VPN

Все, что вы хотели знать о программизме, но боялись спросить.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: VPN

Сообщение Stanislav »

чтобы ремоутный гейтвей юзалсо бы для доступа только к определённой сети
На вашем компе cmd.exe:
route -p add 192.168.169.0 mask 255.255.255.0 192.168.75.1
Аватара пользователя
Waterbyte
Графоман
Сообщения: 47929
Зарегистрирован: 10 авг 2007, 13:43

Re: VPN

Сообщение Waterbyte »

Stanislav писал(а):route -p add 192.168.169.0 mask 255.255.255.0 192.168.75.1
полдня промудохалсо с этим советом, пока понял, что для того, чтобы это заработало, не хватает параметра интерфейса... ибо без интерфейса этот "персистент раут" вяжется к локальному адаптеру и работает только до реконнекта к впн, а после уже не работает.

короче, если вдруг кому ещё из сетевых чайников вроде меня придёццо решать подобную задачку: надо привязать удалённый гейтвей к впн-интерфейсу, а не к "вашему компу", как советует профессионал станислав... в семёрке эти маршруты хранились в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters\PersistentRoutes, а в десятке они их куда-то упрятали так, что я не нашёл...

вот картинки, как сделать так, чтобы оно заработало:
1. это лежит в пропертях впн-соединения, в табе "Networking" под пропертями IPv4. дефолтовую галку снять:
Изображение

2. подключиццо к впн

3. узнать и записать номер (ID) впн-интерфейса (в моём случае это 46):
Изображение

4. привязать ремоутный гейтвей для доступа к чужой сети к впн-интерфейсу:
Изображение

5. убедиццо, что оно привязалось туда, куда надо, а не к "вашему компу":
Изображение

6. итог: подключение из домашней сети 192.168.0.0 к чужой сети 192.168.169.0 через офисную сеть 192.168.75.0, при этом сохранив скорость домашнего тырнета некоцнутой:
Изображение

в общем, всем спасибо за помощь, проблема решена.
Аватара пользователя
Stanislav
Mr. Minority Report
Сообщения: 43378
Зарегистрирован: 19 окт 2005, 16:33
Откуда: Moscow - Richmond - New Wesт - Burnaby

Re: VPN

Сообщение Stanislav »

Waterbyte писал(а): впн-интерфейсу, а не к "вашему компу"
А ВПН-интерфейс он что, не на вашем компе? Я сказал про "НА вашем компе", а "не к вашему компу", чтобы вы не ринулись прописывать этот раут ни в офисе, ни в Келовне (или где-оно-там-у-вас). БТВ, Если бы вы выполнили эту команду после соединения с ВПН, оно должно само определить номер интерфейса.
Да, я профессионал, потому что на все, с чем вы промудохались полдня, у меня бы ушло бы 15 минут на весь сетап и дебаг. :D
Аватара пользователя
Waterbyte
Графоман
Сообщения: 47929
Зарегистрирован: 10 авг 2007, 13:43

Re: VPN

Сообщение Waterbyte »

Waterbyte писал(а):
Old_Tuzik писал(а):Мне кажется что Вам надо посмотреть на split tunnel.

http://clintboessen.blogspot.ca/2015/08 ... ws-10.html
У меня доступа у 10 нет, это не герой моего романа так что я деталей про нее не знаю.
In Windows 10 if you click properties on the Internet Protocol Version 4 (TCP/IPv4) settings, nothing happens the button has no code behind it.

On Windows 10, to enable Split Tunneling this must now be done with PowerShell.
это не так. на самом деле там под кнопкой вот это:
Изображение
только я либо не умею этим пользоваться, либо оно делает не то, что пишет.
ха! а вот и не везде. настраивал надысь впн на другом компе под десяткой, а там именно так, как в тырнетах и пишут: под кнопкой - nothing. видимо, десятка, да не та. ну, тогда действительно елевейтед повершел, а в нём тот самый пресловутый

