none
Пустить инет по VPN (l2tp) через RRAS в WS2003 SE (sp2) RRS feed

  • Общие обсуждения

  •  

    У меня есть необходимость радавать доступ в инет с помощью средства маршрутизации и удаленного доступа сервера 2003. Доступ раздаю при помощи VPN подключений клиентов к моему серверу, это работает прекрасно. Однако также прекрасно работает, если любой подключенный к сети компьютер пропишет мой сервер в качестве шлюза. Как решить эту проблему не прибегая к вненему фаэрволлу? Пробовал настраивать встроенные в средства маршрутизации пакетные фильтры на подключенный к инету интерфейс, однако они либо отрубат всё, либо пропускают всё.
     
    26 февраля 2008 г. 7:44

Все ответы

  •  

    Открывайте фильтрами только vpn-порты.
    26 февраля 2008 г. 9:07
    Модератор
  •  sie написано:

     

    Открывайте фильтрами только vpn-порты.

     

    На интерфейсе, что смотрит в локальную сеть нельзя закрывать потры  т.к. сервисы отпадут. 

    27 февраля 2008 г. 11:21
  • А если в RRAS`е в разделе Nat убрать внутреннюю сетевую карту?

    Тогда сервак прекратить натить всех кто за ним, да еще и маршрутизацию им прекратит выдавать, так что указание его в качестве шлюза уже не даст инету... А вот с ВПН-интерфейсами - здесь немного хитро... Либо они будут работать без всяких доп. изменений, либо надо будет всем впн-щикам маршрутизацию вручную выдавать, в смысле чтобы при коннекте им насильно впаривалась маршрутизация, прописанная на сервере... ЧТо-то подобное я делал, но только подобное, потому в данном "рецепте" не совсем уверен.

    27 февраля 2008 г. 11:37
  •  Zuzuka написано:

    А если в RRAS`е в разделе Nat убрать внутреннюю сетевую карту?

    Такой рецепт к сожалению не помог. Хотя теоретически так и должно быть, а вот на практике не получатся...
    27 февраля 2008 г. 12:53
  • Дык... А что именно не получается? Таблица маршрутизации ведь некоторое время хранится. Я подозреваю что на лету эффекта видно не будет. Тут надо в любом случае эксперементировать (сделать эмуляцию такого "пиратика", поменять на сервере настройки, перегрузить "пиратика", и смотреть что у него в таблице, как маршрутизация идет, что на сервере).

    27 февраля 2008 г. 13:05
  •  Zabol написано:
     sie написано:

     

    Открывайте фильтрами только vpn-порты.

     

    На интерфейсе, что смотрит в локальную сеть нельзя закрывать потры  т.к. сервисы отпадут. 

     

    Добавьте нужные фильтры для сервисов.

    27 февраля 2008 г. 13:31
    Модератор
  • Опишу болезнь подробней:

    Задачу смотри высше

    Есть сеть с адресами 10.10.10.1-255 (255.255.255.0)

    Адреса раздает роутер (10.10.10.1) по DHCP, назначая всем пользователям адреса 10.10.10.1-255 с маской 255.255.255.0 и шлюзом 10.10.10.1, включено резервирование (на МАК), клиенту сервер всегда назначает один и тод же адрес.

    В сети есть машина (Win2003SE SP2) с адресом 10.10.10.10. На машине 2 интерфейса, один смотрит к провайдеру модемное соединение (ISP адреса получает автоматом), второй смотрит в локальную сеть (LAN: ip 10.10.10.10 mask 255.255.255.0 gate 10.10.10.1 ).

     

    На машине включаю службу RRAS, в мастере указываю особую конфигурацию->выделяю все галочки.

    В свойствах сервера:

    Закладка

    - общие включен маршрутизатор и удаленный доступ;

    - безопасность все на виндовс акаунтах + ключ для Л2ТП соединения;

    - IP разрешено марнрутизацию, удаленный доступ, удаленным клиетнам адрес назначается из пула указанных адресов, широковещание выключено, для подключения выбран адаптер LAN;

    - РРР многоканальность выключено, сжатие выключено, LCP включен;

    - журналы вести все.

     

    Далее добавляю интерфейс провайдера ISP, добавляю нужное количество Л2ТП портов.

    Ставлю стат маршрут для ISP ip 0.0.0.0 mask 0.0.0.0.

    В дереве NAT

    добавляю интерфейс ISP указывю что он смотрит к провайдеру

    добавляю интерфейс INTERNAL (сервер впн) указываю что это часный интерфейс

    В свойствах NAT в закладке разрешения имени в адрес указываю использовать ISP.

     

    Правлю политику безопасности для доступа по ВПН

     

    В результате

    Клиент соединяется с сервером, получает адрес из пула ВПН сервера, но в инет не идет...

    Если клиент пропишет у себя в ручную гейт и днс (10.10.10.10), то тогда свободно проходит в инет, а такого быть не должно.

     

    Помогите пожалуста разобраться чайнику в ситуации и исправит ошибки!

     

    27 февраля 2008 г. 14:11
  • Пока нет возможности поднять виртуальную среду с такой конфигурацией, но чувствую что надо поиграться с интерфейсом INTERNAL в разделе NAT, а также возможно придется статикой маршруты добавить...

