1 / 1 / 0
Регистрация: 01.12.2010
Сообщений: 28
1

Доступ из VPN-сети в локалку; Доступ к внешнему ресурсу мимо прокси

26.09.2014, 00:19. Показов 4124. Ответов 8
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Доброго времени суток, господа эксперты!
Нужен совет/консультация в решении одной небольшой задачки.
Собственно суть задачи:
Вопрос номер 1:
Есть 2 офиса объединенные прямым каналом, и есть несколько филиалов разбросанных по городу.
На шлюзе настроен vpn-сервер средствами mpd5. Адрес vpn-сети выдается клиентам такой же как и внутренняя
локалка офиса. PPTP соединения успешно происходят, но в локальную сеть доступа нет. Но если я добавлю в
правила фаервола строку
Код
$cmd 65499 allow all from any to any
то доступ в локалку появляется.
И вопрос номер 2:
Для всех пользователей офиса надо разрешить доступ по РДП на сервер терминалов и на сайт предприятия.
В правилах разрешено, и сайт открывается... но оооочень медленно. Пробовал эти правила прописывать и с
состоянием keep-state, и без него - ситуация не меняется...

Вот, непосредственно, сами правила:
Код
#!/bin/sh
# перечитать конфиг:  nohup sh /etc/ipfw.conf

cmd="/sbin/ipfw -q add"

# Определяем переменные local IP
wanip="xx.xx.xx.xx"			# внешний IP
lanip0="10.20.0.1"			# внутренний IP (office1)
lanip10="10.20.10.1"		# внутренний IP (office2)

# Определяем переменные local network
lannet0="10.20.0.0/24"		# внутренняя сеть (office1)
lannet10="10.20.10.0/24"	# внутренняя сеть (office2)

# Определяем переменные local interfaces
eif="re0"					# внешний интерфейс
iif0="re1"					# внутренний интерфейс (Lan office1)
iif10="re2"					# внутренний интерфейс (Lan office2)

itc_ip="10.20.0.21-24"		# IP-адреса IT-отдела
mail="465,993,995"			# почтовые порты

# Очищаем список правил
$cmd -f flush
$cmd -f pipe flush
$cmd -f queue flush

$cmd 100 check-state

# Режем "вредный" траффик
$cmd 200 deny icmp	from any			to any     in icmptype 5,9,13,14,15,16,17
$cmd 210 deny tcp	from any			to any 113 in via $eif
$cmd 220 deny tcp	from any			to any 137 in via $eif
$cmd 230 deny tcp	from any			to any 138 in via $eif
$cmd 240 deny tcp	from any			to any 139 in via $eif
$cmd 250 deny tcp	from any			to any 81  in via $eif
$cmd 260 deny all	from 192.168.0.0/16	to any     in via $eif
$cmd 270 deny all	from 172.16.0.0/12	to any     in via $eif
$cmd 280 deny all	from 10.0.0.0/8		to any     in via $eif
$cmd 290 deny all	from 127.0.0.0/8	to any     in via $eif
$cmd 300 deny all	from 0.0.0.0/8		to any     in via $eif
$cmd 310 deny all	from 169.254.0.0/16	to any     in via $eif
$cmd 320 deny all	from 192.0.2.0/24	to any     in via $eif
$cmd 330 deny all	from 204.152.64.0/23	to any     in via $eif
$cmd 340 deny all	from 224.0.0.0/3	to any     in via $eif

# Нет ограничений на Loopback интерфейсе
$cmd 400 allow	all from any to any via lo0
$cmd 410 deny	ip  from any to 127.0.0.0/8
$cmd 420 deny	ip  from 127.0.0.0/8 to any

# Разрешаем входящие снаружи SSH соединения
$cmd 500 allow tcp from any to $wanip 22 in via $eif setup limit src-r 2

# Разрешаем pptp соединения и vpn траффик через mpd5
$cmd 600 allow tcp from any		to me 1723	in  via $eif
$cmd 610 allow tcp from me 1723	to any 		out via $eif
$cmd 620 allow gre from any		to any		via $eif

# Снимаем ограничения на локальных интерфейсах
$cmd 700 allow all from me  to any out via $eif keep-state
$cmd 710 allow all from any to any     via $iif0
$cmd 720 allow all from any to any     via $iif10

# Разрешаем входящий пинг
$cmd 800 allow icmp from any to any out via $eif keep-state
$cmd 810 allow icmp from any to me icmptypes 0,8,11 limit src-r 2

