none
Как стандартными средствами Windows 10 разрешить доступ только к sstp vpn серверу? RRS feed

  • Вопрос

  • Я в брандмауэре сначала сделал все правила неактивными ,потом разрешил только исходящие соединения к ip адресам dns сервера,адрес которого прописан в настройках сетевого соединения и ip адресу sstp vpn сервера. Соединение установилось,но доступа к веб серверу,который расположен за vpn сервером нет,Microsoft Edge сообщает о неверных настройках сети. При этом если компьютер с которого пользователь подключается к этому веб серверу расположить в одной подсети с этим веб сервером,то доступ к этому веб серверу удаётся получить при помощи Microsoft Edge. 
    25 апреля 2018 г. 22:19

Ответы

  • Это ЕМНИП значит нормально:


    если "чёрный экран" и есть "подключение не происходит" - то да, это нормально.
    Для меня "подключение не происходит" - это ошибка:

    Connecting To имя.сайта...Could not open connection to the host, on port 443: Connect failed

    • Помечено в качестве ответа vub 28 апреля 2018 г. 22:49
    28 апреля 2018 г. 11:30
    Модератор
  • Добрый День.

    ЕМНИП, Не проще написать скрипт который проверяет подключен ли пк к интернет и при истине подключает vpn.

    На vpn концентраторе (Маршрутизатор) заворачивайте необходимую подсеть в туннель и политиками (ACL) рулите что и куда кому можно.

    Оптимально ставить клиентскую часть ПО на клиента ибо она как правило рулит настройками, по крайне мере так можно реализовать на оборудовании Cisco


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    • Помечено в качестве ответа vub 28 апреля 2018 г. 22:31
    28 апреля 2018 г. 8:14
    Модератор

Все ответы

  • Я в брандмауэре сначала сделал все правила неактивными ,потом разрешил только исходящие соединения к ip адресам dns сервера,адрес которого прописан в настройках сетевого соединения и ip адресу sstp vpn сервера. Соединение установилось,но доступа к веб серверу,который расположен за vpn сервером нет,Microsoft Edge сообщает о неверных настройках сети. При этом если компьютер с которого пользователь подключается к этому веб серверу расположить в одной подсети с этим веб сервером,то доступ к этому веб серверу удаётся получить при помощи Microsoft Edge. 
     дайте доступ к веб серверу за vpn 

    The opinion expressed by me is not an official position of Microsoft

    25 апреля 2018 г. 22:35
    Модератор
  • Если я в брандмауэре Windows 10 сначала делаю  все правила неактивными,потом разрешаю исходящие соединения к любому ip адресу по всем протоколам и портам,то после подключения к sstp vpn серверу,доступ к веб серверу,который расположен за этим sstp vpn сервером есть. Но если я в брандмауэре разрешаю только исходящие соединения к ip адресам dns сервера,адрес которого прописан в настройках сетевого соединения и ip адресу sstp vpn сервера,то соединение с этим sstp веб сервером устанавливается,но ,но доступа к веб серверу,который расположен за vpn сервером нет,Microsoft Edge сообщает о неверных настройках сети. Можно сделать,чтобы у пользователя не появлялся доступ ко всему Интернету,если этот sstp vpn сервер придётся перезагрузить? Дело в том,что после подключения к sstp vpn серверу пользователь имеет доступ только к серверам этой vpn сети,и нужно сделать,чтобы у пользователя не появлялся доступ ко всему Интернету при отключении от этой vpn сети.
    • Изменено vub 26 апреля 2018 г. 11:42 Уточнение.
    26 апреля 2018 г. 11:26
  • прочитал два раза, но так и не понял, что вы делаете.
    Можете нарисовать схему с IP адресами?
    26 апреля 2018 г. 11:45
    Модератор
  • Пользователь сначала подключается к Интернет,в свойствах подключения к Интернет параметры такие: IPv4-адрес. . . . . . . . . . . . : 10.159.144.68(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз. . . . . . . . . : 0.0.0.0
       DNS-серверы. . . . . . . . . . . : 8.8.8.8

