Toon posts:

[DHCPD]Routes instellen mogelijk?

Pagina: 1
Acties:
  • 102 views sinds 30-01-2008
  • Reageer

dinsdag 10 juli 2007 11:24

Acties:
  • eghie
  • Registratie: Februari 2002
  • Niet online

eghie

Spoken words!

Topicstarter
We hebben hier 2 routers/gateways. 1 waar we niet aan kunnen komen (wordt beheerd door de provider) (nettopia) en 1 die we gebruiken voor een 2e internet verbinding (draytek vigor). Nu hebben we hier een Debian server staan die de DHCP hier intern regelt. Nu gaat alle verkeer over die nettopia router. We gebruiken die draytek oa voor Lan-to-Lan VPN verbindingen en voor eventuele bandbreedte intensieve taken.

Om lan-to-lan VPN mogelijk te maken, moet het VPN verkeer geroute worden over de draytek. Dit houd in dat ik op elke client, 172.14.0.0/16 moet instellen als route, die dat routeert via de draytek. Is dit ook via DHCPD te regelen? Of kun je daar geen andere routes instellen dan de default gateway?

Het is makkelijker te beheren om via de DHCP de static routes in te stellen, ipv elke client bij langs te gaan.

[ Voor 7% gewijzigd door eghie op 10-07-2007 11:38 ]

dinsdag 10 juli 2007 11:48

Acties:

Verwijderd

Wat eventueel ook een mogelijkheid is om de vpn server een route mee te laten pushen naar de clients voor die 172 range. Onder andere OpenVPN ondersteunt deze optie en dan bestaat de route alleen wanneer er een vpn verbinding actief is op de client. PCs die geen gebruik maken van vpn of de alternatieve gateway krijgen deze dan niet van de dhcp server.

dinsdag 10 juli 2007 11:55

Acties:
  • eghie
  • Registratie: Februari 2002
  • Niet online

eghie

Spoken words!

Topicstarter
Verwijderd schreef op dinsdag 10 juli 2007 @ 11:48:
Wat eventueel ook een mogelijkheid is om de vpn server een route mee te laten pushen naar de clients voor die 172 range. Onder andere OpenVPN ondersteunt deze optie en dan bestaat de route alleen wanneer er een vpn verbinding actief is op de client. PCs die geen gebruik maken van vpn of de alternatieve gateway krijgen deze dan niet van de dhcp server.
Omdat het LAN-to-LAN is, wil ik ook het hele LAN de mogelijkheid geven om met het VPN te kunnen verbinden. Dus ik wil het VPN helemaal open zetten voor heel de LAN.

Deze VPN werkt via een IPSec VPN via een dedicated VPN server. Deze hebben we al, dus hier wil ik liever niets aan veranderen.

Nu weet ik dat die Draytek static routes ondersteund, maar die zijn in dit geval niet te gebruiken op de draytek, aangezien de situatie net omgekeerd is.

[ Voor 13% gewijzigd door eghie op 10-07-2007 11:59 ]

dinsdag 10 juli 2007 11:58

Acties:
  • jvanhambelgium
  • Registratie: April 2007
  • Laatst online: 29-01 21:25

jvanhambelgium

routes meegeven via DHCP : beperkt mogelijk (optie 249) doch exotisch...

http://www.debian-administration.org/articles/471

Kan het vb niet via de group-policy ofzo ?
Anders zal je de clients moeten aflopen...

Je werkt dus niet met een VPN-client op elke PC maar hebt gewoon LAN-2-LAN tunnels via een router ?

dinsdag 10 juli 2007 11:58

Acties:

Verwijderd

Indien je wilt dat iedereen die VPN kan gebruiken, zal het verkeer langs een 'router' moeten. En dit kan ofwel de draytek vigor, ofwel de Debian server. Meest handige lijkt mij al het verkeer eerst (default gateway) langs de draytek vigor, welke standaard alles doorstuurt naar de nettopia. Dit is inderdaad Nat achter Nat. Niet in alle gevallen te prefereren, maar in dit geval misschien wel een goede oplossing.

dinsdag 10 juli 2007 12:07

Acties:
  • eghie
  • Registratie: Februari 2002
  • Niet online

eghie

Spoken words!

Topicstarter
jvanhambelgium schreef op dinsdag 10 juli 2007 @ 11:58:
routes meegeven via DHCP : beperkt mogelijk (optie 249) doch exotisch...

http://www.debian-administration.org/articles/471

Kan het vb niet via de group-policy ofzo ?
Anders zal je de clients moeten aflopen...

