Раздача Интернета на клиенты с разными ОС
 

Всех приветствую!

Имеется локальная сеть. Внутри этой сети на одном ПК (Windows 8.1) поднимается VPN-подключение, через которое поступает Интернет. Необходимо раздать этот Интернет определенным участникам сети (в общем кол-ве не более 30 машин), не прибегая к прокси-серверу. Участники сети: Windows 8.1 и Ubuntu (последние не находятся внутри домена).

Когда-то давно игрался с организацией VPN-сервера на Windows XP, но он был каким-то глючным. Да и развернуть встроенный VPN-сервер я на Windows 8.1 не смогу, т.к. он назначается для определенных пользователей, а, как я уже выше заметил, Ubuntu-клиенты к домену не относятся.

Может быть есть сторонние и адекватные VPN-серверы, которые подойдут для моей задачи? Я честно пытался гуглить на тему "VPN-сервер для Windows скачать/купить", но выходил только на настройку встроенного VPN-сервера... А так на ум приходит лишь Kerio - у них вроде как есть VPN-сервер? Но Kerio дофига накрученная штука, в которой хрен разберешься куча лишнего для меня.

Или вообще по-другому как-то это решить можно (ну там IPSec какой-нибудь)? Желательно бы что-нибудь попроще, конечно, но при этом, чтобы это было стабильное решение :)

Я не против, в принципе, использовать два VPN: встроенный VPN-сервер для Windows-клиентуры и какой-нибудь VPN-сервер для Linux-клиентуры (если таковой под Windows вообще имеется... Вроде как есть OpenSSH и под Windows, но это ведь не оно?). Но че-то два VPN-сервера это как-то совсем некомильфово...

Спасибо!

P.S. Шифровать мне ничего не надо. Главное требование - это максимальная проходимость.

P.P.S. И вообще, конечно, на стороне Ubuntu не хотелось бы юзать каких либо специфически клиентов. Чтобы обычные клиенты "pptp-linux" смогли подключаться.

The_Immortal, VPN-сервер вообще не при чём.
У вас есть компьютер, который выполняет роль клиента VPN, с точки зрения системы - это такой же интернет, как у многих провайдеров - тот же Билайн даёт инет по PPTP и L2TP.

Busla, Ну да, так и есть. И как раздать с этого компьютера получаемый Интернет дальше? В этом-то, собственно, и вопрос :)

Получать этот интернет не компьютером а каким-нибудь другим устройством которое будет играть роль шлюза (роутер который умеет в впн), а уже с него раздавать интернет кому надо.

Charg, это логично, но нет, сиё невозможно. Нужно решить задачу в рамках поставленных условий.

Используйте средство Общий доступ к Интернету.

Angry Demon, Каким образом с использованием ICS будут выбираться определенные клиенты? К тому же этим клиентам нужно будет видеть и саму локальную сеть, в которой они находятся.

The_Immortal, настройте брандмауэр.

Busla, это Вы вообще к чему? Полагаю к этому:?
А как быть с этим:
?

The_Immortal, ну тогда использовать какой-нибудь Tmeter

The_Immortal, а я не вижу противоречия между настроить брандмауэр раздающего компьютера на отлупы попыток доступа тех, кому в интернет нельзя и необходимостью ими видеть локалку.

Кстати, да, иногда по непонятным причинам ICS на восьмёрке не работал, и люди переходили на TMeter. Настраивается легко и просто, имеет много полезностей. Но в бесплатной версии можно создать лишь 4 фильтра.

Вертеть все эти костыли на вин8 вообще гиблое дело, имхо. ОС клиентская, она умеет только получать доступ но не раздавать. Костылями и сторонним софтом конечно можно навертеть нужный функционал но любой чих в систему и это всё рухнет. Потому что не забивают микроскопом гвозди...
Чем вообще обусловлена необходимость сделать именно так? Ленью менять глобально? Отсутствием бюджета?

Charg, со всем согласен, однако по-другому никак.

