Windows 2003 RRAS
 

Ситуация: VPN политика, разрешающая доступ кому-то куда-то. Нужно, чтобы пользователь мог подключиться только с определённого IP, например 192.168.3.199. В Policy condition - Client-IP-Address вписываю этот адресс - не пускает. У меня получилось так: 192.168.3.*. Но так вся подсеть может подключаться, а это не есть хорошо. Подскажите как правильно нужно писать IP.

Запрет всем в АД .
И определенным учетка разрешено.

В смысле определённым учёткам? Допустим у клиента IP 212.0.217.44 (подключается из интернета, через ISA проходит, доходит до RRAS сервера). Есть же встроенное в RRAS - Condition Rule - Client-IP-Address, вот тут мне нужно вписать IP, с которого пользователь будет подключаться. Я на микрософте смотрел, pattern syntax-ом пользовался - не получается. Ведь не только у меня такое желание - давай те вместе решать.

У тебя иса же стоит...
Дай ей разрешение подключаться из интернета только с определенного ip адреса.

Нельзя... Дело в том, что политик доступа очень много, пользователей ещё больше. Некоторые пользователи подключаются всегда с разных IP (ноутбуки). А некоторые с одних и тех же. Поэтому на исе не получится. Нужно только встроенными средствами RRAS!

Так вот для этих целей есть в Актив директори закладка Входящие звонки!
Как раз для твоих целей.
Active directory Пользователи и компьютеры - UO - пользователь (п.к) - свойства - Входящие звонки

Может быть не в тему но не хотелась создавать еще одну тему с таким названием.
Настроил я RRAS чтобы он конектился с VPN сервером провайдера Толька вот при дисканекте вызов по требованию не восстанавливает соединения самостоятельно хотя в состояние подключения висит сообщения «подключения» но не чего не происходит и помогает только перезапуск RRAS
Может кто сталкивался с такой проблемой и знаете ее решения
А да еще я долго промучился с настройкой статических маршрутов в итоге я не стал забивать маршруты и VPN стала подключатся
Для полноты представления дою подробную информацию
Например Адрес VPN провайдера vpn.corbina.net диапазон IP 195.14.40.6 – 195.14.40.17
Шлюз локалки 10.185.0.17
Мой IP в локалке 10.185.11.1
В инете у меня динамический IP 89.178.X.X


А да вот еще скрин всех маршрутов http://foto.corbina.ru/data/users/44...752b602b.0.jpg

vlazari

В следующий раз будьте аккуратны при создании тем. Клон темы удалил.

P.S. Между прочим - пользователь создавший тему, может её и удалить через меню "Настройки темы"

Butunin Klim, То о чём ты говоришь - совсем не то что нужно. Повторяю нужно чтобы пользователь мог подключиться только с определённого IP. Я же написал в самом начале где это настраивается.
Valmo, хочешь создать новую тему - создавай. Кстати говоря это уже обсуждалось, юзай поиск. А вообще штатными средствами мог бы и сам разобраться.
xoxmodav извеняюсь, не заметил кнопки.

Дело была в маршрутах к vpn и dns
Для vpn я забил 195.14.40.0 маску 255.255.255.224 шляз 10.185.0.17
и к dns 195.14.50.0 маску 255.255.255.224 шляз 10.185.0.17
Вот по поводу маски не уверен что правильно можеть быть всеже 255.255.255.0

to Butunin Klim "Запрет всем в АД .
И определенным учетка разрешено."
Гы. А за то,что така галка доминат. Усегда доминант!
И последствия сих действий в домене Вы никак не оцениваете? Ндя.

Автор: с маской всё нормально. Гляньте только ещё разрешенные исой порты.

aka Plas
А при чем тут доминант?
Я говорю про Удаленный Звонок.
Если есть компания в которой кому-то разрешенно кому-то нет использоват VPN. Что легче сделать? Указать с какого ip будут входить? (представим ситуацию что человек матается с лаптопом по миру и ip у него меняется) Или разрешить ему подключение через Удаленный звонок? (тогда он может подключиться с любого ip зная свою учетную запись и пароль.).
Для этого просто отключаем всем удаленный звонок + по заявки включаем тем кому нужно это... причем тут Я не пойму.
Тему как разрешить использовать опредленный ip в RRAS я не могу сказать дал предположение про АД. Ответ мой Автору не пришелся по вкусу (не в кассу было мной сказанно).

to Butunin Klim
Поясняю по порядку. Запрет каких либо прав в домене, тем более "Запрет всем" свалит всё.И никакой новый юзер, хоть с пААлнейшими правами ничего не намапит. Вы нормательно представляете топологию леса?
Второе. Давать, исе фас на определенный IP, либо не давать, не надобно. Достаточно толково отстроить туннель.Ежели вы советуете строить Virtual Private Network,
то хотя бы в трёх словах скажите за NAT,и каким макаром Вы планируете в таком случае
разрешать трансфер.
Третье. Устойчивость связи представляете! айпишник это одно, но маки по моему еще никто не отменял(у лаптопа) lol

aka Plas
Я промолчу... на этом дискусия с Вами законечна. Все остальне в приват или в лейм.

to Butunin Klim
Лаконично.

Извените, но у меня такое ощущение что я с дубами общаюсь. Какой АД, какая ИСА, какие маршруты? Вопрос был поставлен так: пользователь подключается с определённого IP к серверу RRAS, нужно средствами самого RRAS разрешить доступ только с определённого IP. Это делается в Policy condition - Client-IP-Address. Т.к. по IP не работает, а работает только по подсети, я и обратился на форумы, дабы получить совет как правильно вписать туда IP. А вы что здесь пишите? Кароче тема закрыта, т.к. правильного ответа, я как чувствую не добьюсь.