доступ в локальную сеть через vpn сервер

aka_daemon

Guest

Это нравится:0 Да/0 Нет

19.12.2009 12:23:16

Доброго времени суток всем!

понимаю проблема избитая, но у меня нет доступа в локальную сеть(шары,принтера и прочее).
схема сети: ИНТЕРНЕТ-ПРОКСИ(USERGATE)-СВИТЧ-ЛОКАЛЬНАЯ СЕТЬ(в ней vpn сервер)

более подробно:
имеем лок. сеть на основе раб. группы с ип 192.168.0.1-192.168.0.100

есть шлюз(прокси) кот. имеет две сет. карты одна- в локалку(192.168.0.1), другая- смотрящая в инет.

на ип 192.168.0.5 поднял VPN сервер. подключение к VPN серверу отличное.
если в настройках VPN сервера для клиентов указываю ип из диапазона 192.168.0.101-192.168.0.201, то могу пинговать компы в локалке и получать доступ к их шарам и принтерам.

но хотелось бы разграничить локалку и vpn клиентов!!!.
посредством выдачи vpn клиентам другой подсети - например 192.168.1.1-192.168.1.255
при этом сервер получает ip адрес 192.168.1.1 а вот vpn клиенты разные 192.168.1.2-192.168.1.10.

возникает несколько вопросов:
1. какой на клиенте прописать маршрут, что бы получить доступ в локальную сеть предприятия.
2. можно ли сделать так: сервер бы указывал маршрут на локалку подключенному клиенту, то есть без указания на стороне клиента.
3. на vpn подключаюсь пока только одним пользователем, при этом клиент получает разные ip адреса. можно ли сделать чтобы ему выдавался только конкретный ip адрес.

благодарю за помощь!

SOLDIER

Guest

Это нравится:0 Да/0 Нет

19.12.2009 12:42:29

Приведите таблицы маршрутизации ДО подключения по ВПН и ПОСЛЕ подключения. Ответ на 3-й вопрос - применять RADIUS - в его настройках можно привязывать IP к логину. Так же прошу заметить, что Вы не указали - на каком именно ПО (а также ОС) вы подняли ВПН-сервер.

aka_daemon

Guest

Это нравится:0 Да/0 Нет

19.12.2009 12:57:50

vpn сервер поднял средствами win2003ee

таблица маршрутизации клиента до подключения
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 94.237.253.115 94.237.253.115 1
91.149.120.19 255.255.255.255 94.237.253.115 94.237.253.115 1
94.237.253.115 255.255.255.255 127.0.0.1 127.0.0.1 50
94.255.255.255 255.255.255.255 94.237.253.115 94.237.253.115 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 94.237.253.115 94.237.253.115 1
255.255.255.255 255.255.255.255 94.237.253.115 94.237.253.115 1
255.255.255.255 255.255.255.255 94.237.253.115 10003 1
Основной шлюз: 94.237.253.115
===========================================================================
Постоянные маршруты: Отсутствует

Таблица маршрутизации клиента после подключения:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 94.237.253.115 94.237.253.115 2
0.0.0.0 0.0.0.0 192.168.1.4 192.168.1.4 1
91.149.120.19 255.255.255.255 94.237.253.115 94.237.253.115 1
94.237.253.115 255.255.255.255 127.0.0.1 127.0.0.1 50
94.255.255.255 255.255.255.255 94.237.253.115 94.237.253.115 50
95.66.142.207 255.255.255.255 94.237.253.115 94.237.253.115 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.4 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.1.255 255.255.255.255 192.168.1.4 192.168.1.4 50
224.0.0.0 240.0.0.0 94.237.253.115 94.237.253.115 2
224.0.0.0 240.0.0.0 192.168.1.4 192.168.1.4 1
255.255.255.255 255.255.255.255 94.237.253.115 94.237.253.115 1
255.255.255.255 255.255.255.255 94.237.253.115 10003 1
255.255.255.255 255.255.255.255 192.168.1.4 192.168.1.4 1
Основной шлюз: 192.168.1.4
===========================================================================
Постоянные маршруты: Отсутствует

таблица маршрутизации на vpn сервере после подключения клиента:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.5 20
94.237.253.115 255.255.255.255 192.168.0.1 192.168.0.5 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.5 192.168.0.5 20
192.168.0.5 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.5 192.168.0.5 20
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.1.5 255.255.255.255 192.168.1.1 192.168.1.1 1
224.0.0.0 240.0.0.0 192.168.0.5 192.168.0.5 20
255.255.255.255 255.255.255.255 192.168.0.5 192.168.0.5 1
Основной шлюз: 192.168.0.1
===========================================================================
Постоянные маршруты: Отсутствует