    После этого пользователь подключает SSTP vpn соединение,чтобы получить доступ к web серверу,который находится за sstp vpn сервером, параметры sstp vpn соединения такие:

    IPv4-адрес. . . . . . . . . . . . : 10.211.1.11(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз. . . . . . . . . : 0.0.0.0
       DNS-серверы. . . . . . . . . . . : 10.211.254.254

    После этого у пользователя есть доступ только к web серверу,расположенному в этой vpn сети. Если этот sstp vpn сервер выключить,то у пользователя появляется возможность подключаться к любому ресурсу Интернет. Как сделать,чтобы пользователь мог подключаться только к этому sstp vpn серверу?

    26 апреля 2018 г. 16:07
  • Как сделать,чтобы пользователь мог подключаться только к этому sstp vpn серверу?

    если я правильно понял, то пользоваль должен иметь доступ только к SSTP серверу, но НЕ к интернету, то Вам нужно сделать следующее на компьютере клиента:

    - убрать админские права у учётной записи, под которой работает пользователь
    - убрать шлюз по-умолчанию в настройках сетевой карты
    - добавить постоянный машрут к SSTP серверу:

    route add -p IP.АДРЕС.SSTP.СЕРВЕРА mask 255.255.255.255 10.159.144.1

    IP.АДРЕС.SSTP.СЕРВЕРА нужно заменить на IP адрес Вашего SSTP сервера
    10.159.144.1 - шлюз по-умолчанию в сети пользователя (я надеюсь клиент не подключается к Интернету не через PPoE. Его маска на это указывает)
    26 апреля 2018 г. 18:00
    Модератор
  • Как сделать,чтобы пользователь мог подключаться только к этому sstp vpn серверу?

    если я правильно понял, то пользоваль должен иметь доступ только к SSTP серверу, но НЕ к интернету, то Вам нужно сделать следующее на компьютере клиента:

    - убрать админские права у учётной записи, под которой работает пользователь
    - убрать шлюз по-умолчанию в настройках сетевой карты
    - добавить постоянный машрут к SSTP серверу:

    route add -p IP.АДРЕС.SSTP.СЕРВЕРА mask 255.255.255.255 10.159.144.1

    IP.АДРЕС.SSTP.СЕРВЕРА нужно заменить на IP адрес Вашего SSTP сервера
    10.159.144.1 - шлюз по-умолчанию в сети пользователя (я надеюсь клиент не подключается к Интернету не через PPoE. Его маска на это указывает)
    Вы правильно поняли. Я правильно понимаю,что результатом прописывания маршрута предложенным Вами способом должно стать наличие у всех пользователей данного компьютера доступа только к ip адресу sstp vpn сервера?
    26 апреля 2018 г. 20:40
  • Да, для всех. Т.е. интернет тоже у всех пропадет.

    Если хотите ограничивать по пользователям , то вам нужно настраивать прокси сервера с авторизацией.

    Есть ещё один вариант в теории, завтра проверю.

    26 апреля 2018 г. 20:54
    Модератор
  • Я создал в брандмауэре правила разрешающие доступ только к ip адресам sstp vpn сервера,dns сервера,который прописан в настойках sstp vpn соединения и  и dns сервера,который прописан в настройках сетевого соединения с Интернет. Это разве не приводит к такому же результату,что и прописывание маршрута предложенным Вами способом? У меня при помощи настраивания правил в брандмауэре получается получать доступ к данному веб серверу,только если он работает по протоколу http,если этот веб сервер работает по протоколу https,то доступ к нему у меня получить не получается.  
    26 апреля 2018 г. 23:26
  • если я не ошибаюсь, в FW нужно ещё запрещать трафик на остальные IP адреса, а так да - эффект тот же самый должен быть.

