Выход в интернет при использовании VPN

[Mizeraj]

Необходимо использовать VPN сервер компании, при этом получая выход в интернет не через него, а через текущее кабельное подключение. В винде за это отвечает галка в настройке "использовать основной шлюз в удаленной сети". Подскажите пожалуйста, как это реализовать в Ubuntu 13.04?

[ArcFi]

Если я правильно понял:
IPv4 > Маршруты > Только для этой сети

[Mizeraj]

Установка галки там дает возможность пользовать интернет, но вот ресурсы внутри сети VPN перестают быть доступными...
Есть мнение, что требуется прописать маршрут после подключения, как это сделать можно подскажите?

[fisher74]

Именно в той вкладке есть инструмент для этого. Указываете сеть, маску, шлюз и метрику (например 0)

[ArcFi]

Есть мнение, что требуется прописать маршрут после подключения, как это сделать можно подскажите?

Узнавайте IP ресурсов и показывайте после подключения VPN

Код: [Выделить]

ip r

[Mizeraj]

Дело в том, что надо пробросить маршрут так, чтобы при обращении в подсеть 192.168.9.0 трафик шел через шлюз 10.240.1.1, который образуется после впн подключения - подскажете как сделать можно? Еще бы был очень благодарен, если бы подбросили качественных мануалов на этот счет.

Добавлю, что добавление маршрута в подключение впн (настройки IPv4 - маршрутизация) результатов не дало.

[ArcFi]

Узнавайте IP ресурсов и показывайте после подключения VPN

Код: [Выделить]

ip r

Какое слово непонятно?
Для решения проблемы нужна диагностика и фактические данные.
Гадать на кофейной гуще тут никто не будет.

[fisher74]

Добавлю, что добавление маршрута в подключение впн (настройки IPv4 - маршрутизация) результатов не дало.

А что добавляли-то? Какой маршрут? Скриншот можете приложить?

[Mizeraj]

Узнавайте IP ресурсов и показывайте после подключения VPN

Код: [Выделить]

ip r

Какое слово непонятно?
Для решения проблемы нужна диагностика и фактические данные.
Гадать на кофейной гуще тут никто не будет.

Без подключения VPN:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

default via 192.168.1.1 dev eth0  proto static
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.112  metric 1

C VPN:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

default via 192.168.1.1 dev eth0  proto static
10.240.1.1 dev ppp0  proto kernel  scope link  src 10.240.1.12
86.62.69.82 via 192.168.1.1 dev eth0  proto static
86.62.69.82 via 192.168.1.1 dev eth0  src 192.168.1.112
169.254.0.0/16 dev ppp0  scope link  metric 1000
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.112  metric 1
192.168.9.0/24 via 10.240.1.1 dev ppp0  proto static  metric 24
192.168.61.0/24 via 10.240.1.1 dev ppp0  proto static  metric 24
192.168.62.0/24 via 10.240.1.1 dev ppp0  proto static  metric 24
192.168.63.0/24 via 10.240.1.1 dev ppp0  proto static  metric 24

Добавлю, что добавление маршрута в подключение впн (настройки IPv4 - маршрутизация) результатов не дало.

А что добавляли-то? Какой маршрут? Скриншот можете приложить?

Разумеется, скриншот:

(Нажмите, чтобы показать/скрыть)

[fisher74]

я вижу, что интернет должен работать.
Хотя есть ещё вероятность, что DNS-сервера перенастраиваются
Что кажут команды:?

Код: [Выделить]

nslookup ya.ru
nslookup ya.ru 8.8.8.8
P.S. Естественно, при комбинированном соединении

[ArcFi]

Дело в том, что надо пробросить маршрут так, чтобы при обращении в подсеть 192.168.9.0 трафик шел через шлюз 10.240.1.1, который образуется после впн подключения

192.168.9.0/24 via 10.240.1.1 dev ppp0  proto static  metric 24

Маршрутизация на клиенте прописана нормально.
Теперь надо убедиться, что
1) хосты из 192.168.9.0/24 имеют маршрут до VPN-сети через VPN-шлюз
2) все промежуточные шлюзы не препятствуют прохождению трафика между указанными сетями
3) в фаерволе на хостах сети 192.168.9.0/24 открыт доступ для клиентов из VPN-сети

[Mizeraj]

1й вариант:

(Нажмите, чтобы показать/скрыть)

Server:         127.0.1.1
Address:        127.0.1.1#53

Non-authoritative answer:
Name:   ya.ru
Address: 93.158.134.203
Name:   ya.ru
Address: 213.180.193.3
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 77.88.21.3
Name:   ya.ru
Address: 87.250.250.3
Name:   ya.ru
Address: 87.250.250.203
Name:   ya.ru
Address: 87.250.251.3
Name:   ya.ru
Address: 93.158.134.3

2й вариант:

(Нажмите, чтобы показать/скрыть)

Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   ya.ru
Address: 213.180.204.3
Name:   ya.ru
Address: 77.88.21.3
Name:   ya.ru
Address: 87.250.250.3
Name:   ya.ru
Address: 87.250.250.203
Name:   ya.ru
Address: 87.250.251.3
Name:   ya.ru
Address: 93.158.134.3
Name:   ya.ru
Address: 93.158.134.203
Name:   ya.ru
Address: 213.180.193.3

Это с подключенным VPN и галкой "испорльзовать только для ресурсов этого соединения".

Я, возможно, немного ввел в заблуждение. Стоит галка "испорльзовать только для ресурсов этого соединения" - таким образом работает интернет при подключенном VPN, но не работают ресурсы VPN-сети (если прописать их в hosts то работают)...
Без данной галки работают ресурсы VPN, но не работает интернет.

Рядом виндовая машина, на которой без проблем все работает - route add 192.168.9.0 mask 255.255.255.0 10.240.1.1 после подключения впн, стоит галка в настройках впн - "использовать основной шлюз в удаленной сети"

[ArcFi]

Я, возможно, немного ввел в заблуждение. Стоит галка "испорльзовать только для ресурсов этого соединения" - таким образом работает интернет при подключенном VPN, но не работают ресурсы VPN-сети (если прописать их в hosts то работают)...
Без данной галки работают ресурсы VPN, но не работает интернет.

Т.е. я правильно понимаю, что доступ к корпоративным ресурсам по IP-адресу работает при любом раскладе?

[Mizeraj]

Да, очевидно это верное утверждение - по айпишнику они доступны что с галкой, что без нее...

[ArcFi]

Тогда маршрутизация и фаервол настроены нормально и надо копать в сторону DNS.
Есть несколько способов решения, но наиболее правильными будут такие:
1) делегировать корпоративному DNS лишь некоторую зону, типа *.example.org и осуществлять доступ к корпоративным ресурсам через эту зону
2) использовать при VPN-подключении исключительно корпоративный DNS-сервер