SOLDIER

Guest

Это нравится:0 Да/0 Нет

19.12.2009 19:02:00

Если Винда - то надо разруливать средствами RRAS или ISA. Тут я - пас. Хотя радиус вроде и для Винды есть. По поводу того, чтобы не прописывать маршруты на каждом клиентском компьютере - тут, ИМХО, можно разрулить или средствами DHCP (настройка DHCP-сервера) или средствами групповых политик в случае наличия AD.

capricorn

Guest

Это нравится:0 Да/0 Нет

21.12.2009 20:52:07

ну да, на DHCP сервере надо прописывать 249 scope опцию: Classless Static Routes. Про статик для клиента, конечно же через IAS, создаете новую RADIUS группу и туда всех клиентов с VPN подключением. И все это разруливается через Connection to RRAS server политику там же.

aka_daemon

Guest

Это нравится:0 Да/0 Нет

23.12.2009 11:41:10

по таблицам маршрутизации: так какой мне добавить маршрут чтобы впн клиент имел доступ в локальную сеть?

пробовал вот такой вариант: dhcp серверу назначил диапазон 192.168.1.1-192.168.1.10 и маску 255.255.252.0 - это значит что тогда бы не надо было бы прописывать маршруты. но при подключении впн клиента маска назначается 255.255.255.255????

С радиус сервером все понятно

но хотелось бы разобраться с маршрутом для начала.

SOLDIER

Guest

Это нравится:0 Да/0 Нет

23.12.2009 16:44:19

Как я понял - Вам надо, чтобы при подключении по ВПН клиент ходил в сеть 192.168.0.0/24 не через ВПН-тоннель, правильно? Для того, чтобы это было верно - необходимо, чтобы клиент и ПОСЛЕ подключения ВПН считал сеть 192.168.0.0/24 своей (локальной), а не перся в эту сеть через противоположный конец тоннеля. Мысль понятна?

Для сети ВПН советую выдавать IP из другой сети - 192.168.1.0/24 (например).

Изменено: SOLDIER - 23.12.2009 16:45:22

aka_daemon

Guest

Это нравится:0 Да/0 Нет

23.12.2009 19:17:10

у меня получается вот как: на сервере кот. имеет локальный адрес 192.168.0.5 поднят vpn сервер, которому при подключении клиента выдаётся 192.168.1.10. клиент мой домашний компьютер у кот. при подключении может быть диапазон 192.168.1.9-192.168.1.1
если не ошибаюсь то туннель получается от моего компа до сервера. то есть я пользую сеть 192.168.1.0 и мне надо получить доступ из тоннеля в локалку.

Цитата
SOLDIER пишет: не перся в эту сеть через противоположный конец тоннеля

это как? только еще начинаю разбираться

Цитата
SOLDIER пишет: Для сети ВПН советую выдавать IP из другой сети - 192.168.1.0/24 (например).

так и делаю. у меня и назначен диапазон для vpn 192.168.1.0/24

SOLDIER

Guest

Это нравится:0 Да/0 Нет

23.12.2009 21:39:29

Вот если бы ты потрудился нарисовать структурную схему того, что ты пытаешься сделать - ты бы решил 2 очень полезные задачи:
1. Самое главное - сам бы лучше представлял схемы сетевых подключений.
2. Помог бы другим желающим тебе помочь понять - что куда ходит и что куда подключается.

SOLDIER

Guest

#10

Это нравится:0 Да/0 Нет

23.12.2009 21:43:35

Я поясню. Обычно VPN городят, чтобы объединить разделенные "вражеской сетью" (Интернетом) сегменты сети фирмы (предприятия - не суть важно). При этом общая сеть конторы, разделенная даже географически (один офис на Колыме, второй - на Занзибаре) получается прозрачной для сотрудников. В твоем же случае меня смутила вот эта фраза

Цитата

aka_daemon пишет:
у меня получается вот как: на сервере кот. имеет локальный адрес 192.168.0.5 поднят vpn сервер, которому при подключении клиента выдаётся 192.168.1.10. клиент мой домашний компьютер у кот. при подключении может быть диапазон 192.168.1.9-192.168.1.1

Внешний Интернетовский адрес-то у него есть? Или ты просто эксперименты ставишь, скажем, для повышения своего скилла?

В любом случае - схема представляется с трудом.

capricorn

Guest

#11

Это нравится:0 Да/0 Нет

23.12.2009 22:06:25

ну а если всеже это рабочая схема, то с учетом вышесказанного, для скоупа 192.168.1.1-192.168.1.254(или как там у вас) на DHCP сервере устанавливаете scope option 249 - галочкой отмечаете(если не понятно) в этой опции прописываете нужный маршрут до сабнета 192.168.0.0/24 и все... финита ля комедия.

