Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   [решено] Проблемы с доступом к компьютерам внутренней сети при VPN-подключении (http://forum.oszone.net/showthread.php?t=340855)

mwz 09-06-2019 20:15 2874989

Проблемы с доступом к компьютерам внутренней сети при VPN-подключении
 
На роутере ASUS RT-N66U объекта поднят VPN по протоколу PPTP с шифрованием. NAT Passthrough разрешён,

(насколько понимаю, для моих целей можно оставить в разрешённых только первую строку: PPTP Passthrough).

VPN-подключение из дома, как из Win-7, так и из Win-10 устанавливается мгновенно, но компьютеры внутренней сети (Win-7 и Win-8.1) по IP не пингуются, и по SMB доступа к ним также нет.
Однако те программы, которые подключаются по проброшенным портам и для которых разрешён доступ в брандмауэрах компьютеров LAN, работают по внутренним IP безукоризненно.

Приезжаю на точку, подключаюсь напрямую ко внутренней сети — проблем с доступом нет, все компьютеры пингуются, SMB на все идёт.

Пробую отключить брандмауэр одного из компьютеров при доступе через VPN. Как и ожидал, отключение его для общественных сетей не влияет: я же нахожусь во внутренней сети. Отключаю брандмауэр только для частных сетей — и сразу через VPN начинают идти пинги и появляется доступ по SMB. На другие компьютеры LAN при таком же отключении их брандмауэров всё также начинает идти нормально.

Однако работать с выключенным брандмауэром некошерно, а Центр безопасности выкидывает тревожный красный флажок.

Вот и вопрос: как организовать полный доступ к компьютерам внутренней сети через VPN при включённых брандмауэрах компьютеров в LAN.

cameron 09-06-2019 22:40 2874996

указать в фаерволах разрешённую сеть VPN клиента (какой пул адресов выдаётся для VPN клиентах на маршрутизаторе).

mwz 09-06-2019 23:04 2875005

cameron, т.е. я правильно добрался (когда смотришь на свой вопрос со стороны — в голову иногда приходят умные мысли) - но проверить не смог, поскольку сегодня там всё выключено? :)



(вверху — внутренняя сеть, внизу — диапазон адресов, получаемых при входе по VPN)

Разумеется, другие настройки по пунктам выше и ниже, чем "Область", также будут настроены. Первый же пункт, "Тип правила", уже и выбран как "Настраиваемое".

cameron 09-06-2019 23:15 2875006

скорее всего да. чтобы точно ответить нужно включить логгирование виндового файервола и заглянуть в лог, чтобы понять как именно он идентифицирует трафик из сети VPN клиента.

mwz 09-06-2019 23:23 2875007

cameron, ага, спасибо. Завтра проверю.

Anton04 09-06-2019 23:25 2875008

mwz,

В Вашем случае я бы не применял настройки диапазонов, а банально разрешил определённым программам/сервисам доступ ко всем типам сетей (домашняя/частная, общая, доменная) в фаерволе Windows.

mwz 10-06-2019 00:00 2875012

Anton04, да, спасибо, это была первая мысль. Но споткнулся на том, как разрешить пинги и как разрешить SMB (там ещё кое-что выплывет).

Anton04 10-06-2019 12:41 2875046

Цитата:

Цитата mwz
Но споткнулся на том, как разрешить пинги и как разрешить SMB »

Там есть дефолтное правило для ICMP, создайте по аналогии свое и для нужного типа сети или две всех типов сети. А SMB - это порт TCP-425, создайте правило для порта и всё.

mwz 11-06-2019 14:41 2875210

Всем спасибо. Пока не было времени копать глубоко поэтому решено "в лоб" по совету cameron, http://forum.oszone.net/post-2875005.html#post2875005 — пока устраивает, поскольку по VPN заходят только доверенные лица. Остальные варианты проверю позже.


Время: 00:47.

Время: 00:47.
© OSzone.net 2001-