none
vpn lan to internet RRS feed

  • Общие обсуждения

  • Доброго времени суток. Думаю над следующей задачей - есть windows server 2008 r2 с usergate 5 ( с 2 сетевыми: локалка и инет). Раздает инет через проксю и вроде все хорошо. Но он не может быть ни днс, ни дхцп, ни шлюзом по умолчанию в локальной сети (все роли уже расписаны на других). Соответственно некоторые приложения не работают по инету (нельзя прописать прокси или не берет системные настройки, заморачиваться на каждой машине с http-туннелями долго). Поэтому решил попробовать через VPN. Но везде, где смотрел, с RADIUS и аналогами работает только в обратном направлении - доступ из инета в локальную сеть. Можно ли встроенными\бесплатными средствами организовать доступ по VPN из локальной сети в инет?

    11 апреля 2012 г. 6:12

Все ответы

  • там нет разницы отсюда или туда. споднимаешь vpn сервер и пусть коннектятся (банальная аналогия - домашние провайдеры). правда при этом у клиентов шлюзом по умолчанию должен стать впн коннект, что п принципе равносильно назначению шлюзом по умолчанию твоего сервака с UG на обычных сетевухах.

    на самом деле это все какая то реализация костылей на костылях, что мешает продумать и сделать по человечески?

    11 апреля 2012 г. 7:53
    Модератор
  • Сделано все по-человечески - без учета что будет доступ в инет, куча своих тонкостей. Более менее выход нашел в поднятии на серваке и usergate второй подсетки  и на тех машинах, где нужны остальные сервисы, кроме http руками забить эти "серые" ипишники. Вот был не уверен что vpn хорошо поднимется из lan в интернет, посмотрев на гид по настройке http://system-administrators.info/?p=1612 . Вот еще бы без сертификатов обойтись, а просто по логин\паролю...
    12 апреля 2012 г. 5:46
  • еще раз: у vpn нет понятия lan и internet, для него это просто сети откуда подключаются, а кто из них кто уже не имеет значения.
    когда сделано по-человечески таких задач не возникает - клиенты идут на один шллюз и тот все правильно разруливает.

    этот гид только про ssl vpn, а ssl требует сертификат и для старых операционок не работает. используй pptp или l2tp, там без сертификатов и радиусов все легко делается

    12 апреля 2012 г. 8:53
    Модератор
  • Не, я не понял, зачем? :).

    У нас тоже достаточно развитая локалка, и шлюзы в Internet (2 шт. ISA) не являются для локалки ничем, кроме как, собственно, шлюзами в Internet :). DNS там есть - чисто кеширующий, с прописанным форвардингом на провайдеров (а на эти DNS прописан форвардинг с доменных DNS). DHCP - конечно же внутренние, зачем им быть на шлюзах?

    И шлюз по умолчанию на клиентах - зачем ему быть на шлюз в интернет? На клиентах шлюз по умолчанию на ядро (внутренний маршрутизатор) или ближайший внутренний файрвол. А вот шлюз по умолчанию на ядре - на шлюз в Internet (они у нас вообще в отдельную подсеть локалки вынесены, вместе с некоторыми причиндалами), а количество подсетей в локалке априори ограничено, внутренние маршрутизаторы их "знают".

    Никаких проблем ни с какими приложениями, которым надо в инет и которые не понимают указание прокси.

    То есть, всё решаемо на уровне маршрутизации: там, куда "расписаны роли" шлюзов по умолчанию для клиентов, нужно прописать шлюзы по умолчанию, обеспечивающие, в конечном итоге, попадание пакетов на шлюз в интернет.

    И не стоит заморачиваться с VPN, как уже написали, при активном подключении VPN, именно оно становится на клиенте шлюзом по умолчанию, то есть - доступ к локалке за внутренними маршрутизаторами будет потерян. Если, конечно, не озаботится соответствующими статическими маршрутами - на каждом таком клиенте. Один раз прописать правильно шлюзы по умолчанию на внутренних маршрутизаторах, imho, проще (хотя можно и внутренние статические маршруты раздать клиентам по DHCP).


    S.A.

    12 апреля 2012 г. 14:21
  • вот поэтому неплохо бы узнать конечную цель и сему инициатора треда ) выглядит так будто он хочет поставить в своей локалки левый прокси для выхода в инет а на других узлах не может ничего поменять так как нет прав )
    12 апреля 2012 г. 17:46
    Модератор
  • Уважаемый пользователь,

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    19 апреля 2012 г. 8:41
  • Тема переведена в разряд обсуждений по причине отсутствия активности


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    23 апреля 2012 г. 7:09