Angry Demon, Не подскажете где конкретно в брандмауэре искать эти настройки? Че-то не могу в инете наткнуться на соответствующую информацию.
При создании входящего правила в Предопределенных отсутствует ICS. Или предполагается настройка через определенный порт?

Косячок, однако. При активации ICS на "серверном" ПК автоматически меняется IP-адрес на статический 192.168.137.1 - т.е. связь с локальной сетью у этого ПК автоматически теряется. Так что ICS не покатит.

Пойду щупать TMeter... Полагаю, там надо копать в сторону NAT?

Нету под рукой восьмёрки. В семёрке это "Брандмауэр в режиме повышенной безопасности". Там правила для входящего и исходящего трафика.

Вам никто не запрещает выставить нужный адрес на сетевом интерфейсе.

Там надо копать туда, куда вам надо копать. :)

Angry Demon,
Так это понятно. Вопрос был в том, для чего назначать правило? Для конкретной службы ICS, полагаю?

Ну хоть намекнули бы... Ах да, RTFM! :)

Пока играюсь с ICS и брандмауэром. В последнем указал для службы ICS подключение с определенного IP-адреса. Вот так, короче.
На указанной машине машине Инета не появилось....

Для начала попробуйте просто раздать Интернет, не насилуя брандмауэр.
Раздаётся?

Angry Demon, Не-а... Включил общий доступ на VPN-подключении на "серверной" машине. В настройках сети установил IP тот, который и должен быть. Зашел на одну из "клиентских" машин, пинганул "серверную" - всё ок. Но инета на клиенте нет. Вот думаю, что ещё забыл...
Вряд ли проблема в самой ОС, как писалось выше. Скорее поверю в кривизну рук своих.

Адрес 89.108.118.149 пингуется с клиента?

Не вряд ли. Как я уже выше указывал:

А этот второй клиентский компьютер откуда должен знать что на каком-то другом компьютере есть расшаренный впн? Он всё еще шлёт весь свой трафик на указанные шлюз и днс, а т.к. там доступа в интернет нет - вот и на клиентском нет.
Я, по правде говоря, понятия не имею как работает это расшаривание впн-а, но наверняка нужно что-то на клиентах еще допиливать. Маршруты может быть или еще что.
А вообще схему сети нарисуй, а то не понятно вообще что раздает интернет на этот компьютер с вин8. Чтобы он подключился к впн-серверу - у него должен быть к нему доступ (кэп), а если этот сервер находится не в той же локальной сети - соответственно интернет на компьютеры раздает какое-то другое устройство. А если впн-сервер в той же локальной сети - почему бы к нему напрямую не подключаться с других компьютеров?

Charg, Вот мне тоже интересно это :) Ну как-то работает... У кого-то, наверное.VPN-сервер в той же локальной сети, но к нему может подключиться только один клиент (вот с него и надо передать Интернет далее). Предвидя вопрос, отвечаю: потому что. Такие суровые условия.


Angry Demon, Нет, не пингуется. С него вообще ничего не пингуется, кроме локальных ресурсов.

Окей... Переходим на "простой как табуретка TMeter". Включил там NAT - Инет также не появился. ICS в соответствии с мануалом я предварительно, естественно, отключил.
Вообще сделал всё по фен-шую - не алё. Сломанная табуретка-то :)
Единственное, я не понял с NAT'ом. Проброс портов на какой IP делать? В примере выше это почему-то адрес шлюза, где инета вообще нет... Я в общем-то, все IP уже перепробовал. Да и, честно говоря, это же долбануться все порты пробрасывать. На клиентах дофига разного ПО - мне нужно знать все используемые порты? Че-то так себе решение...
Я бы может и отправился на соответствующий форум для разъяснений (согласно этой рекомендации), но и форум-то их не алё.

Что-то мне уже в это не верится...