# Разрешаем DNS
$cmd 900 allow udp from any to any 53 out via $eif setup keep-state

# Исходящий NTP
$cmd 1000 allow all from any to any 123 out via $eif setup keep-state

# Разрешаем полный доступ в интернет для IT-отдела
$cmd 1100 allow all from $itc_ip to any keep-state

# Разрешаем всем юзерам ходить на наш сайт
$cmd 1200 allow all from $lannet0		to domaine.com  out
$cmd 1210 allow all from domaine.com	to $lannet0  in
$cmd 1220 allow all from $lannet10		to domaine.com  out
$cmd 1230 allow all from domaine.com	to $lannet10 in

# Разрешаем доступ к терминалу и почте в обход squid
# (закомментировано пока не решится вопрос с предыдущими 4 правилами)
#$cmd 1240 allow all from $lannet0 to any 3389  out via $eif setup keep-state
#$cmd 1250 allow all from $lannet0 to any $mail out via $eif setup keep-state

# Отправляем всех на squid
$cmd 1300 fwd 127.0.0.1,3128 tcp from $lannet0  to any 80,443 out via $eif keep-state
$cmd 1310 fwd 127.0.0.1,3128 tcp from $lannet10 to any 80,443 out via $eif keep-state

# Исходящий NAT
$cmd 1400 divert natd ip from any to any out via $eif

# Входящий NAT
#$cmd 1500 divert natd ip from any to any in via $eif

# Разрешаем все для всех (на случай если что-то пойдет не так)
#$cmd 65499 allow all from any to any

# Режем все лишнее с занесением в лог
$cmd 65500 deny log all from any to any
Добавлено через 3 часа 34 минуты
итак вопрос номер 2 снимается с повестки дня, ибо добился того чтоб сайт нормально открывался, пусть и не совсем так как хотелось бы... но пока сойдет...
Вопрос номер 1 по поводу доступа из впн-сети в локалку - остается актуальным...

Добавлено через 8 часов 21 минуту
Итак.... у меня таки получилось добиться того чтобы vpn-клиент смог попасть в офисную локалку. Для этого пришлось изменить часть правил фаервола, еще одну часть переместить по списку... Но столкнулся теперь с другой задачей - после того как vpn-клиент подключается к серверу, у него выборочно блокируется трафик... то есть одни сетевые программы работают (например скайп, пинги и трасерт бегают), а другие - нет (the bat - не соединяется с сервером, тимвьюер не видит сети). Куда еще копать - незнаю...
Вот обновленный скрипт фаервола:
Код
cmd="/sbin/ipfw add"

# Определяем переменные local IP
wanip="xx.xx.xx.xx"            # внешний IP
lanip0="10.20.0.1"              # внутренний IP (office1)
lanip10="10.20.10.1"            # внутренний IP (office2)

# Определяем переменные local network
lannet0="10.20.0.0/24"          # внутренняя сеть (office1)
lannet10="10.20.10.0/24"        # внутренняя сеть (office2)
vpnnet="172.20.1.0/24"          # адрес сети vpn

# Определяем переменные local interfaces
eif="re0"                       # внешний интерфейс
iif0="re1"                      # внутренний интерфейс (Lan office1)
iif10="re2"                     # внутренний интерфейс (Lan office2)

skip="skipto 65499"
ks="keep-state"

itc_ip="10.20.0.21-24"
mail="143,465,587,993,995"

# Очищаем список правил
ipfw -f       flush
ipfw -f pipe  flush
ipfw -f queue flush

$cmd allow all from any          to any         via lo0
#$cmd allow all from me          to any out     via $eif $ks
$cmd allow all from $itc_ip      to any $ks
$cmd allow all from any          to any         via $iif0
$cmd allow all from any          to any         via $iif10
$cmd allow all from any          to any         via tun0
$cmd allow tcp from me           to any out     via $eif $ks uid squid
$cmd deny  ip  from any          to 127.0.0.0/8
$cmd deny  ip  from 127.0.0.0/8  to any

$cmd $skip all from $lannet0      to domain.com out via $eif
$cmd $skip all from domain.com to $lannet0      in  via $eif
$cmd $skip all from $lannet10     to domain.com out via $eif
$cmd $skip all from domain.com to $lannet10     in  via $eif
$cmd $skip all from $lannet0      to any 3389      out via $eif setup $ks
#$cmd $skip all from $lannet0      to any $mail     out via $eif setup $ks

