Давайте расставим все точки над и.
Для чего отделяют VPN клиентов и LAN клиентов в разные пулы IP адресов???
Это может потребоваться в нескольких случаях
1. Как и в начале этой статьи писалось для упрощения схемы маршрутизации.
Случай, когда клиенты из локальной сети, в которой находится VPN сервер, должны иметь возможность получать доступ к ресурсам, находящимся на VPN клиентах (
ну очень редко требуется).
Это вообще то можно решить при помощи
Статической маршрутизации пользователя см.
Свойства пользователя\Закладка Входящие звонки\Использовать статическую маршрутизацию
2. Когда клиент подключается к VPN серверу, который в свою очередь расположен перед Внутренним файрволом
(не думаю я, что у кого то из этих людей такая схема)
LAN - [FW] - [VPN Server] - [FW] - INTERNET
3. Или когда админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса).
Недостаток.
На стороне VPN клиента необходимо править таблицу маршрутизации, после того как VPN соединение установлено. Еще раз повторюсь - нужны админские права.
Дальнейший сценарий рассчитан, на тех кто хочет пустить у клиента интернет через его собственное подключение а не через VPN канал.
Для тех кому побарабану как он интернет будет получать (или ваще не будет во время VPN сеанса). Можно оставить галочку Использовать шлюз в удаленной подсети и не морочить голову.
Как поправить таблицу маршрутизации - сам с этим долбался и вот нашел решение.
Для этого нам понадобится
CMAK .
Создаем соединение по
инструкции (на русском, как не странно)
ВАЖНЫЙ МОМЕНТ: оставляем галочку использовать маршрут в удаленной подсети, мы его потом грохним!!!
Для того, чтобы переопределить (см. Рис 15 руководства) таблицу маршрутизации, вам нужно будет создать .txt файл следующего содержания
Код:
ADD 192.168.1.0 MASK 255.255.255.0 default METRIC default IF default
REMOVE_GATEWAY
1 строка добавляет новый статический маршрут в сеть 192.168.1.0, через VPN подключение (которое пока что является шлюзом по умолчанию).
Сколько подсетей, столько строчек только с разным идентификатором сети.
2 убивает шлюз по умолчанию (вот и не стало шлюза по умолчанию)
