lze mit vpn i lokalni sit?

[jusuf]

Zdravim vsechny,

mam takovy problem, nevim moc jak to formulovat... Zprovoznil jsem si VPN abych se mohl pripojovat do site v praci, a problem je ten ze oni maji zakazany pristup na internet kdyz jsem pripojeny pres VPN, takze v dusledku mi funguje intranet, mail a pripojeni na servery ale ja bych potreboval i na net (kdyz se vyskytne problem na serveru abych byl schopny hledat reseni na internetu a ne porad zapinat a vypinat vpn). Site nejsou zrovna muj obor, tak jestli me nekdo poradi jak to obejit budu rad...

a abych taky necim prispel tak tady je odkaz podle kteryho sem rozchodil to vpnko

http://www.longren.org/2007/05/17/how-to-cisco-vpn-client-on-ubuntu-704-feisty-fawn/

jinak sem to zatim resil :
1)dalsi pc ve vmware a v nem spustit vpn (ve virtual pc vpn, na lokale net)
2)ssh -X na pc v praci (vpn) a odtud spustit firefox, ale je to pomale

existuje nejake elegantni reseni? lze nejak vytvorit virtualni sitovku pres kterou by sem mel lokalni sit (internet) ?

[Tomáš "Piškot" Petera]

Jistě to jde, problém je v nastavení routování (směrování) mohl by jsi sem vypsat

Kód: [Vybrat]

route -n při připojení vpn a bez ?

[jusuf]

bez vpn (to vmnet je asi vmware):

root@SN-0030 /etc/ route -n
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
192.168.96.0    0.0.0.0         255.255.255.0   U     0      0        0 vmnet1
192.168.135.0   0.0.0.0         255.255.255.0   U     0      0        0 vmnet8
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

s vpn:
root@SN-0030 /etc/ route -n
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
82.100.42.30    192.168.2.1     255.255.255.255 UGH   0      0        0 eth0
10.42.15.0      0.0.0.0         255.255.255.0   U     0      0        0 cipsec0
0.0.0.0         10.42.15.14     0.0.0.0         UG    0      0        0 cipsec0

[jusuf]

jo a net mam od upc, a jsem za routerem. az se to podari tak bych chtel to same nastavit i na notebooku (pres wifi).

[Tomáš "Piškot" Petera]

Kód: [Vybrat]

route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1 dev eth0Pomůže ?

[jusuf]

Kód: [Vybrat]

root@SN-0030 ~/ route -n
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
82.100.42.30    192.168.2.1     255.255.255.255 UGH   0      0        0 eth0
10.42.15.0      0.0.0.0         255.255.255.0   U     0      0        0 cipsec0
0.0.0.0         10.42.15.13     0.0.0.0         UG    0      0        0 cipsec0
root@SN-0030 ~/ route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.2.1 dev eth0
SIOCADDRT: Síť není dostupná

tak se nezdarilo, nemela by se nejak udelat nejaka virtualni eth1 nebo tak neco? nezrusi se me pak ta vpn kdyz prepisu tu eth0?

[Pavelp]

Mam jen drobnou zkusenost s OpenVpn, ale snad to bude platit i zde. Zasady jsou dve.
1. na strojich, kde je virtualni VPN rozhrani a firewal musite povolit veskery provoz pres toto rozhrani bez omezeni, ven i dovnitr. Explicitne.
2. Na vsech stanicich i serveru v siti, ktere komunikuji pres VPN musi byt nastavene spravne routovaci tabulky.
Pak by to melo fungovat.  Zkuste si predstavit cestu paketu pres VPN, to Vam pomuze v nastaveni route.

 

[jusuf]

Mam jen drobnou zkusenost s OpenVpn, ale snad to bude platit i zde. Zasady jsou dve.
1. na strojich, kde je virtualni VPN rozhrani a firewal musite povolit veskery provoz pres toto rozhrani bez omezeni, ven i dovnitr. Explicitne.
2. Na vsech stanicich i serveru v siti, ktere komunikuji pres VPN musi byt nastavene spravne routovaci tabulky.
Pak by to melo fungovat.  Zkuste si predstavit cestu paketu pres VPN, to Vam pomuze v nastaveni route.

1) firewall mam vypli (pri zaplym vpn fakt nejede to uz sem zjistil)
2) muj problem neni v vpn ta funguje spravne (resp. stejne jako vsem, nebo stejne jako z windows) ale ve firme je nevim proc zakazano pripojeni na internet kdyz jsem pripojen pres vpn.

takze bych to chtel nejak obejit, ale bohuzel se v sitich nevyznam tak nevim jak bych to mel udelat ... jestli je neco blbe na nejakym serveru ve firme tak s tim nehnu, de mi spis o to to nejak obejit u me na lokalnim pc...

[jusuf]

Problém bude v tom že při komunikaci firma <---> inet jsou povoleny jen nejake porty. Tudíš pak pokud komunikuješ firma (port 1194/udp) <---> Tvoje PC doma (port 1194/udp), nemusi komunikace probihat.
Nejlepsi by bylo zjistit jake porty jsou ven z tve firmy povoleny a pres ne se pripojovat. Myslim ze by stalo za zkousku doma nakazat OpenVPN sluzbe aby naslouchala na portu 80 a ve firme ses take pripojoval domu pres port 80.
Na tvem routeru (pokud mas) pred PC take musi byt forward portu na ip daneho compiku.

nevim presne jestli sem pochopil, ale ve firme neni problem, tam internet jede. Problem mam akorat doma kdyz zapnu vpn (mimochodem nepouzivam openvpn ale cisco) tak sice muzu do firmy ale nejede net.

de mi o to jestli by neslo vytvorit nejakou virtualni sitovku ktera by mela normalne vnitrni ip z routeru a kterou bych byl jako pripojeny lokalne zatimco bych byl pripojeny i na vpn. jestli teda neco takovyho jde. moc tomu nerozumim ale nepotrebuju nejak routovat net pres firemni sit staci me kdyz me zaroven s vpn pojede i domaci sit (dve ip nebo tak neco)... doufam ze neplacam upny nesmysly...

[Pavelp]

Ale kdyz zapnete VPN tak tam mate virtualni sitovku, Vase pripojeni by to nemelo ovlivnit. Asi pujde o konfiguraci toho routeru a tomu nerozumim, nedelam s tim.
Edit: nebo o nastaveni default route v okamziku, kdy VPN spustite. pak se (asi) default route hodi na VPN rozhrani a dal je to filtrovane. Musela by se upravit routovaci tabulka. Snad. Lovim duchy.
 Edit2: jsem to ale mamlas, ted koukam na ten Vas ifconfig a je to tak. s VPN je route 0.0.0.0 na cisco, be z ni na normalni drat. Takze upravit routovaci tabulku.
Edit3: Zkuste bez zaruky pri zapnute VPN:
# route del default
# route add default gw 192.168.2.1