Как подключиться к серверу через VPN с одинаковыми подсетями?

Question

[Игорь Кривинцов]

Подключаюсь к удаленному филиалу посредством VPN, на обеих сторонах сеть из одного диапазона 192.168.1.x, естественно при таком раскладе я не смогу зайти ни в папки, ни по RDP на сервер. можно ли это как-то решить не меняя ip адресацию? Если у себя дома я адресацию сменю, то у пользователей это будет проблематично.

Comments

[Wexter]

логично же что надо сменить адресацию в филиале

[Игорь Кривинцов]

Wexter, Логично, но я спрашиваю, есть ли варианты без смены ip адресации.

[korsar182]

Игорь Кривинцов, конечно есть - сменить адресацию у пользователей.

[kprohorow]

Игорь Кривинцов, netmap в NATе

Answer 1

[Gregory]

1. вариант
https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/...
https://qna.habr.com/answer?answer_id=75022#answer...

2. вариант
https://habr.com/ru/post/282858/

Answer 2

[kprohorow]

Использовать действие netmap в nat на стороне филиала для цепочек dnat и snat.
А по людски - корпоративные сетки делаются в 10.0.0.0/8 диапазоне.

Comments

[ChikiHh]

А по людски - корпоративные сетки делаются в 10.0.0.0/8 диапазоне.

Это какое-то негласное правило хорошего тона?

[kprohorow]

ChikiHh, это best practice.

[Ziptar]

kprohorow, собственно, меня всегда интересовало, почему не 172.16.0.0/12?

Answer 3

[Dimonchik]

ментальным способом

так начинающие админы делают, чтобы не ломать голову с классами сетей и вот этим вот всем

Answer 4

[ky0]

Поменяйте маску подсети на поменьше, вплоть до /32, тогда всё будет ехать через шлюз, на котором можно централизованно разрулить этот вопрос. Но вообще этот диапазон для сети предприятия использовать - само по себе такое...

Answer 5

[SibHunter]

Если ты хочешь работать с обеими сетями при постоянно подключённом vpn - никак. Если твои сети разделены масками то без проблем. Когда ты подключаешся к удаленной сети просто добавь динамический маршрут подсети за vpn-ном через этот шлюз, тогда все пакеты пойдут через него и всё увидишь. И rdp и папки. Правда компы в твоей домашней сети станут недоступны. А вообще то это все костыли. Подсети должны быть три - внешняя - vpn - внутренняя. И они все должны быть разные. Иначе даже не представляю как можно маршрутизацию настроить.

Answer 6

[ValdikSS]

Если речь об OpenVPN, то у него есть встроенный NAT для таких целей:

--client-nat snat|dnat network netmask alias
This pushable client option sets up a stateless one-to-one NAT rule on packet addresses (not ports), and is useful in cases where routes or ifconfig settings pushed to the client would create an IP numbering conflict.

Если о других протоколах — можно добавлять конкретные /32-маршруты через конкретный интерфейс.