А, ну вот снова... "у меня есть проблема, я придумал к ней (потенциально) кривое решение, помогите его воплотить в жизнь". Проблему исходную тогда озвучь. Что, где, как и зачем. Это спрашивают не для того чтобы вопросами позадрачивать, а потому что это помогает понять картину и подобрать решение которое будет работать.

На клиенте, хоть, раздающий компьютер шлюзом указан?

По шагам свои действия расскажите, а то нам отсюда не видать, что и как делали.

Charg, Проблема в том, что VPN-сервер раздающий интернет, предоставляет доступ одному клиенту в локальной сети. Необходимо этот доступ расшарить на определенные машины в этой локальной сети. Чувствую себя попугаем. "Проблему исходную" озвучил (уже в который раз). Если нужны совершенно ни к чему не нужные подробности - извольте. Над VPN-сервером есть админ, которому был запрос на расшаривание VPN-коннекта для всех клиентов. Админу стало это делать лень и он сказал, что инет будет на одной тачке, а там, если надо, юзайте свой VPN, прокси-сервер и че хотите - его величество не против. Прокси-сервер - вариант (уже опробованный). Но на Убунтах на определенном ПО прокси не воспринимается, поэтому нужно оформить на них "прямое" подключение. Лучше? (с) Реклама про Сникерс.
Вот такая "картина". Как мы к ней будем "подбирать решение"?


Angry Demon, Ага, вот так. Таким образом получается двойной шлюз (ну или как это правильно называется). Верно же? Указанный адрес - это "серверный" ПК, с активным ICS.
Кстати, на мгновение показалось, что соединение на клиенте появилось - минут 5 страница мусолилась, мусолилась, но в итоге полуоткрылась. Но пинга к 89.108.118.149 при этом ни разу не было...

Пожалуйста.

1. Задаем сетевые адаптеры. Внутренний - локальная сеть. Внешний - VPN-подключение (там правда несколько RAS'ов почему-то, но я выбрал по интуиции NDISWANIP - единственное, смущает отсутствие IP, ибо при подключении к VPN-серверу IP выдается из-под сети 192.168.33.*). Режим устанавливаемый пассивный, ибо блокировать ничего не надо.

2. В LAT указываем адрес одного тестового хоста.

3. Активируем NAT и пробрасываем тестовый порт 80 на "серверный" ПК.

4. Задаем правило-фильтр, где указываем конкретный хост, а также, что пакет должен проходить через внешний сетевой адаптер и через NAT.

5. В URL-фильтрации удаляем какие-либо фильтры, т.к. они не нужны.

6. Проверяем серфинг на клиенте - нема.

Подскажите, пожалуйста, вот с этим:Просто если это действительно так, то на разрешение подобного "костыля" не хотелось бы тратить время.

Ну а если по-нормальному разобраться (а хотелось бы), то в голове каша со всем этим. NAT поднимается на внешнем интерфейсе, т.е. по идее на IP 192.168.33.72 (этот адрес выдает VPN-сервер после подключения к нему). Но как "клиент" увидит эту подсеть, когда он к VPN-серверу не подключен?

Никой ни "вот так". Установите статические параметры сети на клиенте. Что и как раздаёт адреса по DHCP? Если надеетесь на раздающий компьютер, то смею разочаровать: при использовании адресации сети отличной от того, что он хочет, DHCP отключается.

Забудьте вы про свои страницы. Только пинг по прямому IP-адресу.

Невнимательно читали Руководство!
Режимы сбора пакетов

Как не надо, если вам нужно заблокировать доступ в Интернет некоторым компьютерам?

Опять невнимательно читали Руководство.
В LAT указывается диапазон адресов локальной сети. Группы IP адресов

Зачем этот бред???

Зачем вам что-то знать и пробрасывать???

Клиент ничего не должен "видеть". Клиент отправляет запрос на шлюз по умолчанию, которым является раздающий компьютер, тот отправляет его дальше на свой шлюз по умолчанию. Ответ переправляется обратно.

Angry Demon, и я ведь почти на всё дам пояснения :)

Тут, к сожалению, не подскажу, но DHCP срабатывает нормально вроде как.


