[monomah_v]

artem_, убрал я галочку. Теперь в инет клиенты выходят через свое соединение. но теперь не достучаться до 192.168.1.* совсем.

nslookup oszone.ru

C:\>nslookup oszone.ru
*** Can't find server name for address 10.77.48.3: Non-existent domain
*** Can't find server name for address 10.77.48.2: Non-existent domain
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Server: UnKnown
Address: 10.77.48.3

Non-authoritative answer:
Name: oszone.ru
Address: 89.108.74.133

[artem_]

Цитата monomah_v:

192.168.1.* »

разбили VPN клиентов и локалку на разные подсети - получите!!!

Теперь для того, чтобы VPN клиентоы могли получить доступ к подсети 192.168.1.* вам придется редактировать таблицу маршрутизации на стороне клиента. Делается это скриптом. Есть еще один момент - для редактирования таблицы маршрутизации у юзера должны быть права админа.

К сожалению сейчас уже времени нету бегу домой. Если хотите завтра расскажу как это сделать.

Я бы не делил их на разные подсети и не имел бы гемора.

[Virtual]

monomah_v, так маршруты теперь ручками добавлять нужно, о чем и писалось выше.

artem_,

Цитата:

Я бы не делил их на разные подсети и не имел бы гемора.

уверен что гемороя небыло-бы?

[monomah_v]

Virtual, а что Вы можете предложить?

[artem_]

Давайте расставим все точки над и.

Для чего отделяют VPN клиентов и LAN клиентов в разные пулы IP адресов???
Это может потребоваться в нескольких случаях

1. Как и в начале этой статьи писалось для упрощения схемы маршрутизации.
Случай, когда клиенты из локальной сети, в которой находится VPN сервер, должны иметь возможность получать доступ к ресурсам, находящимся на VPN клиентах (ну очень редко требуется).
Это вообще то можно решить при помощи Статической маршрутизации пользователя см. Свойства пользователя\Закладка Входящие звонки\Использовать статическую маршрутизацию

2. Когда клиент подключается к VPN серверу, который в свою очередь расположен перед Внутренним файрволом (не думаю я, что у кого то из этих людей такая схема)

LAN - [FW] - [VPN Server] - [FW] - INTERNET

3. Или когда админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса).

Недостаток.
На стороне VPN клиента необходимо править таблицу маршрутизации, после того как VPN соединение установлено. Еще раз повторюсь - нужны админские права.

Дальнейший сценарий рассчитан, на тех кто хочет пустить у клиента интернет через его собственное подключение а не через VPN канал.
Для тех кому побарабану как он интернет будет получать (или ваще не будет во время VPN сеанса). Можно оставить галочку Использовать шлюз в удаленной подсети и не морочить голову.

Как поправить таблицу маршрутизации - сам с этим долбался и вот нашел решение.
Для этого нам понадобится CMAK .
Создаем соединение по инструкции (на русском, как не странно)

ВАЖНЫЙ МОМЕНТ: оставляем галочку использовать маршрут в удаленной подсети, мы его потом грохним!!!

Для того, чтобы переопределить (см. Рис 15 руководства) таблицу маршрутизации, вам нужно будет создать .txt файл следующего содержания

Код:

ADD 192.168.1.0 MASK 255.255.255.0 default METRIC default IF default
REMOVE_GATEWAY

1 строка добавляет новый статический маршрут в сеть 192.168.1.0, через VPN подключение (которое пока что является шлюзом по умолчанию).
Сколько подсетей, столько строчек только с разным идентификатором сети.
2 убивает шлюз по умолчанию (вот и не стало шлюза по умолчанию)

[monomah_v]

artem_, большое спасибо! поставил бы еще больше благодарностей, да нельзя!

[monomah_v]

Кхм, создал я значить подключение под 2003 сервом через СМАК. На XP x86 все работает, но вот под Vista x64 не хочет даже устанавливаться...

И мне СМАК не предлагал выбирать ось, под которую надо было создать exe'шник, так как он показывал в руководстве(руководство-то под 2008)

[artem_]

Вам нужен CMAK для VISTы качайте Microsoft Remote Server Administration Tools for Windows Vista и будет вам счастье. Еще один момент, там есть еще куча прикольных штук для админа

Microsoft Remote Server Administration Tools for Windows Vista

Пакет адля администрирования MS Server'ов с Vistы. Эта хрень устанавливает вам дополнительные оснастки, которы появляются потом в Администрировании. У меня такая же штука на XP стоит. Только для XP.

Просто тема получилась мега большая не хочу постить дальше.
Можно поставить на сервер, только если есть 2008й в сети . Там кстати эта штука встроенная.

P.S. если все получится не забудьте тему решенной отметить.

[monomah_v]

artem_, а этот "СМАК для висты" на висту ставить? или на сервер? а то я скачал-там ***.msu. И что с ним делать?

а нельзя что-то поставить на сервер, чтобы создавать с помощью СМАКа подключения для 64 битной Висты?

ясно. т.е. "изолированно" ото всех других осей нельзя? значит будем ставить на висту.. ((

А тема не моя, я ее в своих целях использую просто. )

[Zenith]

Здравствуйте, подскадите пожалуйста, после создания подлючения в CMAK'е, может ли пользователь менять IP адрес (у сервера он динамический) и как это сделать. На рисунке 7 (в инструкции) видно, что он предлагает на выбор только два варианта: 1. Либо только один адрес
2. либо список, но я не могу заранее знать какой адрес серверу выдаст провайдер

Заранее благодарен.