none
Можно ли запретить отображение 8/8.1/10 из VPN в сетевом окружении? RRS feed

  • Вопрос

  • День добрый, проблема следующего характера:

    Есть несколько офисов, и несколько удаленных клиентов, в том числе тех которые работают из дома, в одном из офисов есть сервер терминалов к которому подключаются клиенты.

    Особенность этого сервера в том что он находиться в сети за NAT с динамическим внутренним адресом от провайдера, там такой сложный случай что прямого доступа организовать не получается, для этого сделали промежуточный VPN сервер в другом офисе, все клиенты и терминальный сервер, подключаются к VPN серверу, и уже через него между собой взаимодействуют! И все замечательно работает! Клиентам для подключения выдается команда типа MSTSC /v:10.10.x.1:3389, и у всех все работает как часы!

    Но!, существует проблема отображения компьютеров в сетевом окружении, все VPN клиенты у которых операционная система Windows 8/8.1/10 видят друг друга в сетевом окружении!, и это проблема! даже при том что доступа друг к другу они не имеют, но при попытке поискать принтер в сети, сеть жутко тормозит пытаясь опросить всех клиентов локальной сети и клиентов VPN сети, и предпочтение отдается тем клиентам у которых Windows 8/8.1/10, это не говоря о том что в сетевом окружении бардак полный!

    Если с компами организации я еще могу как то разобраться, то с компами домашних клиентов я делать ни чего не могу, им только параметры подключения к VPN предоставляются, и они чаще всего даже не заботятся о том что их сетевые папки в общем доступе, принтера в том числе, а уж мультимедиа устройств в сетевом окружении вообще не пересчитать... Пока были у всех системы Windows 7 и ниже, таких проблем не было, в сетевом окружении появляются только 8/8.1/10 системы.

    Что было предпринято: в настройках VPN подключения всем рекомендуется отключать все клиенты и протоколы кроме IPv4, в этом случае не срабатывают технологии windows client т.е. общедоступные папки и устройства перестают быть доступны по сети средствами системы, это не мешает подключаться к серверу по прямому IP адресу, и для работы это более чем достаточно!

    Но эта уловка не срабатывает для систем Windows 8/8.1/10, так как эти системы опрашивают друг друга напрямую по IP (предположительно по DNS-53) и все равно показывают себя в сетевом окружении, и как мультимедиа устройства.

    Вопрос:

    мне необходимо сформировать краткую инструкцию что именно на компьютере пользователя надо запретить, чтобы из сети VPN (10.10.x.x/24) не отображались ни какие компьютеры? предположительно надо закрыть какие то порты, или наоборот для сети 10.10.x.x запретить все порты кроме некоторых необходимых для работы VPN и RDP

    Предполагаю это можно сделать с помощью Windows Firewall, вопрос как?, можно ли объявить сеть VPN(10.10.x.0) сетью общего доступа так чтобы Firewall сам все блокировал кроме 3389 (RDP)?, Или как то надо вручную запретить все порты кроме нужных?, Или можно запретить какие то конкретные порты (подскажите какие), чтобы VPN компьютеры не отображались в сетевом окружении, и не отображались как мультимедиа устройства.

    Спасибо!

    27 февраля 2015 г. 4:23

Ответы

  • В расширенных настройках Network and sharing center можно отключить network discovery для профилей Public и Private.

    Сазонов Илья http://isazonov.wordpress.com/

    27 февраля 2015 г. 7:30
    Модератор
  • Не знаю может и топорно, но нашел как из командной строки создавать правила в Firewall и создал вот такой файлик:

    DenyVPN.bat:

    Netsh Advfirewall firewall add rule name="VPN_Deny_tcp_in" Dir=In action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=tcp
    Netsh Advfirewall firewall add rule name="VPN_Deny_tcp_out" Dir=Out action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=tcp
    Netsh Advfirewall firewall add rule name="VPN_Deny_udp_in" Dir=In action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=udp
    Netsh Advfirewall firewall add rule name="VPN_Deny_udp_out" Dir=Out action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=udp

    В общем получилось то что я хотел, так что вопрос снимается, но если будут дополнения или другие советы, буду благодарен!


    • Изменено Kislov-EA 27 февраля 2015 г. 6:19
    • Помечено в качестве ответа Kislov-EA 27 февраля 2015 г. 6:19
    27 февраля 2015 г. 6:18

Все ответы

  • Отключите службу Link-Layer Topology Discovery Mapper, а также службу Computer Browser.

    Сазонов Илья http://isazonov.wordpress.com/

    27 февраля 2015 г. 5:46
    Модератор
  • Если я отключу эти службы, я и локальную сеть видеть не буду, а это не желательно...

    ограничения нужны только для интерфейса VPN подключения, или для подсети 10.10.x.x/24

    27 февраля 2015 г. 5:50
  • Не знаю может и топорно, но нашел как из командной строки создавать правила в Firewall и создал вот такой файлик:

    DenyVPN.bat:

    Netsh Advfirewall firewall add rule name="VPN_Deny_tcp_in" Dir=In action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=tcp
    Netsh Advfirewall firewall add rule name="VPN_Deny_tcp_out" Dir=Out action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=tcp
    Netsh Advfirewall firewall add rule name="VPN_Deny_udp_in" Dir=In action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=udp
    Netsh Advfirewall firewall add rule name="VPN_Deny_udp_out" Dir=Out action=block profile=any localip=10.10.0.0/24 remoteip=10.10.0.0/24 localport=20-3388,3390-65535 remoteport=20-3388,3390-65535 protocol=udp

    В общем получилось то что я хотел, так что вопрос снимается, но если будут дополнения или другие советы, буду благодарен!


    • Изменено Kislov-EA 27 февраля 2015 г. 6:19
    • Помечено в качестве ответа Kislov-EA 27 февраля 2015 г. 6:19
    27 февраля 2015 г. 6:18
  • В расширенных настройках Network and sharing center можно отключить network discovery для профилей Public и Private.

    Сазонов Илья http://isazonov.wordpress.com/

    27 февраля 2015 г. 7:30
    Модератор