D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

SSL VPN на DFL-1660

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

aliv

Заголовок сообщения: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 11:39

Зарегистрирован: Чт июн 12, 2014 15:14
Сообщений: 22

Добрый день,

Имею железку DFL-1660 с прошивкой 2.40. Настроен SSL VPN по мануалу. После подключения через SSL VPN клиента доступ к удаленным ресурсам есть. Но, при подключенном SSL VPN клиенте, удаленный пользователь использует Интернет через DFL, который разрешен через IP Rule.
Если правило убрать то интернета вовсе нету. Остается только доступ до удаленных ресурсов. Через route print на удаленном клиенте видно что есть два роута указывающих на 0.0.0.0

Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.30.30.1 172.30.30.118 10 - клиентский гейт
0.0.0.0 0.0.0.0 172.17.101.7 172.17.101.14 2 - DFL

Если удалить DFL роут вручную то Интернет появляется, но пропадает доступ к удаленным ресурсам.

В итоге, как заставить удаленных пользователей подключенных к SSL VPN выходить в Интернет не через DFL?

Вернуться наверх

YuriAM

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 11:53

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Найдите на клиенте в свойствах соединения TCP/IP и отключите галку про основной шлюз.

На клиенте XP:
Свойства соединения - Сеть - TCP/IP - Свойства - Дополнительно - Использовать основной шлюз в удаленной сети

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вернуться наверх

aliv

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 12:08

Зарегистрирован: Чт июн 12, 2014 15:14
Сообщений: 22

Такая галка точна была при подключении VPN через windows клиента. Но в данном случае используется клиент скачанный с DFL. Ничего подобного там нету. В настройках виртуального сетевого интерфейса который создается при установки DFL SSL VPN клиента, тоже такого не нашел.. Или я где то не там ищу?

Вернуться наверх

YuriAM

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 12:34

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Ну тут фиг знает. Я говорил про обычное VPN соединение.

Суть в любом случае та же.

Вернуться наверх

MTRX

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 15:25

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Топикстартер прав, есть такая ситуация при подключении по SSLVPN

Но, насколько я понимаю, никто не мешает подкорректировать маршрут. Если не ошибаюсь, будет так:

route -p add [подсеть за SSLсервером] mask 255.255.255.0 172.30.30.1

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

MTRX

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 15:26

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва

Кстати, из любопытства: какая у вас рабочая скорость передачи данных по SSL-тоннелю?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Вернуться наверх

aliv

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 17:44

Зарегистрирован: Чт июн 12, 2014 15:14
Сообщений: 22

Не совсем понятен ваш роут. Можете прояснить идею?

Скорость отличная если использовать vlan интерфейс. Файл объемом 40 мегабайт передавался на удаленный сервер через SSL VPN , 2 мегабайта в секунду или 16 Mbps.

Вернуться наверх

danilovav

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Вт сен 09, 2014 21:36

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Запускайте SSL VPN клиент с параметром -no_gateway - тогда маршрут по умолчанию добавляться не будет.
В дополнение, в прошивке 2.60 появилась возможность регулировать, какие маршруты добавлять на клиенте.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

aliv

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Ср сен 10, 2014 11:13

Зарегистрирован: Чт июн 12, 2014 15:14
Сообщений: 22

Попробовал. Интернет есть, но пропали доступы к внутренним ресурсам. Кстати тоже пробую на прошивке 2.60, получил ее от D-Link'а
Вот как это выглядит без ключа "-no_gateway" :

Таблица маршрутов перед подключением SSL VPN
C:\Users\admin>route print

Скрытый текст: показать

Таблица маршрутов после подключения SSL VPN
C:\Users\admin>route print

Скрытый текст: показать

Пингуем внутренний ресурс

Пингуем Интернет

===========================================================================

Вот как это выглядит с ключом "-no_gateway" :

Таблица маршрутов перед подключением SSL VPN
C:\Users\admin>route print

Скрытый текст: показать

Таблица маршрутов после подключения SSL VPN
C:\Users\admin>route print

Скрытый текст: показать

Пингуем Интернет

Пингуем внутренний ресурс

===========================================================================

Вернуться наверх

Vladimir22

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Ср сен 10, 2014 13:28

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва

ну варианта два
или разрешить на DFL VPN пользователям ходить в интернет
или написать ручками маршруты в вашу сеть , через соответствующий адаптер .

но помните , от сессии к сессии , номер адаптера будет манятся , поэтому за маршрутами следить придется руками \глазами \etc.

да и пинги , по большому счету дают понятие только доступен хост или нет, а вот если бы Вы сделали трассировку, то этого поста можно было бы избежать , и понимание пришло сразу бы .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вернуться наверх

aliv

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Ср сен 10, 2014 14:24

Зарегистрирован: Чт июн 12, 2014 15:14
Сообщений: 22

Понимаете, именно для того и был выбран SSL VPN , чтобы удаленный пользователь поставил клиента, законнектился и имел доступ до необходимых ему ресурсов, без ручного изменения таблицы маршрутизации.
Так как не все удаленные пользователи на "ты" с компьютером.
DFL SSL VPN удобен тем что он добавляет маршруты пользователю в зависимоти от настроек каждого пользователя на DFL... так оно должно работать. Но по факту, имеем такую картину.
Если прописать ключ "-no _gateway", и добавить роут вручную, оно работает как надо. Но это не то что я ожидаю.
Может есть автоматика?

Вернуться наверх

Vladimir22

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Чт сен 11, 2014 07:39

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва

ну пустите пользователей через DFL в интернет.

Вернуться наверх

aliv

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Чт сен 11, 2014 10:27

Зарегистрирован: Чт июн 12, 2014 15:14
Сообщений: 22

Это неправильно. Помимо SSL VPN у меня там много чего еще крутиться. А если удаленные пользователи будут torrent беспробудно использовать.. забивать этим канал? Ну нет.

Вернуться наверх

danilovav

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Чт сен 11, 2014 21:03

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Боюсь, без утилиты или скрипта вам тут не обойтись.
Или организовывайте OpenVPN.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

aliv

Заголовок сообщения: Re: SSL VPN на DFL-1660

Добавлено: Пт сен 12, 2014 16:12

Зарегистрирован: Чт июн 12, 2014 15:14
Сообщений: 22

Спасибо и на этом. Дальше буду с D-Link'ом разговаривать.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 247

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения