none
Настройка брандмауэра для VPN RRS feed

  • Общие обсуждения

  • Есть локальная сеть 10.0.0.0, она подключена к внешнему миру через роутер который умеет быть VPN севером.

    При подключении снаружи к серверу VPN клиент получает адреса из сети 10.0.1.0. При этом получается что VPN клиент и машины из внутренней сети не видят друг друга, так как находятся в разных сетях, до тех пор пока не отключить брандмауэры.

    Можно конечно вручную на всех машинах прописать исключения для второй сети 10.0.1.0, но как-то это некрасиво получится.

    Есть ли более цивилизованные способы решить эту проблему?

    14 января 2011 г. 9:33

Все ответы

  • брандмауэр влияет на взаимодействие подсетей с разными адресами?! что-то фантастическое... 8-О

    14 января 2011 г. 11:05
  • А что тут фантастического? Например, там правила "Общий доступ к файлам и принтерам" для входящих соединений имеют по умолчанию область действия для удаленных ip  "Локальная подсеть".

    14 января 2011 г. 11:26
  • Например, там правила "Общий доступ к файлам и принтерам" для входящих соединений имеют по умолчанию область действия для удаленных ip  "Локальная подсеть".
    можете это проиллюстрировать, пожалуйста?
    14 января 2011 г. 12:10
  • А что тут фантастического?

    согласен. Я думал про установки по умолчанию, но в общем случае ограничения могут быть более строгими.

    но почему тогда нельзя для нужных правил поменять Scope на Any?

    14 января 2011 г. 12:17
  • У меня как раз по умолчанию так и стоит. Поменять конечно можно но это надо сделать в 20 правилах на 20 компах, что немного проблематично, к тому же надо менять правила на всех компах подключаемых в качестве клиентов VPN.

    Я нашел описание понятия "локальная подсеть", цитирую:

    Только локальная сеть (подсеть)

    Этот параметр разрешает передачу трафика только с тех адресов IPv4 или IPv6, которые непосредственно доступны компьютеру пользователя. Запрашивая таблицы маршрутизации IPv4 и IPv6, брандмауэр Windows определяет, возможен ли непосредственный доступ к адресу IPv4 или IPv6 входящего пакета. Чтобы просмотреть все непосредственно доступные адреса, необходимо ввести команду route print в командную строку. В таблице маршрутизации IPv4 непосредственно доступными считаются все адреса IPv4, соответствующие маршрутам, для которых адрес в столбце Шлюз совпадает с адресом в столбце Интерфейс . В таблице маршрутизации IPv6 непосредственно доступными считаются все адреса IPv6, соответствующие маршрутам, для которых в столбце Шлюз указано значение On-link . Таким образом, набор непосредственно доступных адресов зависит от конфигурация сети, которая определяется конфигурацией IPv4 и IPv6 для подключений LAN (таких как Ethernet и беспроводные сети 802.11), а также для удаленных и высокоскоростных подключений к Интернету. В некоторых случаях конфигурация использования Интернета позволяет считать непосредственно доступными все адреса.

    Взято отсюда: http://technet.microsoft.com/ru-ru/library/cc778362%28WS.10%29.aspx

    У меня конечно Шлюз не совпадает с Интерфейсом , так как шлюз - это роутер.

    Неужели нет никаких механизмов чтоб настроить брандмауэр на работу с двумя подсетями, кроме как вручную на каждом компе править исключения?

     

    14 января 2011 г. 13:37
  • У меня как раз по умолчанию так и стоит. Поменять конечно можно но это надо сделать в 20 правилах на 20 компах, что немного проблематично, к тому же надо менять правила на всех компах подключаемых в качестве клиентов VPN.

    А через ГП почему не реализовать?
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    17 января 2011 г. 11:00
    Модератор
  • У меня как раз по умолчанию так и стоит. Поменять конечно можно но это надо сделать в 20 правилах на 20 компах, что немного проблематично, к тому же надо менять правила на всех компах подключаемых в качестве клиентов VPN.

    А через ГП почему не реализовать?
    А нет домена, компы, просто компы...
    18 января 2011 г. 12:31
  • У меня как раз по умолчанию так и стоит. Поменять конечно можно но это надо сделать в 20 правилах на 20 компах, что немного проблематично, к тому же надо менять правила на всех компах подключаемых в качестве клиентов VPN.

    А через ГП почему не реализовать?
    А нет домена, компы, просто компы...

    Тогда можно написать скрипт, который будет изменять Scope на Any. Уверен, что в PowerShell есть такая возможность.
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    19 января 2011 г. 9:44
    Модератор
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    26 января 2011 г. 14:58
    Модератор