Раздать VPN на локальную сеть через win server 2012 r2
 

Всем привет!

Имеется локальная сеть, в которую по Циске, помимо инета, приходит VPN для связи с удаленной базой. В сеть был встроен сервер под Win2k12 r2 с AD со своим dns и dhcp, инет раздался, но вот доступа к удаленной базе нету. Можно ли сделать так, чтобы из локалки все таки был доступ к цисковскому VPN?

шлюз по умолчанию поменялся после настройки виндового DHCP?
если да, вам нужно прописать маршрут в удалённую сеть, через Циску. Маршрут всем клиентам можно раздать через виндовый DHCP опция 121

Циска пришла настроенная с того самого удаленного офиса, поэтому настройки не то что поправить, даже смотреть нельзя. Получилось создать на серваке VPN-подключение до Циски, подошла выданная учетка. Прокатит ли, если теперь сделать это подключение общедоступным?

Насчет 121 опции, разве клиенты на ХР тогда смогут адрес получить?

не факт. тогда руками или скриптами route add -p и другие параметры сети
вот тут вообще не понятно. зачем к Циске делать VPN, если она и так в вашей сети?
Циска делает только VPN или ещё интернет раздаёт?

Раньше не имел дел с VPN в филиалах, первая идея была :( Всю бредовость уже осознал)
Да, на Циске висит инет, который отлично расходится по локалке через сервак, и vpn, который дальше сервака идти не хочет. В этом то главная загвоздка, как сделать так, чтобы локальные компы тоже видели удаленный ресурс.

Оказалось, что имеющаяся учетка - для входа на саму циску, то есть появилась возможность посмотреть, что там за настройки. Есть теоретическая возможность связаться с теми, у кого есть доступ к настройкам циски. Или можно своими силами все таки?
-------------------
Update:
По ходу дел выяснилось, что удаленный ресурс лежит в соседней подсети) Т.е. у нашей локалки адреса 172.17.Х.Х, а у удаленки - 172.16.Х.Х

это просто логика сети. соседство тут условное.
если на циске уже настроен VPN на другую циску в филиале (VPN site-to-site), то просто назначьте адрес циски как шлюз по умолчанию (адрес циски скорее не из 172 сети, она только для VPN) для ваших компьютеров.

После этого удаленный сайт стал даже пинговаться, но открываться отказался, как по имени, так и по ip.

Меня смущало, что при правке настроек подключение сетевухи в местную локалку выходило предупреждение, мол, у подключений разные основные шлюзы. Хотя нифига подобного не было. На другом форуме нашел похожую проблему, там решилось удалением основного шлюза (который у меня Cisco) и прописыванием маршрута через route add. После этого перестало работать вообще все - получил изолированную локалку, компы в которой отлично пингуют друг друга, но при попытке пинговать циску вижу destination host unreachable от ip этого же
компа :o
Как я понял, проблема в том, что на моем КД, по сути, сетевухи стали изолированными, пакеты с одной не идут на другую. Пробовал делать маршрутизацию через тот же route add, но все тщетно..

Итак, я отчаялся как-либо вернуть это к работе. Сервер был переустановлен (благо находится только на этапе введения в работу), и снова все заработало.
Сейчас имеется:
1. входящее соединение с инетом и vpn от циски с пришедшим адресом 172.17.164.173
2. исходящее подключение в местную подсеть с диапазоном 192.168.137.Х. Даже если в настройках этого подключения в качестве шлюза по умолчанию прописан 192.168.137.1 (локальный адрес сервака), компы в подсети пингуют сайты с той стороны туннеля, но открывать не хотят.

С маршрутами баловаться больше не хочется. Будет ли смысл, если я буду не просто шарить подключение сервака к внешнему миру, а настрою NAT? Тогда все внутренние машины, по идее, должны ходить за сервак с его ip..
---------------------
Update:
NAT настроил, ситуация та же. Есть подозрение, что dns на сервере знать не знает про удаленный ресурс. Компы в сети от циски на этот сайт по айпи тоже ходить не хотят. Если у локального клиента принудительно указать цисковский адрес в качестве dns, ничего не меняется.

Продолжаю тему..
Техподдержка сказала, что пакеты отлично ходят по туннелю, и все должно работать, по идее. Получается, что сервер не пускает в туннель только TCP трафик!
Видимо, от правки маршрутной таблицы вручную не отвертеться. Подскажите пожалуйста, как сделать это правильно ?

Приведите схему сети с адресацией. Тяжело понять картину из приведенного текста.
Поправьте hosts на одном из хостов и проверьте.А маска какая?

Есть две локальных сети в офисах в разных городах. Реальные локальные адреса главного офиса не знаю, но вижу их как 172.16.0.Х. И там, и здесь в интернет смотрят циски, на них висит site-to-site vpn. Наша местная циска раздает 172.17.164.Х с маской 255.255.255.0.
К удаленной сети никакого отношения не имею, править с той стороны ничего не могу.

Хотел встроить между циской и остальной локальной сетью dc на win2k12r2, на обеих сетевых картах настроил статические адреса. Раздавал на подсеть как 192.168.0.Х, так и 172.17.164.Х. Проблему с vpn решить не получилось, поэтому подключил сервер как обычную машину. Для моих целей - поднятию домена и настройке политик безопасности - такая схема подходит. Единственное, осталось придумать, как учитывать пользовательский трафик. Начальство уж больно хочет знать, кто куда ходит и сколько трафика потребляет.

Кстати, после введения домена в строй оказалось, что локальные компы вдруг перестали ходить на удаленную базу, хоть и сервер не стоит между хабами и циской. Позже выяснилось, что я поднятый домен назвал так же, как и удаленный, после переименования все вернулось на свои места. Первоначально проблема могла быть в этом же?