SOLDIER

Guest

#12

Это нравится:0 Да/0 Нет

23.12.2009 23:07:21

В сеть 192.168.0.0/24 клиент и ПОСЛЕ подключения к ВПН должен иметь доступ (если я правильно понял, все, что было сказано выше - а я уже в этом сомневаюсь). Потому что это его ЛОКАЛЬНАЯ сеть. Повторюсь, если я правильно понял, что ДО подключения клиент, подключающийся по VPN уже имеет адрес вида 192.168.0.2/24. После того, как подключается по ВПН получает ещё один ИП - в тоннеле. С PPP-соединением с ВПН-сервером. В этом случае и в Интернет и в сеть 192.168.1.0/24 он будет ходить через ВТОРОЙ конец ВПН. Если не указано другого в таблицах маршрутизации или в свойствах ВПН подключение не стоит галочка (в TCP/IP) "Использовать основной шлюз удаленной сети". По моему так. Если что-то не так понял - извиняйте. :oops:

capricorn Guest	#13 Это нравится:0 Да/0 Нет 24.12.2009 09:23:56 интересно, что скажет топикстартер... я немного по другому понял, но это не суть важно... я бы tracert посмотрел после подключения

aka_daemon

Guest

#14

Это нравится:0 Да/0 Нет

24.12.2009 10:15:25

вот структура сети

давайте разложим все по полочкам:
1. домашний компьютер подключается к нету посредством модема(ip динамический).
2. в офисе стоит шлюз с двумя сетевыми картами. одна с ип хх.хх.ххх.ххх(статика) смотрит в нет через ADSL модем, другая в локалку с ип 192.168.0.1 шлюз организован на win xp sp3 и стоит еще программа user gate для раздачи интернета пользователям.
3. в локальной сети имеется 2 сервера, комп админа и компы пользователей с локальными адресами 192.168.0.2-192.168.0.254.
4. на сервере win 2003 с локальным адресом 192.168.0.5 поднял vpn сервер средствами RRAS, чтобы пользователи кот. находятся дома или в командировке могли бы работать с локальной сетью предприятия(почта, ресурсы сети предприятия, 1с).
5. если в настройках впн сервера выдаю клиентам адреса из той же подсети что и локальная, то могу получить доступ к любому компу в локальной сети предприятия.
6. если в настройках впн сервера выдаю клиентам адреса отличные от локальной сети (пример 192.168.1.1-192.168.1.10) то доступ у меня есть только на сам впн сервер, то есть я пингую локальный адрес 192.168.0.5 и 192.168.1.10(это ип адрес кот. получает сервер при подключении клиента по впн)
7. так вот вопрос: как мне получить доступ к остальным компам в локальной сети???

aka_daemon

Guest

#15

Это нравится:0 Да/0 Нет

24.12.2009 11:28:54

Цитата
SOLDIER пишет: если я правильно понял, что ДО подключения клиент, подключающийся по VPN уже имеет адрес вида 192.168.0.2/24

вы ошибаетесь.
на домашнем компе настроено соединение на интернет через модем skylink.-само собой ип динамические, хотя можно сделать и статику.

делаю новое соединение до vpn сервера-подключаюсь-могу зайти на удаленный рабочий стол. но нет доступа на другие компы в локалке. пинги даже не проходят

SOLDIER

Guest

#16

Это нравится:0 Да/0 Нет

24.12.2009 12:21:09

А. Ну так ё-моё!

Вот теперь всё встало на свои места. Надо прописать от такой маршрутец на компьютерах, которые подключаются по ВПН:
route -p ADD 192.168.0.0 netmask 255.255.255.0 192.168.1.10
Вроде не ошибся в синтаксисе Виндовой команды ROUTE, коллеги?
Можно без -p - если не нужно, чтобы этот маршрута намертво прибился в Виндах клиентов, а только на время сеанса. Ну и играя маской можно расширить диапазон сети 192.168. разумеется. Вдруг внутри ещё сетей настроить придется.

[mad]Mega Guest	#17 Это нравится:0 Да/0 Нет 24.12.2009 12:43:11 netmask - linux mask - windows

SOLDIER Guest	#18 Это нравится:0 Да/0 Нет 24.12.2009 13:09:26 Собссна, ROUTE /? в командной строке.

capricorn Guest	#19 Это нравится:0 Да/0 Нет 24.12.2009 19:10:34 ну наверное и все... собствено я это в ответе #11 и предлагал, только еще более автоматизированный способ

SOLDIER

Guest

#20

Это нравится:0 Да/0 Нет

24.12.2009 20:27:10

Угу. Именно так.

Цитата
capricorn пишет: для скоупа 192.168.1.1-192.168.1.254(или как там у вас) на DHCP сервере устанавливаете scope option 249 - галочкой отмечаете(если не понятно) в этой опции прописываете нужный маршрут до сабнета 192.168.0.0/24 и все... финита ля комедия.

Собственно, автор как раз и хотел, чтобы это все было в автомате. Только лично я не скрещивал ДХЦП с ВПН - не было необходимости.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?