А есть разница? Вот сделал (где 192.168.32.64 - адрес "серверного" ПК), как Вы сказали - разницы никакой.


Я понимаю, поэтому и писал:
Про режимы сбора пакетов прочитал (ещё разок) и не могу понять почему пассивный вариант мне не подходит? Мне не нужно блокировать доступ в Интернет некоторым компьютерам. Мне нужно предоставить доступ в Интернет некоторым компьютерам. Или обязательно что-то блокировать?


В LAT указываться может и определенный IP диапазон, и определенная IP сеть, и определенный хост. Понятное дело, что для моей задачи необходим диапазон, но, как я указал выше, конкретный хост был указан исключительно для теста (где и тестирую наличие Интернета):
Такое недопустимо?


Потому что как раз-таки читал Руководство:Вот в эту сторону и увело.


Ну а это взято из "фен-шуя" (однако теперь осознал, что у нас с автором не совсем одинаковые ТЗ).


Всё понятно. Однако так не работает: исходя из Ваших комментариев, я отключил механизм NAT (т.к. он, оказывается, не нужен), установил на клиенте статический адрес (см. выше), где в качестве основного шлюза указал адрес "серверной" машины.




UPDATE. Спешу обрадовать: вот с такой настройкой клиента через ICS на машине 192.168.32.59 Интернет наконец-то появился!!!!

Однако есть несколько вопросов:

1. В случае задействования ICS Интернет будет только там, где в качестве основного шлюза указан "сверверный" ПК - я правильно понял? Просто в таком случае и брандмауэр не нужен (да и он, оказывается, просто игнорируется с такими настройками - я ради интереса поставил блокировку подключения для данного правила, но несмотря на это указанная машина всё равно видит Интернет).

2. Через ICS скорость Интернета на клиентской машине режется ровно в 2 раза - это нормальное явление для данной технологии и с этим ничего не поделать?

3. Почему всё-таки с такой настройкой Интернета нет? Это как-то связано с этим:
Я просто в этом предложении ничего не понял :)
Ведь в указанных настройках, повторюсь, два основных шлюза - данные должны передаваться как на первый, так и на второй. Но на второй они почему-то не доходят в этом случае... Почему, интересно?
А хотя route print при указанной выше настройке показывает такое:
Т.е. основной шлюз всегда только один воспринимается? Тогда не ясно для чего вот эта настройка и к чему показывается вот это?

4. По каким причинам может не отрабатывать TMeter? По сути если ICS заработал, то и TMeter также должен. Или я там что-то не донастроил всё же?


P.S. Вы по всем вопросам вольны меня отправить куда подальше в Интернеты, но если позволяют время, силы и желание, помогите, пожалуйста своими ответами справиться с преградой непонимания. Спасибо, уважаемый (и отнюдь не злой) Angry Demon!

Что за маска 255.255.255.255??? Этак вы ничего в сети не увидите. Надо хотя бы 255.255.255.0.

Если разрешено не всем, значит, кого-то блокируем, логично? ;)

Где в Руководстве написано, что для доступа какому-либо компьютеру в Интернет нужно что-то пробрасывать? Цитату и ссылку на конкретную страницу, плиз, а не на оглавление! Уж я-то знаю, что в Руководстве такого нет. :) На будущее, все исходящие соединения в любом NAT и так проходят, если они не заблокированы фильтрами.

Как не нужен?! Нужен, исходя из своего определения и назначения! Где я про не нужен сказал??? :o

Маска опять неверная!

Правильно. Ибо только этот шлюз раздаёт Интернет.

Ничего не игнорируется. Просто закройте брандмауэром доступ от 192.168.32.59 к раздающему компьютеру.

Ни разу такого не наблюдал.

Ещё раз. Неизвестно, какой чем и шлюз выдаётся по DHCP. Проверьте, кстати, на клиенте: IPCONFIG /ALL
А то, что прописан ещё один шлюз, - так Windows может на это спокойно высморкаться. Пучит её от нескольких шлюзов. :)

Будем разбираться.

