Как в Usergate разделить подключение внешних локальных и интернет ресурсов?
 

Помогите разобраться. Ситуация такая.
Есть внешняя городская локальная сеть и есть внутренняя сеть предприятия. Интернет на сервере берется из VPN (т.е. PPP) соединения уходящего во внешнюю городскую сеть на сервер провайдера.
Надо настроить сервер (win 2003) с ЮГ таким образом, чтобы для компьютеров находящихся во внутренней сети организации постоянно были доступны внешние айпи адреса 10.*.*.* и 192.168.*.*, а интернет (т.е. все остальные адреса) можно было подключать и отключать отдельно. Требуется чтобы при этом еще и работал NAT так как в учреждении используется софт который с прокси не работает либо работает некорректно.

На данный момент все настроено одновременно, т.е. либо на компах внутри сети видны и внешние локальные айпи и инет, либо не видно ни того ни другого (если соединение с ЮГ отключено). Внутренние айпи компов сети предприятия естественно видны всегда. Но такой вариант по ряду причин не устраивает и нужен выше описанный, вопрос в том как этого добиться?

На сервере при поднятии VPN интерфейса скорее всего заменяется шлюз-по умолчанию (default route) и весть нелокальный трафик идёт в интернет через этот тунель. Если вы отключите создание шлюза по умолчанию в настройках этого интерфейса то при его включении трафик через него идти не будет. Если захотите его задействовать нужно будет прописать маршрут, если захотите выключить просто удалите маршрут.

Tonny_Bennet,
Не понимаю каким образом это решает поставленную задачу.
Я так понимаю вы меня не поняли или я как-то не правильно объяснил.
Надо чтобы каждый пользователь находящийся во внутренней сети имел постоянный доступ к внешней локальной сети, и при желании мог подключить СЕБЕ инет посредством например клиентской утилиты ЮГ и соответственно отключить если инет ему не нужен.
А вы как я понимаю предлагаете что-то совсем другое. Если я не правильно понял то поясните пожалуйста.

Цитата:

Цитата firediman Надо чтобы каждый пользователь находящийся во внутренней сети имел постоянный доступ к внешней локальной сети, и при желании мог подключить СЕБЕ инет »

Извините, но

"Батенька знает толк в извращениях...."©


Т.е. вы хотите дать пользователю право принимать решение о том нужен ли ему выход в Интернет на данный момент или нет? Как вы думаете пользователи не станут постоянно оставлять доступ "включённым" может тогда и задумываться о решении вопроса не стоит? Или может к этой системе нужна процедура авторизации? Возможно стоит поднять свой VPN сервер.

Поясните пожалуйста причины столь интересного выбора режима доступа.

Конечно. Безусловно. Естественно.
Не станут.
Стоит.
Конечно не будет лишней.
На сколько я понимаю одновременно с ЮГ это работать не сможет.
Так надо!

P.S. Этими как выражаетесь "извращениями" (предоставлением возможности подключить или отключить инет имея постоянный доступ к локалке) занимаются практически все провайдеры нашего города (собственно подобные системы как раз для того и разработаны), и мне так же это видится весьма нужным делом.

Обычно это делается так: сеть провайдера 10.0.0.0/8, адрес получают по DHCP и настройки DHCP представляют собой только адрес, маску подсети, и DNS-серверы. В таком случае компьютер имеет доступ в локальную сеть провайдера. Как только вы хотите выйти в интернет, вы запускаете VPN который поднимает соединение с сервером провайдера и прописывает основной шлюз. Теперь у вас есть и соединение с Интернетом.

Если перенести эту схему на ваш офис возникнет проблема. У вас есть две локальные сети. Вам нужно будет манипулировать маршрутами на клиентских компьютерах и на сервере, чтобы одновременно работать с обеими сетями и интернетом. Я представляю себе как это можно реализовать используя базовые функции ОС, а именно маршрутизацию. Как это сделать средствами UG я не представляю.

Tonny_Bennet,
С ЮГ ясно. А как же это сделать средствами винды2003? (рассматриваю сейчас возможности, Трафик Инспектора, а он использует как раз НАТ самой системы, ну и видимо серьезно вплетается в нее)

У вас есть сервер Win2003 c двумя сетевыми картами: одна смотрит в локальную сеть (192.168.0.0/24), вторая в сеть провайдера (10.0.0.0/8) поверх второго подключения создаётся подключение к интернету. На этом сервере сначала нужно настроить службу DHCP сервера. Клиентам нужно выдавать IP адрес, маску подсети, и маршрут в сеть 10.0.0.0/8. Шлюз не указывайте! Таким образом клиент сможет получать доступ в локальную сеть и в сеть провайдера. Затем вы настраиваете на сервере VPN сервер (в интернете куча мануалов). В качестве адресного пространства можете взять 192.168.1.0/24. Нужно будет настроить NAT из VPN сети в интернет. Теперь клиент имея доступ в локальные сети, запускает у себя подключение к VPN, вводит логин и пароль, подключается и у него появляется доступ в интернет.