    А вот по поводу https - судя по Вашей другой теме, проблема на строне сайта. Ведь Вы открыли доступ по IP, по всем поратам?

    27 апреля 2018 г. 6:24
    Модератор
  • Как проблема может быть на стороне веб сайта,если этот веб сайт у меня нормально открывается,если я в дополнение к уже настроенным мной правилам в брандмауэре включаю в брандмауэре правило,разрешающее исходящие подключения к любому ip адресу по всем протоколам и портам? Моя другая тема про другой компьютер.
    • Изменено vub 27 апреля 2018 г. 19:32 Уточнение.
    27 апреля 2018 г. 18:44
  • я не знаю какие у вас правила настроены... поэтому сложно сказать, что не так.
    27 апреля 2018 г. 19:12
    Модератор
  • Я же выше написал,какие правила у меня настроены.
    27 апреля 2018 г. 19:33
  • Выполните команду:

    Telnet имя.сайта 443

    27 апреля 2018 г. 20:32
    Модератор
  • Если я в брандмауэре включаю правила,разрешающие любые исходящие соединения по всем протоколам и портам,то веб сайт без проблем открывается в веб браузере,если я выполняю команду Telnet имя.сайта 80,то вижу на экране сообщение "HTTP/1.1 400 Bad request
    Content-Length: 0"

    Веб сайт при этом работает по протоколу https . 

    Если я выполняю команду команду Telnet имя.сайта 443,то в окне Telnet написано Подключение к имя сайта... , дальше никакого подключения не происходит. Веб сайт при этом работает по протоколу https .


    • Изменено vub 27 апреля 2018 г. 23:26
    27 апреля 2018 г. 23:24
  • Добрый День.

    ЕМНИП, Не проще написать скрипт который проверяет подключен ли пк к интернет и при истине подключает vpn.

    На vpn концентраторе (Маршрутизатор) заворачивайте необходимую подсеть в туннель и политиками (ACL) рулите что и куда кому можно.

    Оптимально ставить клиентскую часть ПО на клиента ибо она как правило рулит настройками, по крайне мере так можно реализовать на оборудовании Cisco


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    • Помечено в качестве ответа vub 28 апреля 2018 г. 22:31
    28 апреля 2018 г. 8:14
    Модератор
  •  

    Если я выполняю команду команду Telnet имя.сайта 443,то в окне Telnet написано Подключение к имя сайта... , дальше никакого подключения не происходит. Веб сайт при этом работает по протоколу https .


    в такое верится с трудом... у меня пока идей нет.
    28 апреля 2018 г. 8:33
    Модератор
  • У меня при подключении ко всем веб сайтами,которые работают по протоколу https при выполнении команды Telnet имя.сайта 443 в окне Telnet написано Подключение к имя сайта... , дальше никакого подключения не происходит. На компьютере,с которого я пытаюсь подключиться,установлена только Windows 10. Что у Вас выдаёт telnet при выполнении команды Telnet google.com 443 ?
    28 апреля 2018 г. 11:14
  • У меня при подключении ко всем веб сайтами,которые работают по протоколу https при выполнении команды Telnet имя.сайта 443 в окне Telnet написано Подключение к имя сайта... , дальше никакого подключения не происходит. На компьютере,с которого я пытаюсь подключиться,установлена только Windows 10. Что у Вас выдаёт telnet при выполнении команды Telnet google.com 443 ?

    Добрый День.

    Это ЕМНИП значит нормально:


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    28 апреля 2018 г. 11:21
    Модератор
  • Это ЕМНИП значит нормально:


    если "чёрный экран" и есть "подключение не происходит" - то да, это нормально.
    Для меня "подключение не происходит" - это ошибка:

    Connecting To имя.сайта...Could not open connection to the host, on port 443: Connect failed

    • Помечено в качестве ответа vub 28 апреля 2018 г. 22:49
    28 апреля 2018 г. 11:30
    Модератор