$cmd divert natd ip from any to any in via $eif

$cmd $skip udp  from any to any 53  out via $eif setup $ks
$cmd $skip all  from any to any 123 out via $eif setup $ks

$cmd fwd 10.20.0.1,3128 tcp from $lannet0  to any 80,443 out via $eif
$cmd fwd 127.0.0.1,3128 tcp from $lannet10 to any 80,443 out via $eif

$cmd check-state

# Режем "вредный" траффик
$cmd deny icmp from any                 to any     in icmptype 5,9,13,14,15,16,17
$cmd deny tcp  from any                 to any 113 in via $eif
$cmd deny tcp  from any                 to any 137 in via $eif
$cmd deny tcp  from any                 to any 138 in via $eif
$cmd deny tcp  from any                 to any 139 in via $eif
$cmd deny tcp  from any                 to any 81  in via $eif
$cmd deny all  from 192.168.0.0/16      to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 172.16.0.0/12       to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 10.0.0.0/8          to any     in via $eif       # RFC 1918 private IP
$cmd deny all  from 127.0.0.0/8         to any     in via $eif       # loopback
$cmd deny all  from 0.0.0.0/8           to any     in via $eif       # loopback
$cmd deny all  from 169.254.0.0/16      to any     in via $eif       # DHCP auto-config
$cmd deny all  from 192.0.2.0/24        to any     in via $eif       # reserved for docs
$cmd deny all  from 204.152.64.0/23     to any     in via $eif       # Sun cluster
$cmd deny all  from 224.0.0.0/3         to any     in via $eif       # Class D & E multicast

$cmd allow tcp from any       to $wanip 22 in  via $eif setup limit src-addr 2
$cmd allow tcp from any       to me     1723  in  via $eif
$cmd allow tcp from me 1723   to any          out via $eif
$cmd allow gre from me        to any          out via $eif
$cmd allow gre from any       to me           in  via $eif
$cmd allow all from $vpnnet   to $lannet0
$cmd allow all from $lannet0  to $vpnnet
$cmd allow all from $vpnnet   to $lannet10
$cmd allow all from $lannet10 to $vpnnet
$cmd allow icmp from any to any     out via $eif $ks
$cmd deny  icmp from any to $wanip  in  via $eif

# Исходящий NAT
$cmd 65400 divert natd ip from any to any out via $eif

# Разрешаем все для всех
$cmd 65499 allow all from any to any

# Режем все лишнее с занесением в лог
$cmd 65500 deny log all from any to any
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
26.09.2014, 00:19
Ответы с готовыми решениями:

Настроить доступ в локалку через vpn
VPN подымается через teamviewer. Эта часть работает нормально... Общая конфигурация сети: 1. Мой...

Доступ из сети в локалку cisco 2811
Здравствуйте , подскажите пожалуйста , есть белый ip и есть локальная сеть, во главе стоит cisco...

Провайдер закрыл доступ к внешнему IP из локальной сети
Использую услугу "Внешний IP-адрес", за которую плачу провайдеру 50 руб, использую его для игровых...

Доступ к локальной сети через vpn
Подскажите пж-та, имеется следующая схема: На одной стороне - ПК1 с белым ip-адресом 1.1.1.1,...

8
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
26.09.2014, 05:28 2
Цитата Сообщение от xDrew Посмотреть сообщение
после того как vpn-клиент подключается к серверу, у него выборочно блокируется трафик...
Сервер почты во внешке? Если клиент - Винда, уберите в настройках VPN-соединения "Использовать шлюз в удалённой сети"
0
1 / 1 / 0
Регистрация: 01.12.2010
Сообщений: 28
26.09.2014, 10:42  [ТС] 3
Цитата Сообщение от outl4w Посмотреть сообщение
уберите в настройках VPN-соединения "Использовать шлюз в удалённой сети"
да, я знаю об этой настройке, эта галочка была убрана еще при создании впн подключения... если бы она стояла то вообще связь с внешним миром пропала бы, а так она отваливается выборочно... и мне непонятно проблема в фаерволе или в конфиге mpd5.
Дело в том что конфиг mpd полностью идентичен работающему на другом сервере, правда на том сервере и фаервол настроен прозрачно, и судя по всему происходящему клиенты этого сервера частично ходят в интернет через впн - а этого не должно быть...
Вот конфиг mpd:
Код
startup:
        # configure mpd users
        set user admin qwerty admin

