Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Как закрыть интернет-трафик через VPN (http://forum.oszone.net/showthread.php?t=165781)

f1ame 31-01-2010 20:53 1335313

Как закрыть интернет-трафик через VPN
 
Уважаемые форумчане!

Схема:
комп 192.168.22.5 (XP) --- роутер 192.168.22.1 --- (интернет) --- VPN сервер (Windows 2003) --- сеть 192.168.20.Х

Пользователь при VPN соединении получает IP 192.168.21.X и к нему идет инет-трафик через этот канал.
Этому пользователю нужен только доступ к определенному серверу из сети 192.168.20.X.

Вопрос:
Как можно закрыть\запретить инет-трафик через VPN соединение?

El Scorpio 01-02-2010 05:02 1335601

Цитата:

Цитата f1ame
Как можно закрыть\запретить инет-трафик через VPN соединение? »

В*DHCP-сервере зарезервировать IP-адрес клиента
В*файрволле настроить правило для фильтрации исходящих пакетов по IP

gf100 01-02-2010 09:44 1335672

Цитата:

Цитата f1ame
Пользователь при VPN соединении получает IP 192.168.21.X »

От кого он получает адрес?
Если можно назначить ему статику, то проще всего не прописывать шлюз по умолчанию, а выдать один статический маршрут на конкретный сервер.

f1ame 01-02-2010 13:20 1335849

gf100, из статического пула адресов для удаленного подключения на серваке

f1ame 01-02-2010 15:25 1335957

инет-трафик закрыл - убрав галку "использовать основной шлюз в удаленной сети".
но теперь не пингуются машины из 192.168.20.X

Народ, где копать?

El Scorpio 02-02-2010 01:30 1336506

Цитата:

Цитата f1ame
из статического пула адресов для удаленного подключения на серваке »

Вот и запретить на файрволле "внешнего"*интерфейса прохождение пакетов из этого диапазона адресов.
Вроде бы как "фильтрация пакетов" эта опция называется

f1ame 02-02-2010 12:11 1336813

El Scorpio, я закрыл инет способом в посте чуть выше, но теперь пользователи не могу подключаться к серваку, и вообще не пингуются компы из 192.168.20.X

прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) - не помогло, может другой шлюз надо указывать?

пингуется только 192.168.21.10 (это сервак VPN), а нужен 192,168,20,21

где может быть проблема?

gf100 02-02-2010 21:16 1337283

Цитата:

Цитата f1ame
может другой шлюз надо указывать? »

Возможно. Проверь, включив шлюз по умолчанию:

tracert 192.168.20.x

это может оказаться 192.168.22.1.

есть еще одна проверка:

route print

El Scorpio 03-02-2010 03:07 1337519

Цитата:

Цитата f1ame
прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) »

И*каким образом пакет с адреса 192.168.22.50 попадёт в 192.168.20.0/24?
Разумеется шлюзом для удалённой сети надо указывать адрес сервера VPN (точнее, его адрес на той стороне канала)

f1ame 03-02-2010 19:18 1338142

gf100, El Scorpio,
получается маршрут должен выглядеть:

route add -p 192.168.20.0 mask 255.255.255.0 192.168.21.10 - не пингуется ничего

но при этом, если прописать:
route add -p 192.168.20.21 (сервак который мне нужен) mask 255.255.255.255 192.168.21.10 - этот конкретный сервер прекрасно пингуется :)

так где ж я туплю? чтобы пинговались все ip в 192.168.20.X?

El Scorpio 04-02-2010 03:45 1338438

f1ame, напиши результат команды route print на клиенте и на сервере как до подключения, так и после

gf100 04-02-2010 16:28 1338938

Цитата:

Цитата f1ame
чтобы пинговались все ip в 192.168.20.X »

Возможно,
1) маска сети не 255.255.255.0
2) другие компьютеры из сети 192.168.20.X "не знают маршрут" к 192.168.22.5, т.е. я бы проверял ping и tracert с обеих сторон.
3) случайная описка при вводе маршрута.

f1ame 08-02-2010 10:51 1341915

На сервере

ДО соединения
Код:

Активные маршруты:
          0.0.0.0          0.0.0.0    80.2.143.41    80.2.143.45      1
    80.2.143.40  255.255.255.248    80.2.143.45    80.2.143.45      1
    80.2.143.45  255.255.255.255        127.0.0.1        127.0.0.1      1
  80.255.255.255  255.255.255.255    80.2.143.45    80.2.143.45      1
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
    192.168.22.0    255.255.255.0    192.168.22.50    192.168.22.50    10
    192.168.22.50  255.255.255.255        127.0.0.1        127.0.0.1    10
  192.168.22.255  255.255.255.255    192.168.22.50    192.168.22.50    10
        224.0.0.0        240.0.0.0    80.2.143.45    80.2.143.45      1
        224.0.0.0        240.0.0.0    192.168.22.50    192.168.22.50    10
  255.255.255.255  255.255.255.255    80.2.143.45    80.2.143.45      1
  255.255.255.255  255.255.255.255    192.168.22.50    192.168.22.50      1
основной шлюз:      80.2.143.41
===========================================================================
Постоянные маршруты:             
    192.168.20.21  255.255.255.255    192.168.21.21      1
  192.168.20.159  255.255.255.255    192.168.21.21      1

ПОСЛЕ

Код:

Активные маршруты:
          0.0.0.0          0.0.0.0    80.2.143.41    80.2.143.45      1
      62.5.206.82  255.255.255.255    80.2.143.41    80.2.143.45      1
    80.2.143.40  255.255.255.248      80.2.143.45    80.2.143.45      1
    80.2.143.45  255.255.255.255      127.0.0.1        127.0.0.1      1
  80.255.255.255  255.255.255.255    80.2.143.45    80.2.143.45      1
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
    192.168.20.21  255.255.255.255    192.168.21.21    192.168.21.21      1
  192.168.20.159  255.255.255.255    192.168.21.21    192.168.21.21      1
    192.168.21.0    255.255.255.0    192.168.21.21    192.168.21.21      1
    192.168.21.21  255.255.255.255        127.0.0.1        127.0.0.1    50
  192.168.21.255  255.255.255.255    192.168.21.21    192.168.21.21    50
    192.168.22.0    255.255.255.0    192.168.22.50    192.168.22.50    10
    192.168.22.50  255.255.255.255        127.0.0.1        127.0.0.1    10
  192.168.22.255  255.255.255.255    192.168.22.50    192.168.22.50    10
        224.0.0.0        240.0.0.0    80.2.143.45    80.2.143.45      1
        224.0.0.0        240.0.0.0    192.168.21.21    192.168.21.21    50
        224.0.0.0        240.0.0.0    192.168.22.50    192.168.22.50    10
  255.255.255.255  255.255.255.255    80.2.143.45    80.2.143.45      1
  255.255.255.255  255.255.255.255    192.168.21.21    192.168.21.21      1
  255.255.255.255  255.255.255.255    192.168.22.50    192.168.22.50      1
основной шлюз:      80.2.143.41
===========================================================================
Постоянные маршруты:
 
    192.168.20.21  255.255.255.255    192.168.21.21      1
  192.168.20.159  255.255.255.255    192.168.21.21      1



Время: 16:51.

Время: 16:51.
© OSzone.net 2001-