Код: Выделить всё

Set-VpnConnection -Name "myVPN" -SplitTunneling $True
это взамен пункта 1 в моей инструкции. остальные шаги всё равно нужно сделать, чтобы заработало.
AndreyA
Маньяк
Сообщения: 1165
Зарегистрирован: 25 сен 2006, 10:30
Откуда: Burnaby

Re: VPN

Сообщение AndreyA »

Мде, вопрос на 2 минуты, увели в какие то дебри. Особенно смешно некоторых "программистов" читать. Таки умные шо пипец. Стас сразу правильное направление указал. А бухгалтер все правильно понял и сконфигурировал.
После сей ветке я все больше начинаю сомневаться в программистах. Особенно некоторых.
AndreyA
Маньяк
Сообщения: 1165
Зарегистрирован: 25 сен 2006, 10:30
Откуда: Burnaby

Re: VPN

Сообщение AndreyA »

Идея простая, если сеть выглядит так:

Код: Выделить всё

192.168.1.0/24                  192.168.2.0/24                  192.168.3.0/24
Remote Client -------Internet-------Office-------Internet-------Hosted solution
               ------VPN-----                  -----VPN-----
Маршрутизация в сеть 192.168.3.0.24 проходит через 192.168.2.0/24. Надо на клиенте(192.168.0.1/24) прописать маршрут в сеть 192.168.3.0/24. А весь остальной трафик отправлять в чистый интернет. Когда галачка "Use default gateway on remote network" снимается клиент шлет все пакеты с дестанейшн 192.168.3.0/24 на домашний маршрутизатор, он не знает куда их пристроить и дропает. А кода добавлем маршрут в сеть 3/24 на клиенте он все пакеты на данное направление отправляет на маршрутизатор в офисе, а он в свою очередь уже знает куда их отправлять. Вот и все. А то картинки, понимаешь, в ВПН много трафика жрут :) LOL
Да и сам впн еще овепхед добавляет, из за него то точно интернет медленнее станет, в 3 раза :) (Это как бы шутка)
Последний раз редактировалось AndreyA 23 авг 2016, 11:19, всего редактировалось 3 раза.
AndreyA
Маньяк
Сообщения: 1165
Зарегистрирован: 25 сен 2006, 10:30
Откуда: Burnaby

Re: VPN

Сообщение AndreyA »

.
Аватара пользователя
Waterbyte
Графоман
Сообщения: 47929
Зарегистрирован: 10 авг 2007, 13:43

Re: VPN

Сообщение Waterbyte »

да, тут ещё вопросы остаются:

а есть ли способ отфорвардить RDP с одного айпи во внутренней подсети на другой в тырнете?
например, подключается было юзер своим RDC к, скажем, 192.168.0.50, а его раутер (ну или кто там этим занимается) форвардит на, к примеру, 70.71.101.155. так можно или нельзя? а если можно, то как?

в связи с хитропопым переездом сервера из офиса в облако режым сплита трафика между тырнетом и VPN перестал работать. ищу обходные пути для работы из дома.
Аватара пользователя
Vims
Northern Yeti
Сообщения: 21307
Зарегистрирован: 17 фев 2003, 15:53
Откуда: Magadan - Vancouver
Контактная информация:

Re: VPN

Сообщение Vims »

Waterbyte писал(а): 07 сен 2020, 00:03 да, тут ещё вопросы остаются:

а есть ли способ отфорвардить RDP с одного айпи во внутренней подсети на другой в тырнете?
например, подключается было юзер своим RDC к, скажем, 192.168.0.50, а его раутер (ну или кто там этим занимается) форвардит на, к примеру, 70.71.101.155. так можно или нельзя? а если можно, то как?

в связи с хитропопым переездом сервера из офиса в облако режым сплита трафика между тырнетом и VPN перестал работать. ищу обходные пути для работы из дома.
не совсем понял почему нельзя рдп сразу в облако ?
Аватара пользователя
Waterbyte
Графоман
Сообщения: 47929
Зарегистрирован: 10 авг 2007, 13:43

Re: VPN

Сообщение Waterbyte »

Vims писал(а): 07 сен 2020, 00:11не совсем понял почему нельзя рдп сразу в облако ?
понятия не имею, почему именно. например, потому, что туда вход разрешён только с определённых айпи. кем разрешён и почему так - мне неведомо. так форвард нельзя сделать, что ли?
Аватара пользователя
Waterbyte
Графоман
Сообщения: 47929
Зарегистрирован: 10 авг 2007, 13:43

Re: VPN

Сообщение Waterbyte »

ну, нельзя - так нельзя.