        # configure the console
        set console self 127.0.0.1 5005
        set console open

        # configure the web server
        set web self 10.20.0.1 5005
        set web open


default:
        load pptp_server


pptp_server:

# Define dynamic IP address pool.
# Пул адресов, начальный и конечный адрес
        #set ippool add pool1 172.20.1.10 172.20.1.254
        #set ippool add pool0 10.20.0.1 10.20.0.254
        set ippool add pool10 10.20.10.120 10.20.10.190

# Create clonable bundle template named B
# Создать динамический пучок (bundle) с именем B.
# Сетевые интерфейсы будут создаваться динамически при подключении клиента
        create bundle template B

# Если удаленный IP-адрес входит в локальную подсеть, зарегистрировать для него MAC-адрес
        set iface enable proxy-arp

# Отключать клиента при отсутствии трафика в течение данного количества секунд
        set iface idle 1800

# Корректировать размер пакета при установке TCP соединений через туннель,
# в случае если он превышает заданный MTU (TCP Maximum Segment Size Fix)
        set iface enable tcpmssfix

# Разрешить сжатие заголовков TCP
        set ipcp yes vjcomp

# Specify IP address pool for dynamic assigment.
# Назначаем IP-адреса сервера и клиентов.
# Присвоить серверу один общий адрес
# Для клиентов задать объявленный ранее пул
        set ipcp ranges 10.20.10.1/24 ippool pool10

# Specify IP address for DNS server.
# Задать клиенту DNS-серверы
#       set ipcp dns 8.8.8.8

# Specify IP address for WINS server.
# Задать клиенту WINS-серверы
#       set ipcp nbns 192.168.1.4

# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
# Разрешить шифрование Microsoft
# Протокол сжатия Microsoft в базовой поставке не поддерживается,
# требуется пересборка ядра со сторонним модулем.
        set bundle enable compression
        set ccp yes mppc

#Разрешить 40-битное и 128-битное шифрование Microsoft
        set mppc yes e40
        set mppc yes e128

# Разрешить безстатусный (stateless) режим шифрования.
# Повышает устойчивость к потерям, ценой повышенной загрузки на процессор.
        set mppc yes stateless

# Create clonable link template named L
# Создать динамическую PPTP линию
        create link template L pptp

# Set bundle template to use
# Связать с пучком B
        set link action bundle B

# Multilink adds some overhead, but gives full 1500 MTU.
# Использовать фрагментацию, если размер пакета превышает MTU
        set link enable multilink

# Разрешить сжатие некоторых полей в заголовке, экономит от 1 до 3 байт на пакет
        set link yes acfcomp protocomp

# Использовать CHAP авторизацию, протоколы: Microsoft CHAP v2, Microsoft CHAP, CHAP MD5.
        set link no pap chap eap
        set link enable chap

# Ограничение максимального числа конкурентных попыток залогинится под одним именем. Запрещено если нуль.
        set auth max-logins 15

# We can use use RADIUS authentication/accounting by including
# another config section with label 'radius'.
#       load radius
        set link keep-alive 10 60

# We reducing link mtu to avoid GRE packet fragmentation.
# Максимальный размер пакета
        set link mtu 1460

# Configure PPTP
# Внешний IP на котором будет прослушиватся соединение
        set pptp self xx.xx.xx.xx

# Allow to accept calls
# Разрешаем принимать соединения
        set link enable incoming
0
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
03.10.2014, 19:41 4
Цитата Сообщение от xDrew Посмотреть сообщение
да, я знаю об этой настройке, эта галочка была убрана еще при создании впн подключения... если бы она стояла то вообще связь с внешним миром пропала бы, а так она отваливается выборочно... и мне непонятно проблема в фаерволе или в конфиге mpd5.
С Вашими правилами ipfw вообще непонятно чего Вы хотите тогда добиться. The Bat и TeamViewer должны к какому серверу цепляться? Во внешке или внутри Вашей сети 10.20.* ?

