На роутере ASUS RT-N66U объекта поднят VPN по протоколу PPTP с шифрованием. NAT Passthrough разрешён,
http://www.imageup.ru/img138/thumb/n66u3388570.jpg (http://www.imageup.ru/img138/3388570/n66u.gif.html)
(насколько понимаю, для моих целей можно оставить в разрешённых только первую строку: PPTP Passthrough).

VPN-подключение из дома, как из Win-7, так и из Win-10 устанавливается мгновенно, но компьютеры внутренней сети (Win-7 и Win-8.1) по IP не пингуются, и по SMB доступа к ним также нет.
Однако те программы, которые подключаются по проброшенным портам и для которых разрешён доступ в брандмауэрах компьютеров LAN, работают по внутренним IP безукоризненно.

Приезжаю на точку, подключаюсь напрямую ко внутренней сети — проблем с доступом нет, все компьютеры пингуются, SMB на все идёт.

Пробую отключить брандмауэр одного из компьютеров при доступе через VPN. Как и ожидал, отключение его для общественных сетей не влияет: я же нахожусь во внутренней сети. Отключаю брандмауэр только для частных сетей — и сразу через VPN начинают идти пинги и появляется доступ по SMB. На другие компьютеры LAN при таком же отключении их брандмауэров всё также начинает идти нормально.

Однако работать с выключенным брандмауэром некошерно, а Центр безопасности выкидывает тревожный красный флажок.

Вот и вопрос: как организовать полный доступ к компьютерам внутренней сети через VPN при включённых брандмауэрах компьютеров в LAN.

указать в фаерволах разрешённую сеть VPN клиента (какой пул адресов выдаётся для VPN клиентах на маршрутизаторе).

cameron, т.е. я правильно добрался (когда смотришь на свой вопрос со стороны — в голову иногда приходят умные мысли) - но проверить не смог, поскольку сегодня там всё выключено? :)

http://www.imageup.ru/img138/thumb/firewall3388742.jpg (http://www.imageup.ru/img138/3388742/firewall.gif.html)

(вверху — внутренняя сеть, внизу — диапазон адресов, получаемых при входе по VPN)

Разумеется, другие настройки по пунктам выше и ниже, чем "Область", также будут настроены. Первый же пункт, "Тип правила", уже и выбран как "Настраиваемое".

скорее всего да. чтобы точно ответить нужно включить логгирование виндового файервола и заглянуть в лог, чтобы понять как именно он идентифицирует трафик из сети VPN клиента.

cameron, ага, спасибо. Завтра проверю.

mwz,

В Вашем случае я бы не применял настройки диапазонов, а банально разрешил определённым программам/сервисам доступ ко всем типам сетей (домашняя/частная, общая, доменная) в фаерволе Windows.

Anton04, да, спасибо, это была первая мысль. Но споткнулся на том, как разрешить пинги и как разрешить SMB (там ещё кое-что выплывет).

Но споткнулся на том, как разрешить пинги и как разрешить SMB »

Там есть дефолтное правило для ICMP, создайте по аналогии свое и для нужного типа сети или две всех типов сети. А SMB - это порт TCP-425, создайте правило для порта и всё.

Всем спасибо. Пока не было времени копать глубоко поэтому решено "в лоб" по совету cameron, http://forum.oszone.net/post-2875005.html#post2875005 — пока устраивает, поскольку по VPN заходят только доверенные лица. Остальные варианты проверю позже.