[monkkey]

При чем здесь фаерволл? Вам нужен прокси-сервер с авторизацией.

[ArgonIO]

Мне нужно обойтись без сторонних продуктов, тем более авторизация уже есть и работает.

[monkkey]

Не путайте авторизацию с идентификацией.

[borodavkin]

Как решить эту проблему не прибегая к вненему фаэрволлу?

Сложно понять ваш вопрос. Что такое внешний фаэрволл? Вы хотите отказаться от брандмауэра?

Я когда-то давно решал такую проблему, так что попробую что-нибудь посоветовать:

Если в RRAS в разделе "NAT/Простой брандмауэр" для локального интерфейса включить "Простой брандмауэр" (или даже нужно "Основной брандмауэр" без NAT включить), то ваша проблема будет решена путём открытия в брандмауэре порта для входящих VPN подключений (TCP 1723 это VPN по протоколу PPTP).

Если брандмауэр не включать, то можно попробовать настроить для локального интерфейса "Фильтры входа" , основываясь на том, что ваша сеть НЕ-VPN имеет одни адреса (например, 192.168.100.0), а сеть VPN имеет другие адреса (например, 192.168.200.0). Таким образом, нужно разрешить запросы от компьютеров 192.168.100.0 только к адресу вашего VPN-сервера. В итоге, создать VPN подключение к серверу вы сможете, но любые запросы сквозь сервер будут отбрасываться. А от адресов 192.168.200.0 информационный обмен будет без ограничений. Следовательно, ваша проблема будет решена.

А ещё можно в RRAS в разделе "Общие" для локального интерфейса просто убрать в свойствах галочку "Включить диспетчер IP-маршрутизации" (а то и вообще удалить всё сетевое подключение). Тогда для VPN соединений будет включена маршрутизация, а для сети, из которой эти VPN подключения создаются, маршрутизация будет отключена.

Я не специалист, так что простите, если неправильно насоветовал.

[ArgonIO]

borodavkin

Цитата:

Если в RRAS в разделе "NAT/Простой брандмауэр" для локального интерфейса включить "Простой брандмауэр" (или даже нужно "Основной брандмауэр" без NAT включить), то ваша проблема будет решена путём открытия в брандмауэре порта для входящих VPN подключений (TCP 1723 это VPN по протоколу PPTP).

Это я понимаю, однако на моейм серере на внутреннем интерфейсе по определенным причинам фаэрволла быть не должно.

Цитата:

Если брандмауэр не включать, то можно попробовать настроить для локального интерфейса "Фильтры входа"

Вот с этим я очень долго мучался и проблему не решил.

Цитата:

Таким образом, нужно разрешить запросы от компьютеров 192.168.100.0 только к адресу вашего VPN-сервера

Спасибо огромное за эти слова. Они наталкнули меня на разрешении входящих пакетов на внутренний интнрфейс только с destinaton=local_subnet. Помогло. Щас буду искать, но отрубило ли это у меня широковещательные пакеты.

Цитата:

ещё можно в RRAS в разделе "Общие" для локального интерфейса просто убрать в свойствах галочку "Включить диспетчер IP-маршрутизации" (а то и вообще удалить всё сетевое подключение).

А вот эта процедура просто напросто отключает tcp\ip на соответсвующем интерфейсе

Цитата monkkey:

Не путайте авторизацию с идентификацией. »

Хорошо, что на форуме есть другие люди, способные вникнуть в суть вопроса и помочь.

[bravo_ej]

ArgonIO, Вы просто НАТ сделали наверное...
Не поверите, но года два назад я поставил абсолютно такую же задачу перед собой.
Нужно ВПн клиентам раздать адреса. (ip маршрутизация--> NAT/простой брандмауэр). На НАТ интерфейсе свойства. и там пул адресов. Наверное так... наверное потому, что я уже не помню чё я там делал... по неопытности и первый раз пробовал просто всё что можно

Ps: може быть придётся маршрут написать, который будет перегонять адреса(трафик) клиентов ВПН в инет. А остальные адреса без маррута то бы были... но вроде бы я этим не занимался, поэтому не могу утверждать. Вообще говорю что бы пробовал, так как рецептом это не является, наверное.