И route print c клиента-Винды при подключенном ВПНе будьте добры?!
0
1 / 1 / 0
Регистрация: 01.12.2010
Сообщений: 28
07.10.2014, 00:06  [ТС] 5
Цитата Сообщение от outl4w Посмотреть сообщение
С Вашими правилами ipfw вообще непонятно чего Вы хотите тогда добиться.
Я прошу прощения - я не совсем точно описал проблему с The Bat и TeamViewer'ом... но уже не буду уточнять так как немного разобрался в чем проблема, но все еще непонятно как ее решить....
В общем, есть главный офис - там стоит vpn-сервер, он же основной шлюз, и на другой железке крутится сервер 1С. Есть полтора десятка филиалов. Так вот - надо сделать так чтобы сотрудники филиалов могли коннектиться на сервер 1С так, как-будто они сидят в главном офисе. Сия задача решена посредством mpd5. Филиалы без проблем попадают в 1С-ку после подключения vpn, но при этом у них запросы на DNS почему то отправляются через vpn канал вместо default route на их местный роутер.
Цитата Сообщение от outl4w Посмотреть сообщение
И route print c клиента-Винды при подключенном ВПНе
пожалуйста:
Код
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.8.1    192.168.8.176     20
         10.0.0.0        255.0.0.0       172.20.1.1     10.20.10.210     21
     10.20.10.210  255.255.255.255         On-link      10.20.10.210    276
 [ip.vpn.сервера]  255.255.255.255      192.168.8.1    192.168.8.176     21
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link    169.254.54.109    276
   169.254.54.109  255.255.255.255         On-link    169.254.54.109    276
  169.254.255.255  255.255.255.255         On-link    169.254.54.109    276
      192.168.8.0    255.255.255.0         On-link     192.168.8.176    276
    192.168.8.176  255.255.255.255         On-link     192.168.8.176    276
    192.168.8.255  255.255.255.255         On-link     192.168.8.176    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    169.254.54.109    276
        224.0.0.0        240.0.0.0         On-link     192.168.8.176    276
        224.0.0.0        240.0.0.0         On-link      10.20.10.210    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    169.254.54.109    276
  255.255.255.255  255.255.255.255         On-link     192.168.8.176    276
  255.255.255.255  255.255.255.255         On-link      10.20.10.210    276
===========================================================================
192.168.8.0/24 - это внутренняя сеть филиала
10.20.10.0/24 - внутренняя сеть главного офиса

После того как я добавил в конфиг mpd5 строку:
Код
set ipcp dns 10.20.10.204 8.8.8.8
то везде, где идет обращение по доменному имени - все работает... то есть трафик идет через vpn-туннель, а так не должно быть...
хотя вот что говорит трасерт на ya.ru:
Код
C:\Windows\System32>tracert ya.ru

Трассировка маршрута к ya.ru [213.180.193.3]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  192.168.8.1
  2     1 ms     1 ms     1 ms  194.28.181.193
  3    20 ms     2 ms     5 ms  194.28.180.10
  4     1 ms     1 ms     1 ms  194.28.180.1
  5     1 ms     1 ms     1 ms  77.93.41.253
  6    11 ms    10 ms    10 ms  yandex-2-ix.giganet.ua [91.245.221.101]
  7    31 ms    31 ms    31 ms  fol2-c4-xe-2-1-3.yndx.net [213.180.213.6]
  8    31 ms    31 ms    31 ms  fol5-c2-ae4.yndx.net [87.250.239.17]
  9    31 ms    31 ms    31 ms  www.yandex.ru [213.180.193.3]

Трассировка завершена.
мистика....
0
10 / 10 / 2
Регистрация: 11.01.2013
Сообщений: 153
07.10.2014, 12:10 6
Т.к. впн сервер выступает шлюзом - поэтому всё бежит через впн канал.
Если он перестанет быть шлюзом - то офисы скорее всего перестанут видеть 1С.
В этом случае надо или на клиентах статически поднять маршруты через впн до 1С или передать им во время подключения к впн.
0
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
07.10.2014, 18:34 7
Лучший ответ Сообщение было отмечено xDrew как решение

Решение

xDrew, а теперь, имея почти всё на руках, давайте разбираться...
У Вас:
Цитата Сообщение от xDrew Посмотреть сообщение
Код
Сетевой адрес * * * * * Маска сети * * *Адрес шлюза * * * Интерфейс *Метрика
* * * * * 0.0.0.0 * * * * *0.0.0.0 * * *192.168.8.1 * *192.168.8.176 * * 20
* * * * *10.0.0.0 * * * *255.0.0.0 * * * 172.20.1.1 * * 10.20.10.210 * * 21
* * *10.20.10.210 *255.255.255.255 * * * * On-link * * *10.20.10.210 * *276
Пакеты, для сети 10.0.0.0/8 будут отправляться на 172.20.1.1, который доступен через поднятый VPN, все остальные пакеты будут лететь на 192.168.8.1 - местный роутер в офисе.
Отсюда резонный вопрос, к какому DNS-серверу ПК офиса обращаются пока VPN не поднят? Какой DNS прописан в настройках Подключения по локальной сети?

