Уважаемые форумчане!

Схема:
комп 192.168.22.5 (XP) --- роутер 192.168.22.1 --- (интернет) --- VPN сервер (Windows 2003) --- сеть 192.168.20.Х

Пользователь при VPN соединении получает IP 192.168.21.X и к нему идет инет-трафик через этот канал.
Этому пользователю нужен только доступ к определенному серверу из сети 192.168.20.X.

Вопрос:
Как можно закрыть\запретить инет-трафик через VPN соединение?

Как можно закрыть\запретить инет-трафик через VPN соединение? »
В*DHCP-сервере зарезервировать IP-адрес клиента
В*файрволле настроить правило для фильтрации исходящих пакетов по IP

Пользователь при VPN соединении получает IP 192.168.21.X »
От кого он получает адрес?
Если можно назначить ему статику, то проще всего не прописывать шлюз по умолчанию, а выдать один статический маршрут на конкретный сервер.

gf100, из статического пула адресов для удаленного подключения на серваке

инет-трафик закрыл - убрав галку "использовать основной шлюз в удаленной сети".
но теперь не пингуются машины из 192.168.20.X

Народ, где копать?

из статического пула адресов для удаленного подключения на серваке »
Вот и запретить на файрволле "внешнего"*интерфейса прохождение пакетов из этого диапазона адресов.
Вроде бы как "фильтрация пакетов" эта опция называется

El Scorpio, я закрыл инет способом в посте чуть выше, но теперь пользователи не могу подключаться к серваку, и вообще не пингуются компы из 192.168.20.X

прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) - не помогло, может другой шлюз надо указывать?

пингуется только 192.168.21.10 (это сервак VPN), а нужен 192,168,20,21

где может быть проблема?

может другой шлюз надо указывать? »
Возможно. Проверь, включив шлюз по умолчанию:

tracert 192.168.20.x

это может оказаться 192.168.22.1.

есть еще одна проверка:

route print

прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) »
И*каким образом пакет с адреса 192.168.22.50 попадёт в 192.168.20.0/24?
Разумеется шлюзом для удалённой сети надо указывать адрес сервера VPN (точнее, его адрес на той стороне канала)

gf100, El Scorpio,
получается маршрут должен выглядеть:

route add -p 192.168.20.0 mask 255.255.255.0 192.168.21.10 - не пингуется ничего

но при этом, если прописать:
route add -p 192.168.20.21 (сервак который мне нужен) mask 255.255.255.255 192.168.21.10 - этот конкретный сервер прекрасно пингуется :)

так где ж я туплю? чтобы пинговались все ip в 192.168.20.X?

f1ame, напиши результат команды route print на клиенте и на сервере как до подключения, так и после

чтобы пинговались все ip в 192.168.20.X »
Возможно,
1) маска сети не 255.255.255.0
2) другие компьютеры из сети 192.168.20.X "не знают маршрут" к 192.168.22.5, т.е. я бы проверял ping и tracert с обеих сторон.
3) случайная описка при вводе маршрута.

На сервере

ДО соединения
Активные маршруты:
0.0.0.0 0.0.0.0 80.2.143.41 80.2.143.45 1
80.2.143.40 255.255.255.248 80.2.143.45 80.2.143.45 1
80.2.143.45 255.255.255.255 127.0.0.1 127.0.0.1 1
80.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.22.0 255.255.255.0 192.168.22.50 192.168.22.50 10
192.168.22.50 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.22.255 255.255.255.255 192.168.22.50 192.168.22.50 10
224.0.0.0 240.0.0.0 80.2.143.45 80.2.143.45 1
224.0.0.0 240.0.0.0 192.168.22.50 192.168.22.50 10
255.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
255.255.255.255 255.255.255.255 192.168.22.50 192.168.22.50 1
основной шлюз: 80.2.143.41
===========================================================================
Постоянные маршруты:
192.168.20.21 255.255.255.255 192.168.21.21 1
192.168.20.159 255.255.255.255 192.168.21.21 1


ПОСЛЕ


Активные маршруты:
0.0.0.0 0.0.0.0 80.2.143.41 80.2.143.45 1
62.5.206.82 255.255.255.255 80.2.143.41 80.2.143.45 1
80.2.143.40 255.255.255.248 80.2.143.45 80.2.143.45 1
80.2.143.45 255.255.255.255 127.0.0.1 127.0.0.1 1
80.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.20.21 255.255.255.255 192.168.21.21 192.168.21.21 1
192.168.20.159 255.255.255.255 192.168.21.21 192.168.21.21 1
192.168.21.0 255.255.255.0 192.168.21.21 192.168.21.21 1
192.168.21.21 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.21.255 255.255.255.255 192.168.21.21 192.168.21.21 50
192.168.22.0 255.255.255.0 192.168.22.50 192.168.22.50 10
192.168.22.50 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.22.255 255.255.255.255 192.168.22.50 192.168.22.50 10
224.0.0.0 240.0.0.0 80.2.143.45 80.2.143.45 1
224.0.0.0 240.0.0.0 192.168.21.21 192.168.21.21 50
224.0.0.0 240.0.0.0 192.168.22.50 192.168.22.50 10
255.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
255.255.255.255 255.255.255.255 192.168.21.21 192.168.21.21 1
255.255.255.255 255.255.255.255 192.168.22.50 192.168.22.50 1
основной шлюз: 80.2.143.41
===========================================================================
Постоянные маршруты:

192.168.20.21 255.255.255.255 192.168.21.21 1
192.168.20.159 255.255.255.255 192.168.21.21 1