пришлось добавлять по той же схеме

Код: Выделить всё

route -p add [subnet] mask 255.255.255.0 [gateway] if [vpn]
ещё один маршрут в таблицу и привязывать его к впн-интерфейсу. снова криво, снова рдп через впн, снова медленно, но хотя бы работает.

а вот вопросер есть. сколько тех маршрутов можно привязывать к впн-интерфейсу без особых последствий?
Аватара пользователя
папа Карло
Шарманщик
Сообщения: 8563
Зарегистрирован: 17 фев 2003, 15:04
Откуда: НН -> BC -> WA -> UT -> CA

Re: VPN

Сообщение папа Карло »

Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula
Аватара пользователя
Marmot
Графоман
Сообщения: 38302
Зарегистрирован: 17 фев 2003, 17:58
Откуда: Canyon Heights
Контактная информация:

Re: VPN

Сообщение Marmot »

папа Карло писал(а): 11 сен 2020, 21:05 Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula
Это совсем не в туда...
Аватара пользователя
папа Карло
Шарманщик
Сообщения: 8563
Зарегистрирован: 17 фев 2003, 15:04
Откуда: НН -> BC -> WA -> UT -> CA

Re: VPN

Сообщение папа Карло »

Marmot писал(а): 11 сен 2020, 21:10
папа Карло писал(а): 11 сен 2020, 21:05 Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula
Это совсем не в туда...
он разве не хочет пару компев через интернет заставить говорить?
Аватара пользователя
Waterbyte
Графоман
Сообщения: 47929
Зарегистрирован: 10 авг 2007, 13:43

Re: VPN

Сообщение Waterbyte »

папа Карло писал(а): 11 сен 2020, 21:13
Marmot писал(а): 11 сен 2020, 21:10
папа Карло писал(а): 11 сен 2020, 21:05 Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula
Это совсем не в туда...
он разве не хочет пару компев через интернет заставить говорить?
всё гораздо хуже, чем я думал.

девелоперы нашего софта (TIMS by CU, если это важно) запарили нам "облачное" решение вместо того, которое у нас было несколько лет на локальном сервере. они арендовали у майкрософта кусок облака и запихнули туда свой софт, вынудив нас подключаться к нему по рдп через впн, ибо разместили они его зачем-то в частной подсети 172.25.0.0 вместо публичных тырнетов (понятия не имею, зачем так, может для пущей секюрности, хотя на мой взгляд это бс - рдп имеет свой собственный арсенал защитных средств. вообще, о какой секюрности может идти речь, если это майкрософтовское "облако" находится в штатах?). так вот, теперь всем отделениям нашей конторы предписано было обзавестись фиксированным айпи и на всех гейтвеях запустить впн-клиента, соединяющего локальные сети с той прайват подсетью в майкрософте (а раньше клиент соединял безо всяких фиксированных айпи с локалкой в головном офисе, в котором и находился сервер). в результате, если нужно подключиться к софту откуда-то извне, сначала нужно через отдельный впн проникнуть в гейтвей любого из отделений конторы, и уж потом по рдп можно вязаться с хостом в майкрософте. я не уверен, можно или нельзя такой изврат квалифицировать как "разговор пары компев через интернет".

заглянул на этот ваш https://github.com/slackhq/nebula - там всё по-гречески для меня написано, а учить мне его совсем невмоготу. есть ли кто-нибудь, кому можно было бы поручить нормальное сетевое решение для конторы? а то наш ответственный за всё это безобразие смазал лыжи и в любой момент может отвалить, оставив всё это самое безобразие как оно теперь есть, ибо девелоперам софта доставлять нам такое решение не интересно: они получают свой месячный сабскрипшен и всем довольны.
Ответить