Условия:
Имеется локальная сеть, AD, DHCP, DNS, VPN.
Имеется некоторое количество пользователей с мобильными устройствами (ноутбуками) которым необходимо работать удаленно с внутренней сеткой, что собственно и реализовано.
И так собственно в чем вопрос:
Найти решение которое ограничивало весь трафик кроме как на адрес VPN сервера, но только когда пользователь не находится в самой локалке.
Если простым языком, то когда пользователь находится в локалке и получил свой адрес DHCP, то ему никакие ограничения не выставляются. Если же допустим пришел в какой нить инет клуб, использовал Wi-Fi, и т.д. и получил свой адрес не из локального DHCP, то ему разрешен трафик только на внешний адрес VPN сервера. Естественно есть пожелание, чтобы это происходило автоматически, так как заставить манагеров с ноутами не забывать включать ту или иную "пимпочку" если они не на работе, практически невозможно. Из уточнений нужно сказать, что доступ к инету возможен разными способами, так что данное решение должно учитывать возможность работы и на уровне интерфейсов (сетевое соединение, Wi-Fi, GPRS и т.д.) То есть, когда организован VPN коннект, то в данном интерфейсе, естественно, никакие ограничения не нужны. Что-то вроде "интелектуального" файрвола.
Может быть кто-то решал данную задачу, либо есть мысли по поводу решения просьба высказываться. Я думаю данный вопрос будет интересен многим сисадминам.
Имеется локальная сеть, AD, DHCP, DNS, VPN.
Имеется некоторое количество пользователей с мобильными устройствами (ноутбуками) которым необходимо работать удаленно с внутренней сеткой, что собственно и реализовано.
И так собственно в чем вопрос:
Найти решение которое ограничивало весь трафик кроме как на адрес VPN сервера, но только когда пользователь не находится в самой локалке.
Если простым языком, то когда пользователь находится в локалке и получил свой адрес DHCP, то ему никакие ограничения не выставляются. Если же допустим пришел в какой нить инет клуб, использовал Wi-Fi, и т.д. и получил свой адрес не из локального DHCP, то ему разрешен трафик только на внешний адрес VPN сервера. Естественно есть пожелание, чтобы это происходило автоматически, так как заставить манагеров с ноутами не забывать включать ту или иную "пимпочку" если они не на работе, практически невозможно. Из уточнений нужно сказать, что доступ к инету возможен разными способами, так что данное решение должно учитывать возможность работы и на уровне интерфейсов (сетевое соединение, Wi-Fi, GPRS и т.д.) То есть, когда организован VPN коннект, то в данном интерфейсе, естественно, никакие ограничения не нужны. Что-то вроде "интелектуального" файрвола.
Может быть кто-то решал данную задачу, либо есть мысли по поводу решения просьба высказываться. Я думаю данный вопрос будет интересен многим сисадминам.
