VPN - Как закрыть интернет-трафик через VPN

El Scorpio · Отправлено: **05:02, 01-02-2010** | #2

Цитата f1ame:

Как можно закрыть\запретить инет-трафик через VPN соединение? »

В*DHCP-сервере зарезервировать IP-адрес клиента
В*файрволле настроить правило для фильтрации исходящих пакетов по IP

gf100 · Отправлено: **09:44, 01-02-2010** | #3

Цитата f1ame:

Пользователь при VPN соединении получает IP 192.168.21.X »

От кого он получает адрес?
Если можно назначить ему статику, то проще всего не прописывать шлюз по умолчанию, а выдать один статический маршрут на конкретный сервер.

f1ame · Отправлено: **13:20, 01-02-2010** | #4

gf100, из статического пула адресов для удаленного подключения на серваке

f1ame · Отправлено: **15:25, 01-02-2010** | #5

инет-трафик закрыл - убрав галку "использовать основной шлюз в удаленной сети".
но теперь не пингуются машины из 192.168.20.X

Народ, где копать?

El Scorpio · Отправлено: **01:30, 02-02-2010** | #6

Цитата f1ame:

из статического пула адресов для удаленного подключения на серваке »

Вот и запретить на файрволле "внешнего"*интерфейса прохождение пакетов из этого диапазона адресов.
Вроде бы как "фильтрация пакетов" эта опция называется

f1ame · Отправлено: **12:11, 02-02-2010** | #7

El Scorpio, я закрыл инет способом в посте чуть выше, но теперь пользователи не могу подключаться к серваку, и вообще не пингуются компы из 192.168.20.X

прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) - не помогло, может другой шлюз надо указывать?

пингуется только 192.168.21.10 (это сервак VPN), а нужен 192,168,20,21

где может быть проблема?

gf100 · Отправлено: **21:16, 02-02-2010** | #8

Цитата f1ame:

может другой шлюз надо указывать? »

Возможно. Проверь, включив шлюз по умолчанию:

tracert 192.168.20.x

это может оказаться 192.168.22.1.

есть еще одна проверка:

route print

El Scorpio · Отправлено: **03:07, 03-02-2010** | #9

Цитата f1ame:

прописывал маршруты route add -p 192.168.20.0 mask 255.255.255.0 192.168.22.50 (это основной шлюз в филиале) »

И*каким образом пакет с адреса 192.168.22.50 попадёт в 192.168.20.0/24?
Разумеется шлюзом для удалённой сети надо указывать адрес сервера VPN (точнее, его адрес на той стороне канала)

f1ame · Отправлено: **19:18, 03-02-2010** | #10

gf100, El Scorpio,
получается маршрут должен выглядеть:

route add -p 192.168.20.0 mask 255.255.255.0 192.168.21.10 - не пингуется ничего

но при этом, если прописать:
route add -p 192.168.20.21 (сервак который мне нужен) mask 255.255.255.255 192.168.21.10 - этот конкретный сервер прекрасно пингуется

так где ж я туплю? чтобы пинговались все ip в 192.168.20.X?