Ich habe ein seltsames Setup für einen VPN-Server mit OS X Mountain Lion. Es wird im Wesentlichen als Brücke verwendet, um die Firewall meines Unternehmens an unsere Extranet-Verbindung zu umgehen. Bestimmte Dinge, die unser Team tun muss, erfordern uneingeschränkten Zugriff nach außen, und eine Änderung der IT-Richtlinien, um den Datenverkehr durch die Haupt-Firewall zuzulassen, ist einfach keine Option.
Die Extranet-Verbindung wird über einen Wireless-N-Router bereitgestellt (nennen wir es Wi-Fi X). Mein Mac Mini-Server ist mit der Verbindung zu diesem Router als primäre Verbindung konfiguriert, sodass der Zugriff auf das Internet über den Router ungehindert ist. Verbindungen zu diesem Gerät im unmittelbaren Subnetz sind über den LAN-Port möglich, aber außerhalb des Subnetzes sind die Dinge weniger zuverlässig.
Ich konnte den VPN-Server so konfigurieren, dass Clients im Bereich 192.168.11.150-192.168.11.200 IP-Adressen über PPTP und L2TP bereitgestellt werden, und ich kann über das VPN mit dem Standard-Mac OS X-VPN eine Verbindung zum Extranet herstellen Client in den Systemeinstellungen, jedoch nicht überraschend, gibt eine lokale Adresse (nennen wir sie internal.company.com) nichts zurück.
Ich habe versucht, die Einschränkung des VPN-Servers zu umgehen, indem ich Routen in den VPN-Einstellungen eingerichtet habe. Unser Unternehmen verwendet 13.xxx für den gesamten internen Datenverkehr anstelle von 10.xxx. Die Routing-Tabelle sah also ungefähr so aus:
IP Address ---------- Subnet Mask ---------- Configuration
0.0.0.0 248.0.0.0 Private
8.0.0.0 252.0.0.0 Private
12.0.0.0 255.0.0.0 Private
13.0.0.0 255.0.0.0 Public
14.0.0.0 254.0.0.0 Private
16.0.0.0 240.0.0.0 Private
32.0.0.0 224.0.0.0 Private
64.0.0.0 192.0.0.0 Private
128.0.0.0 128.0.0.0 Private
Ich hatte den Eindruck, dass der gesamte Datenverkehr über das VPN geleitet wurde, wenn hier nichts eingegeben wurde. Wenn etwas eingegeben wird, wird nur der speziell für das VPN gekennzeichnete Datenverkehr durch das VPN geleitet, und der gesamte andere Datenverkehr kann vom Client über seine eigene Standardverbindung abgerufen werden. Aus diesem Grund musste ich jedes Subnetz außer 13.xxx speziell als privat markieren.
Mein Verdacht ist, dass ich den VPN-Server nicht von außerhalb des lokalen Subnetzes erreichen kann, keine Verbindung zum Haupt-DNS-Server herstelle und daher im größeren Netzwerk nicht erreichbar bin. Ich denke, dass die Eingabe von Hostnamen wie internal.company.com nicht zur Auflösung an den Client zurückgeschickt wird, da der Server keine Ahnung hat, dass die IP-Adresse in den öffentlichen Bereich fällt, da ich vermute (wahrscheinlich sollte Ping es aber testen Ich habe momentan keinen Zugriff darauf), dass es den DNS-Server nicht erreichen kann, um etwas über diesen Hostnamen herauszufinden.
Es scheint mir, dass alle meine Optionen zur Lösung dieses Problems auf dieselbe Art von Lösung hinauslaufen:
Finden Sie heraus, wie Sie den DNS mit der sekundären Verbindung auf dem Server erreichen. Ich denke, wenn ich in der Lage bin, [etwas] zu tun, damit mein Server erkennt, dass er auch mein lokales Gateway überprüfen sollte (sagen wir Server IP == 13.100.100.50 und Gateway IP == 13.100.100.1). Von dort aus kann Gateway IP mich auffordern, DNS Server unter 13.1.1.1 zu suchen und mir Informationen über mein internes Netzwerk zu geben. Ich bin sehr verwirrt über diesen Weg - wirklich nicht sicher, ob ich überhaupt Sinn mache.
Ich habe darüber nachgedacht, diese Clientseite zu verwenden, aber das macht auch keinen Sinn, da dies jedem einzelnen clientseitigen Setup Zeit hinzufügen würde. Außerdem scheint es nur logischer, es auf dem Server zu lösen - ich könnte entweder meine Routing-Tabelle ganz entfernen oder behalten - ich denke, der einzige Unterschied wäre, dass der interne Datenverkehr auch über den Server gehen würde - wahrscheinlich eine unnötige Belastung für den Server es.
Hilfe da draußen? Oder bin ich über meinem Kopf? Forward-Proxy oder transparenter Proxy ist für mich ebenfalls eine Option, obwohl ich keine Ahnung habe, wie ich eines davon einrichten soll. (Ich weiß, Google ist mein Freund.)