WS2003 - разрешить доступ в инет чеерз VPN, но не пропускать через маршрутизацию
 

У меня есть необходимость радавать доступ в инет с помощью средства маршрутизации и удаленного доступа сервера 2003. Доступ раздаю при помощи VPN подключений клиентов к моему серверу, это работает прекрасно. Однако также прекрасно работает, если любой подключенный к сети компьютер пропишет мой сервер в качестве шлюза. Как решить эту проблему не прибегая к вненему фаэрволлу? Пробовал настраивать встроенные в средства маршрутизации пакетные фильтры на подключенный к инету интерфейс, однако они либо отрубат всё, либо пропускают всё.

При чем здесь фаерволл? Вам нужен прокси-сервер с авторизацией.

Мне нужно обойтись без сторонних продуктов, тем более авторизация уже есть и работает.

Не путайте авторизацию с идентификацией.

Как решить эту проблему не прибегая к вненему фаэрволлу?

Сложно понять ваш вопрос. Что такое внешний фаэрволл? Вы хотите отказаться от брандмауэра?

Я когда-то давно решал такую проблему, так что попробую что-нибудь посоветовать:

Если в RRAS в разделе "NAT/Простой брандмауэр" для локального интерфейса включить "Простой брандмауэр" (или даже нужно "Основной брандмауэр" без NAT включить), то ваша проблема будет решена путём открытия в брандмауэре порта для входящих VPN подключений (TCP 1723 это VPN по протоколу PPTP).

Если брандмауэр не включать, то можно попробовать настроить для локального интерфейса "Фильтры входа" , основываясь на том, что ваша сеть НЕ-VPN имеет одни адреса (например, 192.168.100.0), а сеть VPN имеет другие адреса (например, 192.168.200.0). Таким образом, нужно разрешить запросы от компьютеров 192.168.100.0 только к адресу вашего VPN-сервера. В итоге, создать VPN подключение к серверу вы сможете, но любые запросы сквозь сервер будут отбрасываться. А от адресов 192.168.200.0 информационный обмен будет без ограничений. Следовательно, ваша проблема будет решена.

А ещё можно в RRAS в разделе "Общие" для локального интерфейса просто убрать в свойствах галочку "Включить диспетчер IP-маршрутизации" (а то и вообще удалить всё сетевое подключение). Тогда для VPN соединений будет включена маршрутизация, а для сети, из которой эти VPN подключения создаются, маршрутизация будет отключена.

Я не специалист, так что простите, если неправильно насоветовал.

borodavkin

Это я понимаю, однако на моейм серере на внутреннем интерфейсе по определенным причинам фаэрволла быть не должно.

Вот с этим я очень долго мучался и проблему не решил.

Спасибо огромное за эти слова. Они наталкнули меня на разрешении входящих пакетов на внутренний интнрфейс только с destinaton=local_subnet. Помогло. Щас буду искать, но отрубило ли это у меня широковещательные пакеты.

А вот эта процедура просто напросто отключает tcp\ip на соответсвующем интерфейсе :)

Хорошо, что на форуме есть другие люди, способные вникнуть в суть вопроса и помочь.

ArgonIO, Вы просто НАТ сделали наверное...
Не поверите, но года два назад я поставил абсолютно такую же задачу перед собой.
Нужно ВПн клиентам раздать адреса. (ip маршрутизация--> NAT/простой брандмауэр). На НАТ интерфейсе свойства. и там пул адресов. Наверное так... наверное потому, что я уже не помню чё я там делал... по неопытности и первый раз пробовал просто всё что можно

Ps: може быть придётся маршрут написать, который будет перегонять адреса(трафик) клиентов ВПН в инет. А остальные адреса без маррута то бы были... но вроде бы я этим не занимался, поэтому не могу утверждать. Вообще говорю что бы пробовал, так как рецептом это не является, наверное.