Zdědil jsem menší síť (jednoduché doménové prostředí). Všechno bylo původně na jedné podsíti (myslím tím všechno)…
Nainstaloval jsem několik VLANů, aby je rozdělil, konkrétně VLAN50 (servery) a VLAN200 (všechno ostatní) na přepínačích vrstvy 3.
VLAN50 - 10.1.50.0/24
VLAN200 - 192.168.200.0/24
Fyzicky v síti, obě VLANy mohou komunikovat mezi sebou.
Na VLAN200 mám nyní nakonfigurovaný server Windows Server 2016 RRAS (L2TP) (DHCP dává IP z rozsahu VLAN200 při připojení). Funguje to dobře, a když se uživatelé vzdáleně připojí, mají přístup ke všemu na VLAN200. Původně byl nakonfigurován s jedním NIC v VLAN200. Snažím se nyní umožnit vzdáleným VPN uživatelům přístup na VLAN50 při připojení k RRAS serveru v VLAN200.
Úspěšně jsem to dočasně vyřešil pomocí PowerShellu přidáním místní VPN připojení s příkazem:
Add-VpnConnectionRoute -ConnectionName "VPN-Connection" -DestinationPrefix 10.1.50.0/24 -PassThru
Toto funguje skvěle jako rychlé řešení pro mě, ale preferoval bych nechat směrovat všechny VLANy na serveru RRAS, pokud je to možné.
Zde je, co jsem zatím vyzkoušel:
- Přidal roli LAN Routing na serveru RRAS
- Přidal druhý NIC na serveru RRAS, aby byl v obou VLANách
- Vytvořil statické routy na serveru RRAS pro směrování mezi VLANy
Nic však nefunguje. Mohu se připojit k RRAS, ale nevidím žádné zařízení ve VLAN50 od VLAN200.
Shrnutí:
VLAN200 - 192.168.200.0/24
VLAN50 - 10.1.50.0/24
Konfigurace NIC na RRAS:
NIC1 (Vložená VLAN) - 192.168.200.15 (firewall přeposílá VPN provoz na toto rozhraní)
NIC2 (Server VLAN) - 10.1.50.15
Interní rozhraní - 192.168.200.120 (nejsem si jistý účelem, není to skutečné NIC)
Loopback interface
Myslím, že moje statické routy jsou nesprávné:
Route1 Route2
A zde je výstup příkazu route print na RRAS:
==========================================================================
Seznam rozhraní
14...50 6b XX XX XX XX ......Red Hat VirtIO Ethernet Adapter #2
17...50 6b XX XX XX XX ......Red Hat VirtIO Ethernet Adapter
31...........................RAS (Dial In) Interface
1...........................Software Loopback Interface 1
4...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
8...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================
IPv4 Routovací tabulka
===========================================================================
Aktuální trasy:
Cílová síť Maska sítě Brána Rozhraní Metrika
0.0.0.0 0.0.0.0 192.168.200.1 192.168.200.15 15
0.0.0.0 0.0.0.0 10.1.50.1 10.1.50.15 15
10.1.50.0 255.255.255.0 On-link 10.1.50.15 271
10.1.50.15 255.255.255.255 On-link 10.1.50.15 271
10.1.50.255 255.255.255.255 On-link 10.1.50.15 271
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.200.0 255.255.255.0 On-link 192.168.200.15 271
192.168.200.15 255.255.255.255 On-link 192.168.200.15 271
192.168.200.118 255.255.255.255 192.168.200.118 192.168.200.120 62
192.168.200.119 255.255.255.255 192.168.200.119 192.168.200.120 62
192.168.200.120 255.255.255.255 On-link 192.168.200.120 317
192.168.200.255 255.255.255.255 On-link 192.168.200.15 271
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.200.15 271
224.0.0.0 240.0.0.0 On-link 10.1.50.15 271
224.0.0.0 240.0.0.0 On-link 192.168.200.120 317
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.200.15 271
255.255.255.255 255.255.255.255 On-link 10.1.50.15 271
255.255.255.255 255.255.255.255 On-link 192.168.200.120 317
===========================================================================
Trvalé routy:
žádné