Je werkt dus niet met een VPN-client op elke PC maar hebt gewoon LAN-2-LAN tunnels via een router ?
Ik ga eens met die DHCP option spelen.

Helaas kan het niet met group policies, aangezien we in een gemixed netwerk zitten met zowel Linux als Windows client, die allemaal geen gebruik maken van active directory. Wel van Samba.

Je laatste conclusie is juist.
Verwijderd schreef op dinsdag 10 juli 2007 @ 11:58:
Indien je wilt dat iedereen die VPN kan gebruiken, zal het verkeer langs een 'router' moeten. En dit kan ofwel de draytek vigor, ofwel de Debian server. Meest handige lijkt mij al het verkeer eerst (default gateway) langs de draytek vigor, welke standaard alles doorstuurt naar de nettopia. Dit is inderdaad Nat achter Nat. Niet in alle gevallen te prefereren, maar in dit geval misschien wel een goede oplossing.
Jep, dit zou kunnen, ik wil deze oplossing wel gebruiken als laatste red middel, aangezien ik het niet fijn vind. Ook ivm port forwarding en wifi enzo.

dinsdag 10 juli 2007 12:12

Acties:

Verwijderd

Jep, dit zou kunnen, ik wil deze oplossing wel gebruiken als laatste red middel, aangezien ik het niet fijn vind. Ook ivm port forwarding en wifi enzo.
Klopt helemaal. Maar kun je dan niet voor zowel linux als windows een bash/bat scriptje maken welke tijdens het opstarten word uitgevoert? Ik weet niet om hoeveel computers het gaat, maar volgens mij is dit toch wel redelijk te toen.

En eventueel kun je die nog op het netwerk zetten, zodat in de toekomst je niet meer die computers langs hoef. (a la het opstartscript van windows domain login)

dinsdag 10 juli 2007 12:31

Acties:
  • eghie
  • Registratie: Februari 2002
  • Niet online

eghie

Spoken words!

Topicstarter
Verwijderd schreef op dinsdag 10 juli 2007 @ 12:12:
[...]


Klopt helemaal. Maar kun je dan niet voor zowel linux als windows een bash/bat scriptje maken welke tijdens het opstarten word uitgevoert? Ik weet niet om hoeveel computers het gaat, maar volgens mij is dit toch wel redelijk te toen.

En eventueel kun je die nog op het netwerk zetten, zodat in de toekomst je niet meer die computers langs hoef. (a la het opstartscript van windows domain login)
Er is een netlogon script aanwezig en inderdaad die kan uitgevoerd worden op de clients die binnen het domein hangen. Alleen krijgen de Linux systemen nog geen logon script. Dit wil ik op de langere termijn nog wel gaan oplossen, maar daar ben ik nog mee bezig. Maar dit zou inderdaad een optie kunnen zijn. Als het niet via DHCP lukt ga ik dat denk ik proberen.
jvanhambelgium schreef op dinsdag 10 juli 2007 @ 11:58:
routes meegeven via DHCP : beperkt mogelijk (optie 249) doch exotisch...

http://www.debian-administration.org/articles/471

Kan het vb niet via de group-policy ofzo ?
Anders zal je de clients moeten aflopen...

Je werkt dus niet met een VPN-client op elke PC maar hebt gewoon LAN-2-LAN tunnels via een router ?
Uiteindelijk heb ik een goede oplossing gevonden voor de Windows clients, via jouw link. Namelijk: http://www.xrx.ca/hexroute.htm

Download van die site de hexroute tool en zet hem op een linux bak. Voer die tool uit met de juiste gegevens (./hexroute geeft wel aan hoe) en gebruik de output voor de dhcpd.conf.

Ik gebruik DHCPD. In de dhcpd.conf zet het volgende:
code:
1
2

#dit gewoon als global (dus niet binnen host of subnet blocks)
option new-static-routes code 249 = string;

code:
1
2
3

#dit mag in de host block of subnet block (waarin je je instellingen naar de clients wil sturen iig)
#de waarde van het hexroute commando in de regel zetten (zonder de < en > tekens)
option new-static-routes <waardevanhexroute>


Nu nog een toffe manier vinden om dit voor Linux clients te regelen, maar voor nu ben ik al een beetje tevreden. Degene die hier Linux gebruiken kunnen dat eventueel ook zelf instellen, maar het liefst gebruik ik ook deze manier. Heb het trouwens nog niet getest met de DHCP client van Linux. Dat ga ik nog even doen.

[ Voor 45% gewijzigd door eghie op 10-07-2007 16:28 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq