« Назад

Организация split tunneling на примере VPNC

Находясь в гостевой сети было необходимо использовать VPN соединение к Cisco VPN серверу. В качестве vpn клиента использовался VPNC (client for Cisco VPN3000 Concentrator, IOS and PIX). Удаленный сервер не поддерживал split tunneling и соответственно при поднятии vpn соединения весь траффик заворачивался в туннель. Для удобства работы возникла необходимость организовать split tunnel. На скорую руку было придумано следующее решение:
- создал копию дефолтного скрипта vpnc-script
 

# cp -p vpnc-script vpnc-script.split


- в конфиг-файл vpnc клиента добавляем путь к новому скрипту 

Script /etc/vpnc/vpnc-script.split

- в скрипте etc/vpnc/vpnc-script.split определил дополнительную переменную ROUTES в которой описал необходимые маршруты в приватную сеть
- в vpnc-script.split содержимое функций set_default_route и reset_default_route заменяем на:
 

      set_default_route() {
                for i in $ROUTES;
                        do route add -net $i dev vpnlink;
                done

        }


        reset_default_route() {
                for i in $ROUTES;
                        do route del -net $i dev vpnlink;
                done    

                        rm -f -- "$DEFAULT_ROUTE_FILE"
        }

При использование вышеприведенного решения, после установления vpn соединения не будет переопределен шлюз по умолчанию и будут добавлены статические маршруты перечисленные в переменной ROUTES.



Забавно. Не знал что для этого отдельный термин даже есть и статья в педивикии.
В openvpn в Kubuntu 10.04 кстати тоже маршруты не ставятся нужные, надо будет что-нить такое запилить =)
Отправлено в 04.06.10 17:59.
В openvpn с маршрутами все просто.
Если с клиенской стороны, то в конфиг добавляем
route network/IP

Если нужно переопределять default gw, то добавляем
redirect-gateway
Отправлено в 06.06.10 9:58.

Работаю в компании Tune-IT. Круг профессиональных интересов:
* Администрирование Solaris/FreeBSD/Linux
* CISCO
* Удаленная диагностика неисправностей в системах SUN
* Предотвращение сетевых атак
* Обеспечение безопасности UNIX-систем
* Обеспечение безопасности беспроводных сетей