necesito que funcione en base a nombres de host y no a un rango de IPs es simple: mi cliente tiene muchos servidores dentro de su red y me es imposible recordar todas las IPs. Todas están dentro de un rango, pero esto no me ayuda a recordar.

Otra opción sería poner la conexión VPN en la parte inferior de los servicios de red y desmarcar "Enviar todo el tráfico..." y luego poner todos los nombres de host conocidos en el archivo de hosts, pero teniendo en cuenta que podría haber cientos de servidores (por lo tanto los nombres de host y ips también) es un trabajo ridículo. Y si aparece un nuevo servidor en la red tendría que volver a editar el archivo de hosts. Trabajos de Sísifo .

Sin embargo, esto funciona en Windows de forma muy sencilla. Si un nombre de host no está disponible a través de la interfaz de red por defecto, entonces parece que intenta la conexión VPN y esto funciona brillantemente.

Entonces, ¿cómo puedo conseguirlo en Mac?

Conozco las direcciones de los DNS internos del cliente por si sirve de ayuda (como dirigir ciertos dominios a través de un DNS diferente).

PS. Utilizando la última versión 10.6.6.
PS2. Estoy utilizando la VPN para acceder a la intranet, a los servidores de control de versiones (svn://), a los recursos compartidos de samba y para el acceso SSH a los servidores.

0 votos

¿Qué tipo de VPN es? ¿Has probado a desactivar "Enviar todo el tráfico"?

0 votos

Es PPTP con autenticación de usuario/pass. Desactivar "Enviar todo el tráfico" hace que todo el tráfico pase por la puerta de enlace predeterminada. Ninguno de los nombres de host requeridos funciona entonces. El acceso a la red del cliente sólo funciona por direcciones IP.

0 votos

Buena pregunta! a mi también me molesta, aunque estoy usando openvpn en linux y tengo control sobre el servidor.

1voto

itinaguru Puntos 31

Haga netstat -r antes y después de la conexión VPN. Observe el cambio en la ruta por defecto de su puerta de enlace por defecto al enlace VPN. elimine el enlace por defecto a la dirección IP de la conexión VPN añada la subred del cliente y la subred de la VPN a su ruta utilizando la subred de destino para que el tráfico hacia su cliente pase por la VPN. Su ruta por defecto original a través de su puerta de enlace debería estar intacta y su tráfico regular debería ir a través de su propia puerta de enlace.

1voto

DisgruntledGoat Puntos 21368

La forma estándar de hacerlo es enrutar sólo los rangos de IP de los clientes a través de la VPN. Dirija el resto del tráfico a través de su red por defecto.

Por razones de seguridad, muchas conexiones VPN forzarán todo el tráfico a través de la VPN para controlar la fuga de información. Discutiría lo contrario con su cliente. Desconéctate de la VPN cuando hagas tu propio trabajo.

0 votos

Puedo ver cómo se aconseja en materia de seguridad, pero hay más que eso. Considere que el cliente paga por su tráfico de Internet y no aprecia que descargue mis correos electrónicos y las nuevas distribuciones de Linux .iso's. Requiero la conexión VPN durante la mayor parte del día, así que deberías ver ahora por qué quiero otra solución.

0 votos

Desconéctese de la VPN cuando lo haga. Por razones de seguridad no debería hacerlo mientras está conectado a la VPN. Puede considerar configurar un servidor virtual como cliente para utilizarlo para trabajar con el cliente. Utilícelo para todo el trabajo con el cliente, y enrute sólo el tráfico de los servidores virtuales a través de la VPN.

0 votos

Parece la única manera y la mejor, aunque no necesariamente segura como dices. Podrías detallar el tema de la seguridad al hacer lo que pido, con un ejemplo bastará.

1voto

Gags Puntos 31

Lo que sugieres se conoce como Split-Tunneling, y la mayoría de las veces los administradores de red no lo permiten por razones de seguridad. Dependiendo del cliente VPN que esté utilizando, el cliente VPN crea un adaptador de red virtual y la ruta por defecto para el tráfico se convierte en el túnel. Con pocas excepciones, el usuario de la VPN no puede modificar este comportamiento.

Así que, lamentablemente, tendrás que desconectarte de la VPN para poder dirigir el tráfico fuera del túnel.

0voto

Allan Puntos 121

Si puede ejecutar RIP o algún otro prototcol de enrutamiento en el servidor VPN (por ejemplo Windows Server 2008 ) también puede ejecutar RIP en su Mac que añadiría automáticamente las rutas anunciadas por el servidor. De este modo, sólo habría que especificar la lista de rutas una vez y conseguir que se configure automáticamente para los clientes de la VPN.

En la práctica, probablemente quiera que el servidor VPN sólo anuncie rutas y no escuchar cualquier cosa que los clientes anuncien, de lo contrario los clientes maliciosos o rotos podrían desviar todo o parte del tráfico.

0 votos

Gracias por el aporte Alan. Por desgracia, no tengo ningún control sobre el servidor VPN, así que parece que tengo que echar un vistazo a la ejecución de RIP en mi mac entonces.

0 votos

Ejecutar un demonio de enrutamiento en un solo extremo del enlace no tiene sentido: lo ideal es que los demonios de ambos extremos negocien rutas razonables a través del túnel; si sólo lo hace un extremo, los anuncios "caen en saco roto".

0 votos

Ah, he leído mal la primera frase. Ahora entiendo lo que quieres decir.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: