Sys-Admin Forum

VPN-подключение: динамический маршрут, корп. DNS | GRE-туннель

Приветствую!

Господа, у меня общий вопрос по оптимальной организации соединения между домашней и корпоративной сетями, который состоит из нескольких подвопросов.

Итак, на работе имеется LAN-сеть (192.168.32.0/25) и VPN для выхода в Интернет (192.168.33.0/25). Внешний IP VPN-сервера: 91.215.218.123, он же DNS-сервер.
Дома всё тривиально: 192.168.1.0/24; внешние IP белые, динамические.

Необходимо организовать соединение между домашней и корпоративной сетями, но при этом:
а) без задействования шлюза корп. сети в виде общего;
б) DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена.

I. Маршрутизация.
Тут всё стандартно. На домашней Win-машине (192.168.1.20) задал постоянный маршрут для доступа к машинам корп. сети:route add 192.168.32.0 MASK 255.255.255.128 192.168.33.85 IF 38 METRIC 1 -p - где “IF 38” (192.168.33.85) - IP VPN’а.
В итоге в таблице имею следующее:[SPOILER][CODE]===========================================================================
Список интерфейсов
38…VPN
11…f4 d1 08 2b 64 ca …Intel® Wireless-AC 9462

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 50
91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51 // нафег не нужен
192.168.1.0 255.255.255.0 On-link 192.168.1.20 306
192.168.1.20 255.255.255.255 On-link 192.168.1.20 306
192.168.1.255 255.255.255.255 On-link 192.168.1.20 306
192.168.32.0 255.255.255.128 On-link 192.168.33.85 36 // добавленный маршрут
192.168.32.127 255.255.255.255 On-link 192.168.33.85 291
192.168.33.85 255.255.255.255 On-link 192.168.33.85 291
224.0.0.0 240.0.0.0 On-link 192.168.1.20 306
224.0.0.0 240.0.0.0 On-link 192.168.33.85 291
255.255.255.255 255.255.255.255 On-link 192.168.1.20 306
255.255.255.255 255.255.255.255 On-link 192.168.33.85 291

Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.32.0 255.255.255.128 192.168.33.85 1
===========================================================================[/CODE][/SPOILER]После этого я могу обращаться по IP к машинам корп. сети.
Однако тут возникает два нюанса:

  1. После поднятия VPN’а автоматически создается совсем не нужный маршрут: “91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51” - каким образом его также автоматически удалять?
  2. Сетевой администратор сообщил, что решение из разряда через одно место и что надо создавать маршрут динамически при изменении соответствующих интерфейсов. Действительно ли так правильнее? Попытался найти в гугле решение, но не обнаружил. Подскажите, пожалуйста, как это сделать: каким-либо скриптом или есть встроенные решения?

II. DNS-сервер.
“DNS-сервер должен быть один, который бы резолвил имена машин корп. сети, так и глобальные имена.” - для этого необходимо задействовать корп. DNS-сервер 91.215.218.123, но извне он недоступен.
Я решил обойти эту проблему следующим образом. Добавил в настройки интерфейса клиента (192.168.1.20) два DNS:

  • предпочитаемый: 91.215.218.123 (корп. сеть);
  • альтернативный: 192.168.1.1. (домашняя сеть).
    И также добавил следующий постоянный маршрут:route add 91.215.218.123 MASK 255.255.255.255 192.168.32.1 IF 38 METRIC 1 -pВ итоге таблица следующая:[SPOILER][CODE]Список интерфейсов
    38…VPN
    11…f4 d1 08 2b 64 ca …Intel® Wireless-AC 9462
    ===========================================================================

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.20 50
91.215.218.123 255.255.255.255 192.168.1.1 192.168.1.20 51 // по-прежнему нафег не нужен
91.215.218.123 255.255.255.255 192.168.32.1 192.168.33.85 36 // добавленный маршрут
192.168.1.0 255.255.255.0 On-link 192.168.1.20 306
192.168.1.20 255.255.255.255 On-link 192.168.1.20 306
192.168.1.255 255.255.255.255 On-link 192.168.1.20 306
192.168.32.0 255.255.255.128 On-link 192.168.33.85 36
192.168.32.127 255.255.255.255 On-link 192.168.33.85 291
192.168.33.85 255.255.255.255 On-link 192.168.33.85 291
224.0.0.0 240.0.0.0 On-link 192.168.1.20 306
224.0.0.0 240.0.0.0 On-link 192.168.33.85 291
255.255.255.255 255.255.255.255 On-link 192.168.1.20 306
255.255.255.255 255.255.255.255 On-link 192.168.33.85 291

Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.32.0 255.255.255.128 192.168.33.85 1
91.215.218.123 255.255.255.255 192.168.32.1 1
===========================================================================[/CODE][/SPOILER]Соответственно, когда поднят VPN, то резолвинг всех имен идет через корп. DNS-сервер 91.215.218.123. Когда VPN тухнет, то вступает альтернативный домашний DNS-сервер 192.168.1.1.
Однако и здесь профессиональный сетевик меня тормазнул, сообщив, что таким макаром будет создаваться задержка.
Поэтому прошу подсказать вас как решить вопрос с DNS-сервером в моем случае по уму?

III. Альтернативное решение - GRE-туннель.
А вообще указанный выше товарищ порекомендовал поднять постоянный GRE-туннель на централизованном устройстве (роутере). Однако я немного в ступоре от данной рекомендации.
Во-первых, насколько я понял, GRE-тунель предполагает использование на двух концах статические IP-адреса. У меня же дома “внешние IP белые, динамические”. Конечно, есть DDNS, но он вроде имя в организации GRE-туннеля неуместно.
Во-вторых, когда я уточнил, что будучи в разъездах в качестве роутера у меня будет использоваться Android-телефон, но на это я получил ответ, что под Android никаких проблем организовать GRE-туннель нет. Однако там та же ситуация: динамические IP-адреса и, более того, они ещё сидят за провайдерским NAT’ом.

Вопросы тут такие:

  1. Возможно ли организовать GRE-туннель с белым динамическим IP-адресом на одном из концов?
  2. Возможно ли организовать GRE-туннель с серым IP-адресом на одном из концов?
  3. Освобождает ли GRE-туннель от прописывания такого же постоянного маршрута, который был указан в вопросе I?

Благодарю!!!