blackmane
10-10-2014, 23:52
Доброго времени суток!
Имеется 2 сервера OpenVPN (ubuntu 12.04.4 LTS) - старый (Франция), новый (Эстония). Одноранговая сеть Windows машин с установленным OpenVPN (для выхода в тырнет используется обычный роутер D-Link) и сервер Win2K8R2 (в отдалении). Все клиенты через старый сервер подключаются по OVPN к Win2K8R2 посредством RDP.
Стоит задача перетащить клиентов со старого сервера на новый (изменить ip в конфиге).
Это можно было бы сделать безболезненно если бы:
-OVPN сервер имел бы dns имя
или
-роутер (или какая нибудь прокся/шлюз) подключались бы к сети OVPN
Но увы, ни первое, ни второе не было реализовано.
На данный момент Win2K8R2 смотрит в обе OVPN сети и имеет ip адреса:
старый 10.20.20.2 (соответственно у клиентов РДП-файл и ссылка на шару обращаются на этот ip)
новый 10.20.20.3
Остается 4 пути решения:
-отключить старый сервер, пройтись по машинкам и изменить конфиг (локально/удаленно, ручками/скриптом - не важно как) - энное время народ работать не сможет
-оставить старый сервер, на новом сделать другую подсеть, пройтись по машинкам изменить конфиг и добавить новые файл РДП и ссылку на шару - все делается в режиме онлайн, но появляются новые ярлыки
-купить новый роутер (Микротик к примеру) или перепрошить существующий какой-нибудь прошивкой с поддержкой OVPN - покупать никто ничего не собирается, а перепрошивка отключит народ вообще от инета на энное количество времени
-сделать все ночью - доступ на объект закрыт и электроэнергию отключают.
Есть ли возможность на новом сервере как-то указать, что при обращении на 10.20.20.2:3389 шло подключение к 10.20.20.3:3389
Я попробовал использовать PREROUTING и POSTROUTING (правила на сервере дефолтные), но либо я не туда иду, либо руки у меня не совсем из плеч растут
iptables -S -t nat
-A PREROUTING -d 10.20.20.2/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.20.20.3:3389
-A POSTROUTING -d 10.20.20.3/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 10.20.20.2
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
Есть возможность так сделать, или я просто мечтатель?
Имеется 2 сервера OpenVPN (ubuntu 12.04.4 LTS) - старый (Франция), новый (Эстония). Одноранговая сеть Windows машин с установленным OpenVPN (для выхода в тырнет используется обычный роутер D-Link) и сервер Win2K8R2 (в отдалении). Все клиенты через старый сервер подключаются по OVPN к Win2K8R2 посредством RDP.
Стоит задача перетащить клиентов со старого сервера на новый (изменить ip в конфиге).
Это можно было бы сделать безболезненно если бы:
-OVPN сервер имел бы dns имя
или
-роутер (или какая нибудь прокся/шлюз) подключались бы к сети OVPN
Но увы, ни первое, ни второе не было реализовано.
На данный момент Win2K8R2 смотрит в обе OVPN сети и имеет ip адреса:
старый 10.20.20.2 (соответственно у клиентов РДП-файл и ссылка на шару обращаются на этот ip)
новый 10.20.20.3
Остается 4 пути решения:
-отключить старый сервер, пройтись по машинкам и изменить конфиг (локально/удаленно, ручками/скриптом - не важно как) - энное время народ работать не сможет
-оставить старый сервер, на новом сделать другую подсеть, пройтись по машинкам изменить конфиг и добавить новые файл РДП и ссылку на шару - все делается в режиме онлайн, но появляются новые ярлыки
-купить новый роутер (Микротик к примеру) или перепрошить существующий какой-нибудь прошивкой с поддержкой OVPN - покупать никто ничего не собирается, а перепрошивка отключит народ вообще от инета на энное количество времени
-сделать все ночью - доступ на объект закрыт и электроэнергию отключают.
Есть ли возможность на новом сервере как-то указать, что при обращении на 10.20.20.2:3389 шло подключение к 10.20.20.3:3389
Я попробовал использовать PREROUTING и POSTROUTING (правила на сервере дефолтные), но либо я не туда иду, либо руки у меня не совсем из плеч растут
iptables -S -t nat
-A PREROUTING -d 10.20.20.2/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.20.20.3:3389
-A POSTROUTING -d 10.20.20.3/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 10.20.20.2
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
Есть возможность так сделать, или я просто мечтатель?