Каморка

чтобы ремоутный гейтвей юзалсо бы для доступа только к определённой сети

На вашем компе cmd.exe:
route -p add 192.168.169.0 mask 255.255.255.0 192.168.75.1

Stanislav писал(а):route -p add 192.168.169.0 mask 255.255.255.0 192.168.75.1

полдня промудохалсо с этим советом, пока понял, что для того, чтобы это заработало, не хватает параметра интерфейса... ибо без интерфейса этот "персистент раут" вяжется к локальному адаптеру и работает только до реконнекта к впн, а после уже не работает.

короче, если вдруг кому ещё из сетевых чайников вроде меня придёццо решать подобную задачку: надо привязать удалённый гейтвей к впн-интерфейсу, а не к "вашему компу", как советует профессионал станислав... в семёрке эти маршруты хранились в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters\PersistentRoutes, а в десятке они их куда-то упрятали так, что я не нашёл...

вот картинки, как сделать так, чтобы оно заработало:
1. это лежит в пропертях впн-соединения, в табе "Networking" под пропертями IPv4. дефолтовую галку снять:

2. подключиццо к впн

3. узнать и записать номер (ID) впн-интерфейса (в моём случае это 46):

4. привязать ремоутный гейтвей для доступа к чужой сети к впн-интерфейсу:

5. убедиццо, что оно привязалось туда, куда надо, а не к "вашему компу":

6. итог: подключение из домашней сети 192.168.0.0 к чужой сети 192.168.169.0 через офисную сеть 192.168.75.0, при этом сохранив скорость домашнего тырнета некоцнутой:

в общем, всем спасибо за помощь, проблема решена.

Waterbyte писал(а): впн-интерфейсу, а не к "вашему компу"

А ВПН-интерфейс он что, не на вашем компе? Я сказал про "НА вашем компе", а "не к вашему компу", чтобы вы не ринулись прописывать этот раут ни в офисе, ни в Келовне (или где-оно-там-у-вас). БТВ, Если бы вы выполнили эту команду после соединения с ВПН, оно должно само определить номер интерфейса.
Да, я профессионал, потому что на все, с чем вы промудохались полдня, у меня бы ушло бы 15 минут на весь сетап и дебаг.

Waterbyte писал(а):
Old_Tuzik писал(а):Мне кажется что Вам надо посмотреть на split tunnel.

http://clintboessen.blogspot.ca/2015/08 ... ws-10.html
У меня доступа у 10 нет, это не герой моего романа так что я деталей про нее не знаю.

In Windows 10 if you click properties on the Internet Protocol Version 4 (TCP/IPv4) settings, nothing happens the button has no code behind it.

On Windows 10, to enable Split Tunneling this must now be done with PowerShell.
это не так. на самом деле там под кнопкой вот это:

только я либо не умею этим пользоваться, либо оно делает не то, что пишет.

ха! а вот и не везде. настраивал надысь впн на другом компе под десяткой, а там именно так, как в тырнетах и пишут: под кнопкой - nothing. видимо, десятка, да не та. ну, тогда действительно елевейтед повершел, а в нём тот самый пресловутый

Код: Выделить всё

Set-VpnConnection -Name "myVPN" -SplitTunneling $True

это взамен пункта 1 в моей инструкции. остальные шаги всё равно нужно сделать, чтобы заработало.

Мде, вопрос на 2 минуты, увели в какие то дебри. Особенно смешно некоторых "программистов" читать. Таки умные шо пипец. Стас сразу правильное направление указал. А бухгалтер все правильно понял и сконфигурировал.
После сей ветке я все больше начинаю сомневаться в программистах. Особенно некоторых.

Идея простая, если сеть выглядит так:

Код: Выделить всё

192.168.1.0/24                  192.168.2.0/24                  192.168.3.0/24
Remote Client -------Internet-------Office-------Internet-------Hosted solution
               ------VPN-----                  -----VPN-----

Маршрутизация в сеть 192.168.3.0.24 проходит через 192.168.2.0/24. Надо на клиенте(192.168.0.1/24) прописать маршрут в сеть 192.168.3.0/24. А весь остальной трафик отправлять в чистый интернет. Когда галачка "Use default gateway on remote network" снимается клиент шлет все пакеты с дестанейшн 192.168.3.0/24 на домашний маршрутизатор, он не знает куда их пристроить и дропает. А кода добавлем маршрут в сеть 3/24 на клиенте он все пакеты на данное направление отправляет на маршрутизатор в офисе, а он в свою очередь уже знает куда их отправлять. Вот и все. А то картинки, понимаешь, в ВПН много трафика жрут

LOL
Да и сам впн еще овепхед добавляет, из за него то точно интернет медленнее станет, в 3 раза

(Это как бы шутка)

да, тут ещё вопросы остаются:

а есть ли способ отфорвардить RDP с одного айпи во внутренней подсети на другой в тырнете?
например, подключается было юзер своим RDC к, скажем, 192.168.0.50, а его раутер (ну или кто там этим занимается) форвардит на, к примеру, 70.71.101.155. так можно или нельзя? а если можно, то как?