Не дождётесь. :laugh:

Angry Demon, Это по ошибке получилось, я сразу на 255.255.255.0 и исправил.


Логично. Но ведь доступ в Интернет получат только те машины, которые перечислены в том же LAT, разве нет?


Понятненько, включаем NAT обратно без каких-либо пробросов :)
Про это я слышал, но не могу понять почему соединения планируются быть исходящими? Клиент стучится по шлюзу на раздающий ПК - это разве не входящее соединение?


Пока так и не могу сообразить как это делать чисто на ICS. Ну да ладно, это пока не так важно.

• настройка сети в автоматическом режиме:
  Скрытый текст

  Код:

  ---

    DHCP включен. . . . . . . . . . . : Да
  Автонастройка включена. . . . . . : Да
  IPv4-адрес. . . . . . . . . . . . : 192.168.32.59(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.128
  Аренда получена. . . . . . . . . . : 25 октября 2017 г. 13:32:28
  Основной шлюз. . . . . . . . . : 192.168.32.1
  DHCP-сервер. . . . . . . . . . . : 192.168.32.1
  DNS-серверы. . . . . . . . . . . : 91.206.55.142
  Основной WINS-сервер. . . . . . . : 192.168.32.1

  ---

  
  
• настройка сети в автоматическом режиме с указанием дополнительного шлюза (раздающего ПК):
  Скрытый текст

  Код:

  ---

    DHCP включен. . . . . . . . . . . : Да
  Автонастройка включена. . . . . . : Да
  IPv4-адрес. . . . . . . . . . . . : 192.168.32.59(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.128
  Основной шлюз. . . . . . . . . : 192.168.32.1
                                      192.168.32.64
  DHCP-сервер. . . . . . . . . . . : 192.168.32.1
  DNS-серверы. . . . . . . . . . . : 91.206.55.142
  Основной WINS-сервер. . . . . . . : 192.168.32.1

  ---

  
  
• настройка сети в ручном режиме:
  Скрытый текст

  Код:

  ---

    DHCP включен. . . . . . . . . . . : Да
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да
  IPv4-адрес. . . . . . . . . . . . : 192.168.32.59(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Основной шлюз. . . . . . . . . : 192.168.32.64
  DNS-серверы. . . . . . . . . . . : 91.206.55.142

  ---

ICS работает только в последнем случае (что, как я понял, и логично).



В общем, на текущий момент настройки на TMeter следующие:

1. Задаем сетевые адаптеры. Внутренний - локальная сеть. Внешний - VPN-подключение (там правда несколько RAS'ов почему-то, но я выбрал по интуиции NDISWANIP - единственное, смущает отсутствие IP, ибо при подключении к VPN-серверу IP выдается из-под сети 192.168.33.*). Режим устанавливаемый пассивный, ибо блокировать ничего не надо (тут пока останусь на своём).

2. В LAT указываем адрес одного тестового хоста.

3. Активируем NAT .

4. Задаем правило-фильтр, где указываем конкретный хост, а также, что пакет должен проходить через внешний сетевой адаптер и через NAT.

5. В URL-фильтрации удаляем какие-либо фильтры, т.к. они не нужны.

6. Проверяем серфинг на клиенте - нема.


Это Вы не в курсе моей способности по доставанию :)


В принципе, я бы уже и на ICS-варианте остановился, но вот как-то уполовинивание скорости передачи данных несколько огорчает (учитывая то, что кроме активации ICS я никаких дополнительных настроек не делал), поэтому я надеюсь поднять TMeter и не узреть там этой проблемы.

LAT делается лишь для того, чтоб обозначить локальную сеть. Остальные адреса будут считаться глобальными.

Стучится в Интернет, следовательно - исходящее.

Вот и ответ. Вот, куда рн стучится в Интернет при автонастройке.

А вот ваш DHCP-сервер. Не знаю, кто и что это.

С TMeter, всё-таки, сделайте так, как я говорил: Активный режим, Вручную укажите внешний адаптер (при подключенном VPN), LAT - диапазон локальной сети, один фильтр: разрешить любому IP-адресу из локалки доступ к любому IP-адресу из глобальной сети.
И ещё раз: проверять не серфингом, а пингом по IP.

Angry Demon, Проблема обнаружилась. У раздающего ПК (192.168.32.64) очень нестабильная связь с VPN-сервером, т.к. этот ПК подключен через дополнительный свитч, который, видимо, глючит. Клиенсткий ПК (192.168.32.59) подключен к сети без этого свитча, поэтому у него связь с VPN-сервером хорошая - решил я его сделать раздающим.
И что Вы думаете? Включил на 192.168.32.59 ICS, взял другой клиентский ПК, где указал в ручном режиме соответствующий IP, маску (255.255.255.0) и основной шлюз (192.168.32.59). Интернета на клиенте нет. Ну как такое возможно? Та же ОС, те же настройки, как и на предыдущем раздающем ПК...... :wall: Что за бред?


Есть.
Это касалось NAT'а, полагаю? Тогда сделал. IP 192.168.33.72 назначается при подключенном VPN:
Выполнил.
Есть. "IP-адресу из локалки" это же то же самое, что и "IP адреса моей лок. сети"?

Пинга к 89.108.118.149 и при таких настройках на клиенте нет.

Кстати, правильно ли я понимаю, что ICS по своей сути тот же NAT использует?

А DNS? Гугловские, например: 8.8.8.8.

Проверяли пингом на прямой IP-адрес? А сам 192.168.32.59 пингуется?

Здесь на форуме в восьмёрочном разделе люди упыхтелись...

Да. Правило, конечно, совсем не верное, но это не должно повлиять.

Абсолютно верно.

Ещё раз уточню: TMeter настраивался при подключенном VPN-соединении? Возможно, TMeter не совсем корректно, всё-таки, работает с VPN-подключениями. Мне, к сожалению, проверить не на чём, у меня TMeter работает в нескольких конторах, но там всё напрямую безо всяких VPN.

Angry Demon, DNS у нас свой, но и гуголвские пробовал.
Да, да.
Конечно.

А какие ещё есть варианты, помимо TMeter?

Имеется возможность попробовать "гибридный" режим: NAT в TMeter не активировать, пусть работает ICS на раздаче Интернета, а TMeter пусть занимается фильтрацией (кому нельзя, кому можно в Интернет).

Angry Demon, Дык Интернет будет только у того, у кого шлюз соответствующий выставлен будет - мы с этим уже разобрались. Но а шлюз без спроса никто менять не будет.
Проблема ICS, что на нужной машине он просто отказывается работать...

По идее UserGate тоже можно попробовать?

Busla, Ага, ещё посоветуйте нанять программиста, который сварганит нам адекватно работающий NAT или, подобно Руссиновичу, проникнет в недры Windows и исправит до сих пор нерешенную проблему с ICS в Windows 8.1 :)

Можно. Но это веник стОит денег. :)

Angry Demon, небольшая ошибочка вышла... У меня, оказывается, не VPN-соединение, а PPPoE. Но по сути это не сильно важно?

В общем, сижу пока под ICS, но PPPoE-коннект таким образом периодически падает (без активированного ICS всё нормально) и самостоятельно не восстанавливается. Похоже на то, что ICS работает не очень стабильно...

Не помню уже, но там, вроде, должен быть пункт в свойствах подключения "Перезвонить при разрыве связи"?

Angry Demon, Не, начиная с 8-ки это почикали :) Но есть решения, правда. Однако по цать разрывов в час в любом случае не есть хорошо. Буду думать дальше...

Ну, тогда "следящий" CMD-шник, например, который пингует, например, oszone.net и в случае недоступности узла осуществляет подключение... :)

Абсолютно согласен.