1) Вот всё то же самое что у меня в том конфиге в предыдущем посте.
2) Но, мы добавляем в основную надстройку auto=ignore
3) Далее создаём псевдогруппы и там уже прописываем leftsubnet=...
4)ОБЯЗАТЕЛЬНО везде по дефолту прописываем сам dnsmasq сервак (DHCP сервак не авторитарный) у меня это 30.157 (сам впн сервак debian и dnsmasq), далее адрес бродкаста 255.255.255.255/32.
5) Потом по желанию прописываем 1 или 2 днс сервера 192.168.30.12/32
6) А уже далее прописываем сети или отдельные адреса
7) В результате каждому пользаку можно назначать свои адреса или подсети)))
Сейчас хочу сделать в связку с радиусом чтобы вписывать в конфиг не пользователей а группы и не перегружать.
CityCat4, Очень просто всё настраивается как оказалось. Вот готовый конфиг для dnsmasq.conf
dhcp-vendorclass=set:msipsec,MSFT 5.0
dhcp-range=tag:msipsec,192.168.103.0,static -------------------- тут пишешь IP VPN (у меня например 10.10.15.0)
dhcp-option=tag:msipsec,6
dhcp-option=tag:msipsec,249, 0.0.0.0/1,0.0.0.0, 128.0.0.0/1,0.0.0.0 ---а тут пишешь сети куда надо рассылать маршруты! То есть тут сети твоего предприятия
Далее в leftsubnet ОБЯЗАТЕЛЬНО ДОБАВИТЬ бродкаст 255.255.255.255/32
Всё автоматом подтягивается ничё доп. ставить не нужно. Скорость закачки 150-180 мегабит.
Щас хочу ещё настроить через dnsmasq автоматическую раздачу суффикса DNS.
Чтобы при пинге на короткие имена он видел полные имена. Щас работают только ПОЛНЫЕ.
Ещё в идеале нужно настроить доступы к конкретным адрес для конкретных пользаков. И тогда можно пилить статью для коробочного решения.
IvanU7n, Добавил) не зассал. Всё взлетело как надо!! Но на всякий случай запланировал выключение debian через 60 минут))
Такс ну шо. Получается щас уже полный энтерпрайз.
Андроид и IOS сами изначальноу меют маршруты. Винда щас тоже умеет через dnsmasq.
Спасибо тебе огромное мил человек!!!!
Щас я другую ещё задачку придумал себе. Но это уже будет новый вопрос если что присоединяйся.) А свой ответ помечай решением и я закрою. Пусть людям будет полезная инфа по ПОЛНОЙ настройке сплит-туннеля ikev2. На мой взгляд это очень актуально для офисов и энтерпрайс. Лучше чем openvpn
1) OWA на 443
2) Сайт компании на 443
3) ВПН SSTP на 443
Я так понимаю дофига делов будет?)