в связи с хитропопым переездом сервера из офиса в облако режым сплита трафика между тырнетом и VPN перестал работать. ищу обходные пути для работы из дома.

Waterbyte писал(а): ↑07 сен 2020, 00:03 да, тут ещё вопросы остаются:

а есть ли способ отфорвардить RDP с одного айпи во внутренней подсети на другой в тырнете?
например, подключается было юзер своим RDC к, скажем, 192.168.0.50, а его раутер (ну или кто там этим занимается) форвардит на, к примеру, 70.71.101.155. так можно или нельзя? а если можно, то как?

в связи с хитропопым переездом сервера из офиса в облако режым сплита трафика между тырнетом и VPN перестал работать. ищу обходные пути для работы из дома.

не совсем понял почему нельзя рдп сразу в облако ?

Vims писал(а): ↑07 сен 2020, 00:11не совсем понял почему нельзя рдп сразу в облако ?

понятия не имею, почему именно. например, потому, что туда вход разрешён только с определённых айпи. кем разрешён и почему так - мне неведомо. так форвард нельзя сделать, что ли?

ну, нельзя - так нельзя.

пришлось добавлять по той же схеме

Код: Выделить всё

route -p add [subnet] mask 255.255.255.0 [gateway] if [vpn]

ещё один маршрут в таблицу и привязывать его к впн-интерфейсу. снова криво, снова рдп через впн, снова медленно, но хотя бы работает.

а вот вопросер есть. сколько тех маршрутов можно привязывать к впн-интерфейсу без особых последствий?

Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula

папа Карло писал(а): ↑11 сен 2020, 21:05 Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula

Это совсем не в туда...

Marmot писал(а): ↑11 сен 2020, 21:10
папа Карло писал(а): ↑11 сен 2020, 21:05 Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula
Это совсем не в туда...

он разве не хочет пару компев через интернет заставить говорить?

папа Карло писал(а): ↑11 сен 2020, 21:13
Marmot писал(а): ↑11 сен 2020, 21:10
папа Карло писал(а): ↑11 сен 2020, 21:05 Есть, возможно, замечательный солюшен для такого: https://github.com/slackhq/nebula
Это совсем не в туда...
он разве не хочет пару компев через интернет заставить говорить?

всё гораздо хуже, чем я думал.

девелоперы нашего софта (TIMS by CU, если это важно) запарили нам "облачное" решение вместо того, которое у нас было несколько лет на локальном сервере. они арендовали у майкрософта кусок облака и запихнули туда свой софт, вынудив нас подключаться к нему по рдп через впн, ибо разместили они его зачем-то в частной подсети 172.25.0.0 вместо публичных тырнетов (понятия не имею, зачем так, может для пущей секюрности, хотя на мой взгляд это бс - рдп имеет свой собственный арсенал защитных средств. вообще, о какой секюрности может идти речь, если это майкрософтовское "облако" находится в штатах?). так вот, теперь всем отделениям нашей конторы предписано было обзавестись фиксированным айпи и на всех гейтвеях запустить впн-клиента, соединяющего локальные сети с той прайват подсетью в майкрософте (а раньше клиент соединял безо всяких фиксированных айпи с локалкой в головном офисе, в котором и находился сервер). в результате, если нужно подключиться к софту откуда-то извне, сначала нужно через отдельный впн проникнуть в гейтвей любого из отделений конторы, и уж потом по рдп можно вязаться с хостом в майкрософте. я не уверен, можно или нельзя такой изврат квалифицировать как "разговор пары компев через интернет".

заглянул на этот ваш https://github.com/slackhq/nebula - там всё по-гречески для меня написано, а учить мне его совсем невмоготу. есть ли кто-нибудь, кому можно было бы поручить нормальное сетевое решение для конторы? а то наш ответственный за всё это безобразие смазал лыжи и в любой момент может отвалить, оставив всё это самое безобразие как оно теперь есть, ибо девелоперам софта доставлять нам такое решение не интересно: они получают свой месячный сабскрипшен и всем довольны.

Каморка

VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN

Re: VPN