1) Вот всё то же самое что у меня в том конфиге в предыдущем посте.
2) Но, мы добавляем в основную надстройку auto=ignore
3) Далее создаём псевдогруппы и там уже прописываем leftsubnet=...
4)ОБЯЗАТЕЛЬНО везде по дефолту прописываем сам dnsmasq сервак (DHCP сервак не авторитарный) у меня это 30.157 (сам впн сервак debian и dnsmasq), далее адрес бродкаста 255.255.255.255/32.
5) Потом по желанию прописываем 1 или 2 днс сервера 192.168.30.12/32
6) А уже далее прописываем сети или отдельные адреса
7) В результате каждому пользаку можно назначать свои адреса или подсети)))
Сейчас хочу сделать в связку с радиусом чтобы вписывать в конфиг не пользователей а группы и не перегружать.
CityCat4, Очень просто всё настраивается как оказалось. Вот готовый конфиг для dnsmasq.conf
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=tag:msipsec,192.168.103.0,static -------------------- тут пишешь IP VPN (у меня например 10.10.15.0)
dhcp-option=tag:msipsec,6
dhcp-option=tag:msipsec,249, 0.0.0.0/1,0.0.0.0, 128.0.0.0/1,0.0.0.0 ---а тут пишешь сети куда надо рассылать маршруты! То есть тут сети твоего предприятия
Далее в leftsubnet ОБЯЗАТЕЛЬНО ДОБАВИТЬ бродкаст 255.255.255.255/32
Всё автоматом подтягивается ничё доп. ставить не нужно. Скорость закачки 150-180 мегабит.
Щас хочу ещё настроить через dnsmasq автоматическую раздачу суффикса DNS.
Чтобы при пинге на короткие имена он видел полные имена. Щас работают только ПОЛНЫЕ.
Ещё в идеале нужно настроить доступы к конкретным адрес для конкретных пользаков. И тогда можно пилить статью для коробочного решения.
IvanU7n, Добавил) не зассал. Всё взлетело как надо!! Но на всякий случай запланировал выключение debian через 60 минут))
Такс ну шо. Получается щас уже полный энтерпрайз.
Андроид и IOS сами изначальноу меют маршруты. Винда щас тоже умеет через dnsmasq.
Спасибо тебе огромное мил человек!!!!
Щас я другую ещё задачку придумал себе. Но это уже будет новый вопрос если что присоединяйся.) А свой ответ помечай решением и я закрою. Пусть людям будет полезная инфа по ПОЛНОЙ настройке сплит-туннеля ikev2. На мой взгляд это очень актуально для офисов и энтерпрайс. Лучше чем openvpn
Drno, IvanU7n, что мне нравится через ikev2 strongswan я полностью вижу netbios и полные dns имена
То есть по сути я лишь ввожу 1 маршрут на клиенте и ввожу DNS суффикс.
В результате 1С база открываетс за 5 секунд как будто на работе...неплохо...
не надо та мникаике hosts херост говностс прописывать. Почти продакшн решение
Может быть и можно в продакшн если учитывать эти полтора костыля.
Я кстати немного не догнал как этот конфиг развернуть. ТАм по ссылке это готовое решение для маршрутизации или надо чё то ещё дополнительно ставить? если чё то ещё ставить то проще маршрут прописать я думаю
А вот с RADIUS очень сложно. Невозможная сложность практически