Как закрыть интернет-трафик через VPN
Уважаемые форумчане!
Схема:
комп 192.168.22.5 (XP) --- роутер 192.168.22.1 --- (интернет) --- VPN сервер (Windows 2003) --- сеть 192.168.20.Х
Пользователь при VPN соединении получает IP 192.168.21.X и к нему идет инет-трафик через этот канал.
Этому пользователю нужен только доступ к определенному серверу из сети 192.168.20.X.
Вопрос:
Как можно закрыть\запретить инет-трафик через VPN соединение?
|
El Scorpio |
01-02-2010 05:02 1335601 |
Цитата:
Цитата f1ame
Как можно закрыть\запретить инет-трафик через VPN соединение? »
|
В*DHCP-сервере зарезервировать IP-адрес клиента
В*файрволле настроить правило для фильтрации исходящих пакетов по IP
|
Цитата:
Цитата f1ame
Пользователь при VPN соединении получает IP 192.168.21.X »
|
От кого он получает адрес?
Если можно назначить ему статику, то проще всего не прописывать шлюз по умолчанию, а выдать один статический маршрут на конкретный сервер.
|
gf100, из статического пула адресов для удаленного подключения на серваке
|
инет-трафик закрыл - убрав галку "использовать основной шлюз в удаленной сети".
но теперь не пингуются машины из 192.168.20.X
Народ, где копать?
|
El Scorpio |
02-02-2010 01:30 1336506 |
Цитата:
Цитата f1ame
из статического пула адресов для удаленного подключения на серваке »
|
Вот и запретить на файрволле "внешнего"*интерфейса прохождение пакетов из этого диапазона адресов.
Вроде бы как "фильтрация пакетов" эта опция называется
|
El Scorpio, я закрыл инет способом в посте чуть выше, но теперь пользователи не могу подключаться к серваку, и вообще не пингуются компы из 192.168.20.X
прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) - не помогло, может другой шлюз надо указывать?
пингуется только 192.168.21.10 (это сервак VPN), а нужен 192,168,20,21
где может быть проблема?
|
Цитата:
Цитата f1ame
может другой шлюз надо указывать? »
|
Возможно. Проверь, включив шлюз по умолчанию:
tracert 192.168.20.x
это может оказаться 192.168.22.1.
есть еще одна проверка:
route print
|
El Scorpio |
03-02-2010 03:07 1337519 |
Цитата:
Цитата f1ame
прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) »
|
И*каким образом пакет с адреса 192.168.22.50 попадёт в 192.168.20.0/24?
Разумеется шлюзом для удалённой сети надо указывать адрес сервера VPN (точнее, его адрес на той стороне канала)
|
gf100, El Scorpio,
получается маршрут должен выглядеть:
route add -p 192.168.20.0 mask 255.255.255.0 192.168.21.10 - не пингуется ничего
но при этом, если прописать:
route add -p 192.168.20.21 (сервак который мне нужен) mask 255.255.255.255 192.168.21.10 - этот конкретный сервер прекрасно пингуется :)
так где ж я туплю? чтобы пинговались все ip в 192.168.20.X?
|
El Scorpio |
04-02-2010 03:45 1338438 |
f1ame, напиши результат команды route print на клиенте и на сервере как до подключения, так и после
|
Цитата:
Цитата f1ame
чтобы пинговались все ip в 192.168.20.X »
|
Возможно,
1) маска сети не 255.255.255.0
2) другие компьютеры из сети 192.168.20.X "не знают маршрут" к 192.168.22.5, т.е. я бы проверял ping и tracert с обеих сторон.
3) случайная описка при вводе маршрута.
|
На сервере
ДО соединения
Код:
Активные маршруты:
0.0.0.0 0.0.0.0 80.2.143.41 80.2.143.45 1
80.2.143.40 255.255.255.248 80.2.143.45 80.2.143.45 1
80.2.143.45 255.255.255.255 127.0.0.1 127.0.0.1 1
80.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.22.0 255.255.255.0 192.168.22.50 192.168.22.50 10
192.168.22.50 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.22.255 255.255.255.255 192.168.22.50 192.168.22.50 10
224.0.0.0 240.0.0.0 80.2.143.45 80.2.143.45 1
224.0.0.0 240.0.0.0 192.168.22.50 192.168.22.50 10
255.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
255.255.255.255 255.255.255.255 192.168.22.50 192.168.22.50 1
основной шлюз: 80.2.143.41
===========================================================================
Постоянные маршруты:
192.168.20.21 255.255.255.255 192.168.21.21 1
192.168.20.159 255.255.255.255 192.168.21.21 1
ПОСЛЕ
Код:
Активные маршруты:
0.0.0.0 0.0.0.0 80.2.143.41 80.2.143.45 1
62.5.206.82 255.255.255.255 80.2.143.41 80.2.143.45 1
80.2.143.40 255.255.255.248 80.2.143.45 80.2.143.45 1
80.2.143.45 255.255.255.255 127.0.0.1 127.0.0.1 1
80.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.20.21 255.255.255.255 192.168.21.21 192.168.21.21 1
192.168.20.159 255.255.255.255 192.168.21.21 192.168.21.21 1
192.168.21.0 255.255.255.0 192.168.21.21 192.168.21.21 1
192.168.21.21 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.21.255 255.255.255.255 192.168.21.21 192.168.21.21 50
192.168.22.0 255.255.255.0 192.168.22.50 192.168.22.50 10
192.168.22.50 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.22.255 255.255.255.255 192.168.22.50 192.168.22.50 10
224.0.0.0 240.0.0.0 80.2.143.45 80.2.143.45 1
224.0.0.0 240.0.0.0 192.168.21.21 192.168.21.21 50
224.0.0.0 240.0.0.0 192.168.22.50 192.168.22.50 10
255.255.255.255 255.255.255.255 80.2.143.45 80.2.143.45 1
255.255.255.255 255.255.255.255 192.168.21.21 192.168.21.21 1
255.255.255.255 255.255.255.255 192.168.22.50 192.168.22.50 1
основной шлюз: 80.2.143.41
===========================================================================
Постоянные маршруты:
192.168.20.21 255.255.255.255 192.168.21.21 1
192.168.20.159 255.255.255.255 192.168.21.21 1
|
Время: 16:51.
© OSzone.net 2001-