Tengo una configuración un tanto extraña para un servidor VPN con OS X Mountain Lion. Básicamente se está utilizando como un puente para evitar el firewall de mi empresa a nuestra conexión de extranet; ciertas cosas que nuestro equipo debe hacer requieren acceso sin restricciones al exterior, y cambiar las políticas de TI para permitir el tráfico a través del firewall principal no es una opción.
La conexión de extranet se proporciona a través de un enrutador Wireless-N (llamémoslo Wi-Fi X). Mi servidor Mac Mini está configurado con la conexión a este enrutador como la conexión principal, por lo tanto, el acceso sin restricciones a Internet a través del enrutador. Las conexiones a este dispositivo en la subred inmediata son posibles a través del puerto LAN, pero fuera de la subred las cosas son menos confiables.
Pude configurar el servidor VPN para proporcionar direcciones IP a clientes en el rango 192.168.11.150-192.168.11.200 usando PPTP y L2TP, y puedo conectarme a la extranet a través de la VPN usando la VPN estándar de Mac OS X cliente en Preferencias del sistema, sin embargo, como era de esperar, una dirección local (llamémosla internal.company.com) no devuelve nada.
Intenté evitar la limitación del servidor VPN configurando rutas en la configuración de VPN. Nuestra empresa utiliza 13.xxx para todo el tráfico interno, en lugar de 10.xxx, por lo que la tabla de enrutamiento se parecía a esto:
IP Address ---------- Subnet Mask ---------- Configuration
0.0.0.0 248.0.0.0 Private
8.0.0.0 252.0.0.0 Private
12.0.0.0 255.0.0.0 Private
13.0.0.0 255.0.0.0 Public
14.0.0.0 254.0.0.0 Private
16.0.0.0 240.0.0.0 Private
32.0.0.0 224.0.0.0 Private
64.0.0.0 192.0.0.0 Private
128.0.0.0 128.0.0.0 Private
Tenía la impresión de que si no se ingresaba nada aquí, todo el tráfico se enrutaba a través de la VPN. Con algo ingresado, solo el tráfico marcado específicamente para pasar por la VPN pasaría a través de la VPN, y todo el resto del tráfico dependería del cliente para acceder utilizando su propia conexión predeterminada. Es por eso que tuve que marcar específicamente cada subred, excepto 13.xxx como Privada.
Sospecho que, dado que no puedo acceder al servidor VPN desde fuera de la subred local, no se está conectando al servidor DNS principal y, por lo tanto, no se puede acceder a la red más grande. Estoy pensando que ingresar nombres de host como internal.company.com no se devuelve al cliente para que lo resuelva, porque el servidor no tiene idea de que la dirección IP cae en el rango público, ya que sospecho (probablemente debería probarlo, pero no tengo acceso a él en este momento) que no puede llegar al servidor DNS para averiguar nada sobre ese nombre de host.
Me parece que todas mis opciones para resolver esto se reducen al mismo tipo de solución:
Descubre cómo llegar al DNS con la conexión secundaria en el servidor. Estoy pensando que si puedo hacer [algo] para que mi servidor reconozca que también debería verificar mi puerta de enlace local (digamos IP del servidor == 13.100.100.50 y Puerta de enlace IP == 13.100.100.1). Desde allí, Gateway IP puede decirme que busque el servidor DNS en 13.1.1.1 y me brinde información sobre mi red interna. Estoy muy confundido acerca de este camino, realmente no estoy seguro de si tengo sentido.
Pensé en intentar hacer este lado del cliente, pero eso tampoco tiene sentido, ya que eso agregaría tiempo a cada configuración del lado del cliente. Además, parece más lógico resolverlo en el servidor: podría deshacerme de mi tabla de enrutamiento por completo o conservarlo. Creo que la única diferencia sería que el tráfico interno también pasaría por el servidor, probablemente una carga innecesaria para eso.
¿Alguna ayuda por ahí? ¿O estoy sobre mi cabeza? El proxy directo o el proxy transparente también es una opción para mí, aunque no tengo idea de cómo configurar ninguno de los dos. (Lo sé, Google es mi amigo).