Имя: Пароль:
IT
Админ
Блокировка трафика на одном интерфейсе с исключением одного порта.
0 Andreyyy
 
24.02.13
16:14
1. Есть сервер на Керио.
2. Есть удаленные машины, подключающиеся ВПН клиентом.
3. Нужно разрешить по интерфейсу интернет подключаться к серверу керио по порту хххх, а остальные заблокировать. Тогда клиент будет ходить в интернет только через интерфейс керио, соответственно будет проходить авторизацию и попадать под учет трафика.

Сделать хотелось бы как можно проще, не нагружать компьютеры тяжелыми программами, типа COMODO.
Виндовсы XP,7. Есть и Home и Pro.
1 ASV
 
24.02.13
16:22
DNS убрать хватить?  или свой указать
2 MrStomak
 
24.02.13
16:37
Не понимаю - удаленная машина, подключающаяся по ВПН к серверу через интернет, должна ходить в интернет только через керио на это сервере?
3 Andreyyy
 
24.02.13
16:45
(1) А ведь действительно все просто, щас попробую.
(2) Да.
4 Andreyyy
 
24.02.13
16:52
(1) Хрен там, шлюз ведь интернета (иначе как подключишься сначала), от ДНС толку мало.
5 ASV
 
24.02.13
17:02
(4) обычно подключаются по ip
6 Andreyyy
 
24.02.13
17:08
(5) Да, подключаются к керио по IP, но чтобы подключиться нужен шлюз. Ставлю в свойствах подключения к интернету ДНС Керио или вообще убираю, эффекта ноль, он же ломится через интерфейс со шлюзом, т.е. интернет.
7 Andreyyy
 
24.02.13
18:04
Тут нужно как-то организовать перенаправление трафика по всем портам, кроме одного с интерфейса интернет на интерфейс Керио ВПН.
8 mistеr
 
24.02.13
18:31
С OpenVPN очень просто делается.
С Керио не знаком, но уверен, что достаточно внимательно почитать документацию.
9 Andreyyy
 
24.02.13
18:36
(8) И как вы перенаправляете трафик с подключения интернет на интерфейс OpenVPN ? Разницы в решении задачи не вижу на первый взгляд.
10 Jump
 
24.02.13
19:12
Читал, много думал, нифига не понял.
11 Andreyyy
 
24.02.13
19:27
(10) Пользователь на удаленном компьютере подключается к интернет, потом подключается VPN клиентом к серверу Керио (порт хххх).
Теперь когда он бегает по страничкам, весь трафик должен идти через интерфейс Керио, а сервер уже его пускает или нет в интернет через свои интерфейсы. Пользователь должен пройти авторизацию, можно назначить лимит, возможность смотреть отчеты посещаемости.
12 Jump
 
24.02.13
19:55
(11)Т.е удаленный пользователь через интернет подключается к VPN серевру на Керио, и у него этот самый сервер становится шлюзом по умолчанию при активном VPN соединении, так?
Т.е трафик этого пользователя в любом случае в интернет попадет только через Керио. По идее достаточно просто настроить авторизацию на керио и все должно работать.
Какой именно Керио, и как он в интернет выпускает натом, маршрутизацией или прокси?
13 Jump
 
24.02.13
19:56
Я просто не пойму при чем тут порты...
14 Andreyyy
 
24.02.13
20:09
(12) Ну как по умолчанию, со своего ящика подключаюсь, а интернет все равно через мой шлюз идет. Керио настроен как прокси, нат включен для порта прокси сервера.
ipconfig (до подключения и после) на машине говорит, что шлюз тот же самый как и был, не керио.
(13) Про порты в силу своих познаний предположил.
15 Jump
 
24.02.13
20:13
(14)Когда подключаешься к VPN ты должен указать в настройках изменится ли шлюз по умолчанию.
В винде есть галка - "использовать шлюз по умолчанию в удаленной сети" если она стоит, то весь трафик в интернет пойдет через интерфейс VPN.
Если подключаешься специализированным клиентом, то ищи эту настройку в клиенте.
16 Jump
 
24.02.13
20:15
Про порты вообще забудь, в данной ситуации они никаким боком.
Твою проблему решает только default gateway.
17 Andreyyy
 
24.02.13
20:22
(15) В клиенте не нашел, на сервере Керио тоже. Может из-за того, что у меня шлюз принудительно прописан на интерфейсе интернет...
18 Andreyyy
 
24.02.13
20:26
(16) Подключение VPN не ставит шлюз, вроде все облазил, на сервере Керио и DHCP тоже просмотрел.
19 Jump
 
24.02.13
20:51
(18)На сервере это смотреть бесполезно.
Это настройки клиентской машины, на сервере нечего искать.
Подробно опиши как подключение к впн настраиваешь, и какая ось, если используется специализированный софтовый клиент, кинь ссылку на него.
20 Andreyyy
 
24.02.13
20:52
Нашел вот старенькую тему http://www.avsoft.ru/newforum/forum21/topic4174/
Но с такими маршрутами вешается напрочь.
21 Andreyyy
 
24.02.13
20:53
(19) http://www.kerio.ru/ru/control/download
закладка VPN (могу аккаунт дать к серверу, если не лень потестить).
Windows 7, ставлю клиента и коннект к серверу.
22 Andreyyy
 
24.02.13
20:59
Причем в статистике смотрю, примерно часов в 18 несколько страниц открывались именно так, через VPN соедиение, видимо получилось каким-то образом. Но х.з., теперь и не вспомнить какие эксперименты были. Помню, что пытал программу PortTunnel, хотя логика с шлюзом по умолчанию железная.
23 Andreyyy
 
24.02.13
21:06
Как бы ни звучало, я бы и материально решение задачи компенсировал, в конце концов мне же платят за это.
24 Andreyyy
 
24.02.13
21:16
+(20) работает ! но без прокси, осталось его завести !
25 Andreyyy
 
24.02.13
21:17
Шлюз в ipconfig пишет тот же, а интернет и tracert идет через керио.
26 Andreyyy
 
24.02.13
22:00
Вобщем работает, трафик идет через керио с помощью (20), правда как это работает х.з.
Всем спасибо.
Чтобы обнаруживать ошибки, программист должен иметь ум, которому доставляет удовольствие находить изъяны там, где, казалось, царят красота и совершенство. Фредерик Брукс-младший