форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Как через ВПН выпускать только в интернет (не в локалку)"
Сообщение от fa (??) on 16-Ноя-05, 21:07  (MSK)
Народ, помогите. Настраиваю в сети ВПН. Столкнулся с проблемой. Если в локалке есть ресурс, который находится не в одной подсети с IP клиента, то соединение уйдет в ВПН-канал (и соответственно посчитается). Как этого избежать, не прописывая маршруты на клиентских машинах? (система FreeBSD 5.4, впн - на mpd+freeradius)
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Как через ВПН выпускать только в интернет (не в локалку)"
Сообщение от Doc (ok) on 16-Ноя-05, 23:42  (MSK)
>Народ, помогите. Настраиваю в сети ВПН. Столкнулся с проблемой. Если в локалке >есть ресурс, который находится не в одной подсети с IP клиента, >то соединение уйдет в ВПН-канал (и соответственно посчитается). Как этого избежать, >не прописывая маршруты на клиентских машинах? (система FreeBSD 5.4, впн - >на mpd+freeradius) Никак если только неперевести его в другую подсеть....
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Как через ВПН выпускать только в интернет (не в локалку)"
Сообщение от max (??) on 17-Ноя-05, 07:16  (MSK)
>Народ, помогите. Настраиваю в сети ВПН. Столкнулся с проблемой. Если в локалке >есть ресурс, который находится не в одной подсети с IP клиента, >то соединение уйдет в ВПН-канал (и соответственно посчитается). Как этого избежать, >не прописывая маршруты на клиентских машинах? (система FreeBSD 5.4, впн - >на mpd+freeradius) Есть такая замечательная программа как zebra. Сам юзаю такую схему как у тебя. А смысл такой: на шлюзе (FreeBSD) поднимаешь зебру и говришь ей слушать ng интерфейсы, потом поднимаешь РИПД который идёт вместе с зеброй. Настраиваешь на то чтобы он выдавал анонсы нужных тебе сетей через нужные тебе шлюзы. У клиентов скорее всего это винда ставишь РИПД - слушатель, он идёт в стандартной поставке (через установку и удаление программ). Счастливо!
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Как через ВПН выпускать только в интернет (не в локалку)"
	Сообщение от fa (??) on 17-Ноя-05, 20:40  (MSK)
	>Есть такая замечательная программа как zebra. >Сам юзаю такую схему как у тебя. >А смысл такой: на шлюзе (FreeBSD) поднимаешь зебру и говришь ей слушать >ng интерфейсы, потом поднимаешь РИПД который идёт вместе с зеброй. Настраиваешь >на то чтобы он выдавал анонсы нужных тебе сетей через нужные >тебе шлюзы. >У клиентов скорее всего это винда ставишь РИПД - слушатель, он идёт >в стандартной поставке (через установку и удаление программ). >Счастливо! Большое спасибо за совет. Неужели во всех сетях так? Для наших пользователей настроить ВПН - уже непосильная задача (хотя думаю, привыкнут), а тут еще и RIP им прийдется запускать (или статические маршруты прописывать).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Как через ВПН выпускать только в интернет (не в локалку)"
	Сообщение от Den (??) on 18-Ноя-05, 00:01  (MSK)
	Устанавливать RIP на машине клиента это бред, притом многие ставят фаерволы и ваш рип работать не будет, а юзеры будут звонить вам и кричать что у них левый трафф считает, тогда уж проще прописать статик роуты в винде (тот же результат). А решение очень простое - настроить правильно фаервол, тобишь запретить шлюзовать пакеты из интерфейсов ppp в интерфейс сетевой карты и наоборот У меня на linux это выглядит примерно так: iptables -A FORWARD -i ppp+ -o eth0 -j DROP iptables -A FORWARD =i eth0 -o ppp+ -j DROP знак "+" говорит что может быть любой интерфейс ppp0, ppp1 и тд Но тут есть одно, входящие пакеты который посылает юзер дропнуться но и пощитаются так как дроп идет после того как пакет передался с уровня ppp на ип, для этого включаем в ppp active-filter и пересобираем пакет. Тогда в опциях можно задавать фильтры ala tcpdump. Создаем один или два таких фильтра где фильтруем как минимум 139, 137, 445 порты (эт нетбиос - он больше всех засоряет даже если никто ничего не качает) и фильтр для localnet. Тобишь пает запрос придет на шлюз ppp его не пощитает и просто передаст на ип уровень и тут его фаервол дропнет.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Как через ВПН выпускать только в интернет (не в локалку)"
	Сообщение от max (??) on 18-Ноя-05, 07:34  (MSK)
	>Устанавливать RIP на машине клиента это бред, притом многие ставят фаерволы и >ваш рип работать не будет, а юзеры будут звонить вам и >кричать что у них левый трафф считает, тогда уж проще прописать >статик роуты в винде (тот же результат). Как раз абсолютно не бред, тут дело в правильном подходе и правильной настройке, к тому же службу рип в винде поставить как два байта переслать, а в вашем случае придётся ещё хуже, так как придётся на каждом клиенте писать батник который будет при загрузке добавлять новые роуты в ТМ.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Как через ВПН выпускать только в интернет (не в локалку)"
	Сообщение от Xottabych on 18-Ноя-05, 10:22  (MSK)
	а не проще действительно раздавать статик роуты клиенту через дхцп?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Как через ВПН выпускать только в интернет (не в локалку)"
	Сообщение от fa (??) on 18-Ноя-05, 20:00  (MSK)
	>а не проще действительно раздавать статик роуты клиенту через дхцп? Ух ты. Действительно проще. Не знал, что по dhcp это умеет. Попробую.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]