vpn сервер для удаленных сотрудников (pptp) ?

Обсуждение оборудования и его настройки
seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Отлично! Проверил только что оба варианта - оба работают. Спасибо!
Все гениальное - просто)


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

так а по мимо 80 порта есть же и другие сервисы, они тоже начинают бежать в обход через VPN

как бы в целом то закрыть заворот ?


Abus56
Сообщения: 30
Зарегистрирован: 11 мар 2012, 12:06

а вообще для чего используешь впн? убери протокол и порт, и укажи out interface смотрящий в интернет


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

С позволения ТС я отвечу. ВПН нужен только для того, что дать удаленным пользователям доступ к корпоративной сети, но вместе с тем не дать им возможности использовать наш выход в интернет как проксю. Не то чтобы мне жалко, у меня гигабитный канал и их трафик я даже не замечу. Но если на какой-то из их компов попадет вирусня и начнет ддосить Пентагон например, то ИП они мой засветят а не свой, и отвечать мне придется.
Если закрыть только 80 порт, то удаленный пользователь увидит, что у него не работает контакт или однокласники и галку снимет.
Но последний вариант с out interface интенета мне нравится больше, т.к. режет абсолютно все, а не только 80.
Только ставить его нужно в самом верху, после правил разрешающих ВПН, чтоб другие правила его не перекрывали.
Это то что было нужно, спасибо.


debatko
Сообщения: 44
Зарегистрирован: 06 авг 2013, 23:20

Ребята, подскажите что может быть с DNS. пользователь подключился по PPTP роуты в порядке, сеть офиса видна, днс у него прописались(две штуки 10.1.1.4 и 10.1.1.1)
но когла делаю nslookup 10.1.1.4 ответ есть и все зашибок а вот когда пишу nslookup dcn то ответ что типа хост не найден...это как ?((((
,


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а если прописать
nslookup dcn 10.1.1.4
т.е. в конце явно указать адрес dns сервера, на котором прописана информация о домене dcn?


vic
Сообщения: 47
Зарегистрирован: 12 мар 2013, 21:47

2 seven я верно понял правило? я закрыл всем удаленщикам доступ к внешнему интерфейсу но у меня на локальной машине у пользователя весь инет отвалился полностью теперь.
Так и надо или я что то не то сделал?

потому что я бы хотел не снимая галки на удаленном ПК дать ему свою сеть с ее ресурсами и при этом оставить ему пользоваться егонным же интернетом а не моим.


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Нет, интернет не должен отваливаться у локальных пользователей. Приведите пример правила, каким Вы закрыли доступ всем кто через впн сидит.
У меня это выглядит так:
1) Разрешаю порт 1723.
2) Разрешаю gre.
3) Создаю Adress Lists и добавляю в него IP всех, кто сидит удаленно (у них ведь у всех постоянные IP, хоть и раздаются через DHCP)
4) Создаю правило в таблице filter для цепочки forward, out interface - тот который смотрит в интернет, src. Adress List - группа созданная на предыдущем шаге, action - drop.
После этого для локальных пользователей ничего не поменялось, а у удаленных работает только локальная сеть, интернет не работает вообще, и не будет работать пока галку не снять.
Как сделать чтоб не снимая галки у пользователя была и удаленная сеть и свой интернет? Нужно возится с маршрутами на каждом клиенте, т.к. маршрут, который добавляет впн имеет метрику меньшую чем маршрут, который у него был до установки впн и соответственно трафик пойдет через маршрут с меньшей метрикой. Нужно изменять старый маршрут и делать ему метрику меньше чем у того, который создает впн. Но я считаю, что это уже лишнее. Главная цель достигнута - пользователь может пользоваться локальными ресурсами, но не может пользоваться нашим интернетом. А чтоб у него был интернет при установленном впн соединение, достаточно эту галку единоразово снять.


Ответить