Вопрос тупой до безобразия. Есть Windows 2008 с поднятым RRAS/VPN. Есть удаленная сеть 172.16.1.0. Есть локальная — 192.168.12.0. В удаленной сети есть шлюз — 172.16.1.1, он же роутер с натом. В локальной сети есть роутер с натом/шлюз: 192.168.14.12
Так вот.
Когда я, находясь в 192.168.12.0 создаю VPN-подключение через Интернет к 172.16.1.1, я получаю их шлюз как основной, с нулевой метрикой, и весь мой интернет трафик начинает ходить через их удаленный шлюз!
Снять галочку «использовать шлюз по умолчанию в удаленной подсети» — не выход, так как нужно будет объяснять как снимать эту галочку небольшой толпе народа. Поэтому вопрос:
Можно ли что-то подкрутить на VPN-сервере, чтобы не получать их шлюз как основной?

Tagged with →  

10 Responses to Вопрос тупой до безобразия.

  1. V-nFcuk:

    > Можно ли что–то подкрутить на VPN–сервере, чтобы не получать их шлюз как основной?
    подкрути его, чтобы он стал OpenVPN :3

    IPCP, который является стандартным протоколом для назначения адресов в PPP, который используется в PPTP-VPN, не поддерживает передачу маршрутов. кажется, майкрософт для решения этой проблемы в впн-е прикрутило каким-то образом DHCP внутри тунеля PPP, но это пидарасево какое-то.

    самое простое тут — написать инсталлер RAS-соединения, который устанавливал бы его с нужными параметрами и прописыванием перманентных маршрутов ко внутренним сеткам.

  2. Ms_Zlo:

    Stephan-V: учел, спасибо большое. Инсталлер тогда.

  3. Ms_Zlo:

    Но еще вопрос: а можно как-то на уровне VPN-сервера заблокировать доступ к интернету для диапазона IP-адресов, выдаваемых для VPN-подключенных?

  4. V-nFcuk:

    : фильтрами транзитного трафика. это делается где-то в «маршрутизация и удалённый доступ». если штатными средствами не осилишь, укради Kerio Што-то_там.

  5. Ms_Zlo:

    Stephan-V: ОК, ты меня приободрил, спасибо.

  6. Skier:

    Если клиенты как-то впн-соединение создали уже, то почему с галочкой не справятся? Ну или cmak’ом слепить exe, создающий подключение с нужными настройками?

  7. Ms_Zlo:

    : тут видишь, какое дело. Без минимальных настроек никто не подключится. А с галочкой — подключится.

  8. Skier:

    : Ну так само собой закрыть доступ надо, чтобы без галочки не работал инет.

  9. Ms_Zlo:

    : вот и вопрос: как?

  10. Skier:

    : Ну в настройках интерфейса в оснастке RRAS есть фильтры на вход/выход — там и порезать. На мой взгляд они мудацкие, с мудацким переводом и неочевидной логикой, но задачу решить должны.

Добавить комментарий