Потому что ненужная прослойка....Дальше пойдут матерные слова.
Это лично моё мнение. Для NPM докер ну вот вообще не нужен это бред собачий. Для отладки я там понимаю быстро грузануть но тут....
У меня виртуалка debian, люблю минимализм. Ставим докер сразу iptables куча шлака во всём разбираться желания ноль. пусть его юзают те кому нужон)) ну я думаю мысль ясна моя...
Допустим Mikrotik - базару ноль я его сам там использую) Но там понятно что зачем и почему нет лишнего мусора.
1) Вот всё то же самое что у меня в том конфиге в предыдущем посте.
2) Но, мы добавляем в основную надстройку auto=ignore
3) Далее создаём псевдогруппы и там уже прописываем leftsubnet=...
4)ОБЯЗАТЕЛЬНО везде по дефолту прописываем сам dnsmasq сервак (DHCP сервак не авторитарный) у меня это 30.157 (сам впн сервак debian и dnsmasq), далее адрес бродкаста 255.255.255.255/32.
5) Потом по желанию прописываем 1 или 2 днс сервера 192.168.30.12/32
6) А уже далее прописываем сети или отдельные адреса
7) В результате каждому пользаку можно назначать свои адреса или подсети)))
Сейчас хочу сделать в связку с радиусом чтобы вписывать в конфиг не пользователей а группы и не перегружать.
CityCat4, Очень просто всё настраивается как оказалось. Вот готовый конфиг для dnsmasq.conf
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=tag:msipsec,192.168.103.0,static -------------------- тут пишешь IP VPN (у меня например 10.10.15.0)
dhcp-option=tag:msipsec,6
dhcp-option=tag:msipsec,249, 0.0.0.0/1,0.0.0.0, 128.0.0.0/1,0.0.0.0 ---а тут пишешь сети куда надо рассылать маршруты! То есть тут сети твоего предприятия
Далее в leftsubnet ОБЯЗАТЕЛЬНО ДОБАВИТЬ бродкаст 255.255.255.255/32
Всё автоматом подтягивается ничё доп. ставить не нужно. Скорость закачки 150-180 мегабит.
Щас хочу ещё настроить через dnsmasq автоматическую раздачу суффикса DNS.
Чтобы при пинге на короткие имена он видел полные имена. Щас работают только ПОЛНЫЕ.
Ещё в идеале нужно настроить доступы к конкретным адрес для конкретных пользаков. И тогда можно пилить статью для коробочного решения.
IvanU7n, Добавил) не зассал. Всё взлетело как надо!! Но на всякий случай запланировал выключение debian через 60 минут))
Такс ну шо. Получается щас уже полный энтерпрайз.
Андроид и IOS сами изначальноу меют маршруты. Винда щас тоже умеет через dnsmasq.
Спасибо тебе огромное мил человек!!!!
Щас я другую ещё задачку придумал себе. Но это уже будет новый вопрос если что присоединяйся.) А свой ответ помечай решением и я закрою. Пусть людям будет полезная инфа по ПОЛНОЙ настройке сплит-туннеля ikev2. На мой взгляд это очень актуально для офисов и энтерпрайс. Лучше чем openvpn
