Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Как перманентно прописать конкретные ип шифро впна(чтобы без него инет не работал)? (http://forum.oszone.net/showthread.php?t=188099)

wondefurrlife 12-10-2010 07:54 1516872
Как перманентно прописать конкретные ип шифро впна(чтобы без него инет не работал)?
 
delete

QRS 13-10-2010 00:11 1517560
Уважаемый wondefurrlife, Вы не могли бы более подробно изложить задачу, которая перед Вами стоит?

Дело в том, что если у Вас не будет работать Инетрнет (vpn провайдера), то не будет возможности достучаться до удаленного vpn-сервера... и задача теряет смысл.

Возможно, Вы хотели бы заставить весь трафик интернет проходить через собственный VPN и уходить к web-серверам от имени удаленного сервера (и за его счет). В этом случае Вам проще всего принудительно задать клиентам прокси в удаленной сети, а весь трафик от клиентов, который направлен не на прокси - запретить.

wondefurrlife 13-10-2010 20:23 1518194
delete

QRS 14-10-2010 07:55 1518446
К сожалению с OpenVPN я работал очень мало, но по Вашей проблеме могу заметить:
1. На физическом адаптере Вам нужно убрать шлюз по-умолчанию (т.е. задайте статический адрес, а поле шлюза оставьте пустым; либо через DHCP-сервер создайте для данного узла резервирование и уберите из параметров шлюз);
2. Добавьте маршрут к vpn-серверу через шлюз, подключенный к физическому адаптеру: route add -p <ip vpn-сервера> mask 255.255.255.255 192.168.57.2 metric 1

Т.о. Вы получите маршрут для Вашего VPN-сервера (можно по той же схеме прописать маршруты для DNS-серверов - так будет проще), а выход в Инет не будет работать, т.к. маршрут для остальных адресов отсутствует!

Дальше идет настройка OpenVPN, т.к. удаленный сервер должен быть настроен на прием транзитного трафика (здесь помочь не могу - нужно рыть мануалы). Замечу только, что OpenVPN клиент должен при установлении VPN от сервера получать шлюз по-умолчанию из защищенной сети (по данным ipconfig - сейчас не получает).
Чтобы не заморачиваться с настройкой транзитного трафика, можно внутри защищенной сети развернуть прокси, а клиентский браузер настроить на его использование.

PS: на интерфейсе OpenVPN имеет смысл отключить IPv6, если только сервер oVPN не настроен в режиме bridge для защищенной сети.

wondefurrlife 14-10-2010 19:25 1518956
delete

QRS 14-10-2010 19:49 1518982
Цитата:
Цитата wondefurrlife
а в моем случае, какой указать статический ип? »
Который Вам сейчас выдает DHCP-сервер (хотя в дальнейшем вероятны проблемы - когда сервер решит что Ваш адрес свободен и попытается выдать его другому клиенту)... а можно договориться с админом DHCP-сервера (о резервировании адреса или исключении адреса из выдачи).

wondefurrlife 14-10-2010 23:38 1519137
delete

El Scorpio 15-10-2010 02:25 1519233
Цитата:
Цитата wondefurrlife
то есть у меня локальная машина(VMWARE), в ней всегда поднятый инет(по NAT). »
В смысле, нужно ограничить интернет на виртуальной машине, которая к реальной сети подключена через NAT виртуализатора?

В любом случае, можно сделать так
1. Ввести параметры сети вручную, убрав "маршрут по умолчанию"
2. Прописать статические маршруты на адреса серверов VPN и DNS (если подключение будет по имени).

Цитата:
Цитата QRS
а можно договориться с админом DHCP-сервера »
Тогда уж проще сразу попросить его об ограничении выхода в интернет путём создания правил на маршрутизаторе.
Кстати, если NAT-маршрутизатор свой, достаточно просто прописать в его файрволле два правила:
1. Запрет на все подключения с этого локального адреса
2. Разрешение на подключение к адресам, требуемым для поднятия VPN

wondefurrlife 16-10-2010 22:01 1520357
delete


Время: 19:10.

Время: 19:10.
© OSzone.net 2001-