    И по-моему можно все-таки средствами самого win2k3 сделать то что Вам надо.

    28 февраля 2008 г. 9:28
  • Получается что у вас и внутренние клиенты, и впн клиенты имеют адреса в одной сети. Как же вы их хотите сортировать?! Выдавайте впн клиентам адреса из другой сети (или подсети) - тогда у вас получится разделить внутренних и впн клиентов, настроив и маршрутизацию, и фильтры.

    28 февраля 2008 г. 13:42
    Модератор
  • Можно и при такой схеме рассортировать. А выдача разных адресов не спасет - кто не мешает вместо дхцп вручную не вбить айпи?

    Здесь либо фильтры либо маршрутизацию хитрую настроить... Только вот навскидку не скажу как именно, когда мне надо было нечто подобное - у меня был сервер с 2 сетевыми, плюс еще 2 впн, причем второй впн смотрел через первый впн Smile Но работало. И пользователи находились все которых я маршрутил в одном адресном пространстве.

    28 февраля 2008 г. 13:56
  • Вот как раз когда диапазон другой, то ручками можно вбить только адрес из этого же диапазона - любой другой адрес уже не будет работать, а если еще повесить фильтры, то и дорога у пакетов будет строго очерчена - только во внутреннюю сеть.

    28 февраля 2008 г. 14:22
    Модератор
  • Ммм.. Тогда я что-то не понимаю... Пример:

    Физически одна сеть, логически разделена к примеру на 192.168.1.0/24 и 192.168.2.0/24. Шлюз в первой сети - ..1.1, шлюз во второй сети - ..2.1. Был у меня айпи - 2.2 по дхцп полученный, взял руками перенастроил на 1.2 - и все, работаю (шлюз и маску по умолчанию я знаю, ну и днс). Если нет ограничений дополнительных на шлюзах. Я именно про это и говорил.

    Пока я на шлюзе не ограничу работу всех, кроме тех кто мне нужен - простая смена айпи вручную будет позволять работать.

     

    28 февраля 2008 г. 14:33
  • Надо просто в настрйках сервера изменить пул адресов с DHCP на Static и указать адреса не локальной сети - тогда можно разделить фильтрами права вутренней сети и впн-сети. И смена сети на впн-клиенте ничего вам не даст, т.к. маршрутизации на него не будет!

    28 февраля 2008 г. 14:57
    Модератор
  • Попробовал на кроликах - тот вариант что предложил я не работает Sad Попробовал как предлагал sie - не получилось тоже Sad Хотя с фильтрами я не совсем лажу, мог просто что-то не доглядеть. Все-таки штатные средства 2к3 - не *nix с iptables или ipfw и не иса Sad

    29 февраля 2008 г. 9:06
  •  

    В данной ситуации особых средств и не надо - штатными средствами можно решить задачу - она типичная.

    А фильтр мжет быть один: на внешний интерфейс - исходящие пакеты только с адресов локальной сети.

    29 февраля 2008 г. 11:16
    Модератор
  • Именно так я и сделал с самого начала... Имена стали резолвится (в моем примере днс был за кроликами, там куда был впн-канал), но дальше ни в какую...

    У меня текущая рабочая схема немного проще - форпостами являются никсы, с их более гибкими правилами роутерными. А вся внутренняя сеть находится внутри физически одной, но логически поделенной сети. Соотвественно я на гейтах режу вообще все по умолчанию, а потом открываю то что мне необходимо по минимуму...

    29 февраля 2008 г. 12:08
  • Спасибо, за конструктивное обсуждение.

     

    Надо просто в настрйках сервера изменить пул адресов с DHCP на Static и указать адреса не локальной сети - тогда можно разделить фильтрами права вутренней сети и впн-сети. И смена сети на впн-клиенте ничего вам не даст, т.к. маршрутизации на него не будет!

     

    Вот здесь по подробней пожалуйста...что значит на статик? Дхцп сервер в сети - это железа-маршрутизатор от Д-ЛИНКа. Адрес выдается по маку тоесть клиенту сервер всегда дает постоянный айпи. На сервер инета тоже раздает дхцп. Локальный адрес сервера

    айпи 10.10.10.10

    маска 255.255.255.0

    гейт 10.10.10.1

    Клиенты которые прошли ко мне по впн получают АЙПИ 172,16,10,1/24

    На машине поднят форвардный ДНС и настроен обслуживать запросы только с 172,16,10.1/24

     

    как быть дальше...?

     


     

    29 февраля 2008 г. 12:57
  •  Zuzuka написано:

    Именно так я и сделал с самого начала... Имена стали резолвится (в моем примере днс был за кроликами, там куда был впн-канал), но дальше ни в какую...

    У меня текущая рабочая схема немного проще - форпостами являются никсы, с их более гибкими правилами роутерными. А вся внутренняя сеть находится внутри физически одной, но логически поделенной сети. Соотвественно я на гейтах режу вообще все по умолчанию, а потом открываю то что мне необходимо по минимуму...

     

    В аську можешь стукнуть?

    MyICQ# 290550111

    29 февраля 2008 г. 13:22