Добрый день.
Есть DFL-260E, играющий роль межсетевого экрана и VPN-сервера.
Необходимо, чтобы клиент, подключающийся по VPN, имел доступ к интернету и ЛВС одновременно. Притом желательно, чтобы интернет-трафик маршрутизировался через VPN.
Конфиги DFL:




Когда создаю на клиентском компьютере vpn-подключение, получается два варианта.
1)Вариант 1. В окне "Дополнительные параметры TCP/IP" не стоит ни один флажок, метрика задается вручную, например 110, при этом метрика физического интерфейса, через который клиент видит интернет также задана вручную - 100
При такой настройке при поднятом соединении работает интернет, однако интернет-трафик идет в обход VPN-тоннеля. Доступ к ЛВС работает лишь частично - к диапазону адресов 192.168.0.1-192.168.0.254 (при том, что lannet задана как 192.168.0.0/16)
2)Вариант 2. В окне "Дополнительные параметры TCP/IP" стоит флажок "Использовать основной шлюз в удаленной сети", метрика также задана вручную.
При такой настройке при поднятом соединении есть доступ только к ЛВС (притом к полному диапазону адресов). Интернет трафик не проходит. (внешние dns-имена разрешаются через указанные в св-ах VPN-сервера dns-сервера, но пакеты не идут.)

Как настроить VPN так, чтобы интернет трафик "заворачивался" в VPN и был доступ ко всему адресному пространству ЛВС?
Заранее благодарю.

На мой взгляд правильнее и эффективнее, чтобы пользователь пользовался своим интернетом, т.е. не через DFL, а по VPN получал лишь доступ к локальной сети. Почему вы хотите именно ваш вариант?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

на клиенте оставляете галочку использовать основной шлюз ( стоит по дефолту)
на DFL делаете правило

Nat pptp_server / pptp_pool Wan/allnets all- service

или создайте такие же 4ре правила как в папке lan-to-wan но с иточником pptp_server / pptp_pool

третий Мой не любимый вариант , сделать группу из lannet + pptp_server и группой адресов pptp_pool+ DHCP_lan и так же использовать в правилах .

могу предположить , что в интернете есть некий ресурс с авторизацией по IP источника , и вот такие заморочки - не раз такое встречал .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

В свою очередь могу предположить еще более частый вариант - выход через этот адрес быстрее и/или дешевле.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

аха !
сначала VPN идем ДОРОГО .МЕДЛЕННО , до сервера . а потмо по шоссе поехали БЫСТРО И СВЕРХ ДОРОГО

тут либо авторизация . либо контроль над пользователями

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Забавно, что у нас нашлась тема, где возникли разногласия.

Сплошь и рядом есть случаи, где у провайдеров внутри сети нет ограничения скорости и тогда выгоднее или быстрее использовать не свой интернет, а чужой в этой же сети. У нас в городе таких не менее двух. И вопросы по созданию таких схем тут на форуме тоже не редкость.

Странно, что я тебе должен это рассказывать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ну на самом деле TC . не указал от куда он идет до DFL , поэтому я предположил что это проблема авторизации по IP, как самый распространённый и примирительный способ.

а по поводу локальных , у меня например в локалке провайдера 1723 режут на корню , а вот 500 -й - вуаля ....
от сюда и резервации и балансировки. и прочая муть вылезла.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Благодарю за помощь.
Создал правило Nat pptp_server / pptp_pool Wan/allnets all- service, после этого весь трафик стал идти через VPN.
Также есть два небольших вопроса по этой теме.
1)Как разрешить из VPN трассировку командой tracert?
По vpn получается вот что


При работе из ЛВС трассировка функционирует корректно

При этом в IP Settings выставлены значения TTL Min=1 и TTL on Low=Log

2)При работе через VPN SQL Server не хочет принимать подлючения. Ощущение, что что-то блокируется. Притом из ЛВС связь с SQL
функционирует корректно

1) сделать правило и для ping-outbound или в сервисе all-services установить галку обработки ошибок

2) возможно, это связано с файрволлом или антивирусом на самом сервере SQL. попробуйте их отключить
компы из того же сегмента что и pptp могут нормально к нему доступаться?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

вопрос к скулю !
или к бренд маэру 2012 сервера. тк сети локальная и PPTP, разные , то и он блокирует запросы не из сети локальной

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Попробуйте соединяться по TCP, а не named pipes.

Возможно, я упустил - у вас VPN пул включен в lannet или отдельный?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Tracert теперь функционирует исправно, благодарю.

Что касается SQL, по TCP также не удается подключиться (хотя из ЛВС прекрасно работает), этот вопрос вынесу на обсуждение на форум TechNet.

Еще одна маленькая проблема. Если клиент подключается к VPN из своей локальной сети (например дома), в которой адрес шлюза - 192.168.0.1 (т.е., совпадает с адресом dfl), то при обращении к DFL (например, к веб-панели управления или ssh) обращение осуществляется к шлюзу клиента, а не к dfl.
Метрику VPN соединения клиента сделал меньше, чем метрику его интернет-подключения, тем не менее пакеты идут "не туда".
Однако, если клиент подключается из сети с несовпадающими адресами, (например, 10.10.0.0) то обращение к dfl из VPN осуществляется.

Ну так пересечение адресов лт отсюда и загвостки .
Воь как поступить вам если вы пришли на улицу ленина а там два или три дома с номером 5? Да еще и квартиры с одинаковыми номерами: -)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Vladimir22, разве метрика интерфейса не определяет "приоритетность" прохождения трафика?

danilovav, lannet задан ка 192.168.0.0/16, ppptppool - 192.168.150.1-192.168.1.254. Т.е. диапазоны перекрываются, но группировку Interface Groups не делал, хотя подумаваю об этом.

Определяет . Но если адресс находится внутри маски то ни о какой метрики не может быть и речи .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку