Базовые шаги для настройки редиректа / маршрутизации между VPN и LAN?

[milkywayfarer]

PRECONDITION: eсть 2 рабочии станции, условно HOME и WORK. HOME управляется ОС Ubuntu, WORK - доменная машина под управлением Windows XP, находящаяся за драконовским фаерволом.

GOAL: обеспечить пользователю машины HOME доступ к ресурсам локальной сети, в которой находится машина WORK.

TODO:

1. Настроить VPN соединение между 2-мя рабочими станциями, например, с помощью TeamViewer VPN, Hamachi, OpenVPN, или, возможно, какого-то другого средства (кстати, что будет лучшим решением?).
2. ИИИ? //Настроить маршруты между VPN и локальными сетями обоих машин. Желательно таким образом, чтобы работа с ресурсами сети WORK для пользователя HOME была прозрачной.
3. PROFIT

Верен ли список TODO? Если да, то, подскажите, пожалуйста, какие подпункты можно выделить в п. 2? Что конкретно нужно сделать? Добавить маршруты с помощью route add на обоих концах? Как-то настроить DNS-resolving на конце HOME, чтобы можно было обращаться к ресурсам WORK по их именам?

[AlexRein]

Желательно таким образом, чтобы работа с ресурсами сети WORK для пользователя HOME была прозрачной.

Рекомендую обратиться к статьям установки и настройки Microtik. И не мучаться.
А так, поднимаешь на Work маршрутизацию и т.п. подключаешься к нему машиной Home прописываешь(желательно со стороны Work) маршруты внутренней подсети, ну и работать в ней. Хотя замечу работа будет не прозрачна, но работать будет.

[milkywayfarer]

Рекомендую обратиться к статьям установки и настройки Microtik.

AlexRein, спасибо за наводку про "MikroTik" (тот MikroTik-то?) вообще не слышал, обязательно посмотрю.

И не мучаться.

Хочется-таки помучаться. :)

А так, поднимаешь на Work маршрутизацию и т.п. подключаешься к нему машиной Home прописываешь(желательно со стороны Work) маршруты внутренней подсети, ну и работать в ней.

Одним прописыванием маршрутов, насколько я понимаю, здесь задачу не решить. Т.к. планируется обращаться к ресурсам не только самой рабочей станции WORK , но и ее локальной сети. Соответственно маршруты надо прописывать либо на всех интересующих машинах, либо на дежурном маршрутизаторе сети WORK. А вся конфигурация должна ограничиваться только машинами HOME и WORK.

Ну и вроде как остается один вариант -- настроить NAT на WORK, что я и пытался сделать, средствами утилиты netsh, но пока ничего не получилось.

Хотя замечу работа будет не прозрачна, но работать будет.

Да хотя бы непрозрачно уже сделать.



Есть еще варианты, идеи?

[AlexRein]

AlexRein, спасибо за наводку про "MikroTik" (тот MikroTik-то?) вообще не слышал, обязательно посмотрю.

Да он, но ты слишком уж далеко начал. По русски тоже есть. Сразу на веду RB/750 тебе надо, ну или с литерой G(Гигабитный).

Хочется-таки помучаться.

Ах вон оно что, чтож ты сразу не сказал. А мы тут уж как по проще придумываем.
Так... Покупаешь какие нибудь 2 CISCO где то под 2-3к долорей, тока обязательно разных моделей, одкладыешь себя их документацией(по 3 книжки на 700 листов), прибавляешь к каждой по серваку под UNIXом завязываешь чтоб следил за доступом, а то не дай бог кто нить подумает о том что тебя можно взломать. И в общем все будет и доступ куда надо и сколько надо. Реализуешь, выкладывай результаты сюда нам будет интересно... Ну в прочем если мозг взорвется можешь не выкладывать.:)

Одним прописыванием маршрутов, насколько я понимаю, здесь задачу не решить. Т.к. планируется обращаться к ресурсам не только самой рабочей станции WORK , но и ее локальной сети. Соответственно маршруты надо прописывать либо на всех интересующих машинах, либо на дежурном маршрутизаторе сети WORK. А вся конфигурация должна ограничиваться только машинами HOME и WORK.

Не правильно понимаешь, все как раз и можно решить маршрутами. Если WORK работает как маршрутизатор, то:
Для машины HOME прописываешь рабочую подсеть WORK-а как сеть за шлюзом WORK, тем кто предоставляет ресурсы говоришь о таком компе HOME который для них так же находиться за шлюзом WORK, но в обратном направлении.
Машина HOME сможет спокойно добраться до всех ресурсов рабочей сети которые там явно прописаны, но как и положено широковещательные пакеты ходить не будут. Т.е. не прозрачный доступ.

Есть еще варианты, идеи?

Почитай мой пост, у тебя про него варианты есть?

[milkywayfarer]

Ну в прочем если мозг взорвется можешь не выкладывать.

Предпочту не минировать :).

... тем кто предоставляет ресурсы говоришь о таком компе HOME который для них так же находиться за шлюзом WORK, но в обратном направлении.

Видимо я не понятно выразился, надо было так: "Одним прописыванием маршрутов на машинах HOME и WORK, насколько я понимаю, здесь задачу не решить.". Конфигурирование сети за WORK невозможно по причине недостатка прав / отсутствия доступа.

Поэтому остается интересный вариант с организацией NAT между VPN и LAN на WORK.

[AlexRein]

Поэтому остается интересный вариант с организацией NAT между VPN и LAN на WORK.

Т.е. Ты знаешь проблему, знаешь решение. В чем смесл вопроса?

[milkywayfarer]

AlexRein, я не располагаю большим опытом, не уверен в правильности/осуществимости своего, пока не реализованного, решения. Но уверен, что здесь есть гораздо более опытные товарищи, на совет/комментарий которых рассчитываю.

[AlexRein]

Ну я свой совет дал, думаю он самый простой и безболезненный.