Трассировка идёт правильная, то есть пакет до яндекса летит через местный роутер. Но зачем вы отадёте клиентам DNS сервер, к которому они должны обращаться по VPN и при этом удивляетесь этому?
Цитата Сообщение от xDrew Посмотреть сообщение
set ipcp dns 10.20.10.204
Сделайте nslookup ya.ru до поднятия VPN и после.
Кстати, к серваку с 1С-кой надеюсь они цепляются не по доменному имени?

Вообще, в идеале, схема у Вас должна быть следующая. В Интернет удалённые офисы должны бегать самостоятельно через роутер 192.168.8.1 и DNS-запросы отправлять своему провайдеру, и лишь для связи с главным офисом - подсетью 10.0.0.0/8 запихивать пакеты в поднятый VPN.
Вам для себя нужно всё разложить по полочкам, сядьте, возьмите бумагу и визуализируйте как и куда должен бежать трафик при поднятом и не поднятом VPN-канале. Визуализируя, указывайте IP-адреса, подсети, всю логику запросов: по IP или по доменному имени. Многое тут же втсанет на свои места.
0
1 / 1 / 0
Регистрация: 01.12.2010
Сообщений: 28
07.10.2014, 20:44  [ТС] 8
Цитата Сообщение от outl4w Посмотреть сообщение
Какой DNS прописан в настройках Подключения по локальной сети?
На компах удаленных офисов в качестве DNS настроены адреса 192.168.8.1 и 8.8.8.8 соответственно.
Цитата Сообщение от outl4w Посмотреть сообщение
Трассировка идёт правильная, то есть пакет до яндекса летит через местный роутер. Но зачем вы отадёте клиентам DNS сервер, к которому они должны обращаться по VPN и при этом удивляетесь этому?
Дело в том что пока я не передал клиентам DNS средствами mpd5 - ya.ru не резолвился... А удивляюсь потому что клиенты почему-то не обращаются к тем DNS-серверам которые у них прописаны.
Цитата Сообщение от outl4w Посмотреть сообщение
к серваку с 1С-кой надеюсь они цепляются не по доменному имени?
В том то и дело что по IP, и вполне удачно на нее попадают... но при попытке зайти на любой сайт (тотже гугл, например) - получают "Сервер недоступен".
Я уже пробовал все рисовать, и сам, и с коллегой... все в тупик.
0
14 / 14 / 5
Регистрация: 10.08.2014
Сообщений: 95
08.10.2014, 16:17 9
Цитата Сообщение от xDrew Посмотреть сообщение
На компах удаленных офисов в качестве DNS настроены адреса 192.168.8.1 и 8.8.8.8 соответственно.
Я правильно Вас понимаю, что до поднятия VPN выход в инет работает, как только поднимаете - перестаёт?
Цитата Сообщение от xDrew Посмотреть сообщение
Дело в том что пока я не передал клиентам DNS средствами mpd5 - ya.ru не резолвился...
А как тогда он резольвится пока VPN не поднят?
Ещё раз прошу Вас, сделайте на Винде nslookup ya.ru до поднятия VPN и после. Мне интересно, у каких серверов он спрашивает доменное имя в разном состоянии!
Ведь если при поднятом VPN-е Вы с удалённого офиса не можете зайти на http://google.com/, но при этом если попытаетесь зайти по http://188.43.64.152/, попадёте на гугл, однозначно надо разбираться с DNS-серверами.
0
08.10.2014, 16:17
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
08.10.2014, 16:17
Помогаю со студенческими работами здесь

Доступ к http-серверу в vpn-сети
Домашний компьютер подключен к Internet посредством vpn-соединения. На нем установлен IIS. Как из...

Запретить доступ VPN подключений к хостам сети
Доброго времени суток, уважаемые форумчане! Вопрос стоит следующий: есть сеть: маршрутизатор +...

Как получить доступ к ftp, http и ssh по VPN через роутер, если есть доступ к samba?
Есть системник с Ubuntu Server 12.04. Он находится за роутером. На системнике стоит PPTP VPN. На...

Ограниченный доступ к сети через 5 минут теряется доступ к интернету
Добрый день,требуется помощь. У меня через роутер tp-link по wifi подключен ноутбук. Но через 5...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
9
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru