Задать вопрос
@vkpavel
windows

Как заблокировать интернет без VPN?

Есть Windows 7 с VPN.
Требуется сделать чтобы интернет на машине не работал без VPN
  • Вопрос задан
  • 9012 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
Вы требуете невозможного. Часть этого интернета точно будет работать. Хотя бы для доступа к VPN-серверу.

А так два варианта:
1) убрать маршрут по умолчанию, оставить только маршрут до VPN-сервера. Я так понимаю, при подключении к VPN вам отдается default route.
2) В файерволе запретить все исходящие пакеты (да и входящие) с участием основного соединения, кроме пакетов до VPN-сервера
Ответ написан
2 комментария
2 комментария
edinorog
@edinorog Куратор тега Windows
Троллей не кормить!
pppoe и отсутствие dhcp в сети. и будет вам щастье
Ответ написан
Комментировать
Комментировать
LanKing
@LanKing
LanKing
Вопрос решаемый, для себя я решил его средствами Windows 7, а именно -- разделением на общественные сети и рабочая\домашняя. Сам прогемороился с этим вопросом, поэтому вас понимаю :-) Надеюсь, решение окажется полезным кому-то, кроме меня.

Все действия делаем через брандмауэр (Пуск->Администрирование->Брандмауэр)

1. Умолчания для профилей:
Нам необходимо сделать чтобы интернет был доступен только из частного профиля (частными являются профили "Домашний" и "Рабочий"), а из общественных нам нужна только возможность подключиться к VPN + основы локальных сетей.

Итак, настройки (Действие->Свойства)

Общий профиль:
  • Состояние: Включить
  • Входящие: Блокировать (по умолчанию)
  • Исходящие: Блокировать
  • Защищённые подключения -> Настроить -> Выбрать все
Частный профиль:
  • Состояние: Включить
  • Входящие: Разрешить
  • Исходящие: Разрешить (по умолчанию)
  • Защищённые подключения -> Настроить -> Выбрать все


2. Настраиваем правила для исходящих подключений, все для общего профиля:
Я для себя настраивал правила для доступа по протоколам PPTP, L2TP + IPSEC, OpenVPN, если вам не нужно такое универсальное решение -- можете не использовать порты и правила, которые вам не нужны.

VPN Allow TCP:
  • Разрешить подключение
  • Область > Удалённый IP адрес > IP_вашего_VPN
  • Протоколы и порты:
    • Тип протокола: TCP
    • Удалённый порт > Специальные порты: 1723, 53, 443

VPN Allow UDP:
  • Разрешить подключение
  • Область > Удалённый IP адрес > IP_вашего_VPN
  • Протоколы и порты:
    • Тип протокола: UDP
    • Удалённый порт > Специальные порты: 500, 4500, 1701, 53

VPN Allow GRE:
  • Разрешить подключение
  • Область > Удалённый IP адрес > IP_вашего_VPN
  • Протоколы и порты > Тип протокола: GRE
VPN Allow Local Network: (для того, чтобы локальная сеть была доступна до подключения к VPN)
  • Разрешить подключение
  • Область > Удалённый IP адрес: Локальная подсеть
  • Протоколы и порты -> Тип протокола: Любой
VPN Allow IGMP: (правило позволяет проверять доступность серверов VPN а также наличие интернета, правило сугубо для команды ping, для отладки)
  • Разрешить подключение
  • Область > Удалённый IP адрес > IP_вашего_VPN + 8.8.8.8 + ip_основной_страницы_вашего_провайдера
(позволяет с помощью команды ping проверить наличие доступа до вашего провайдера, доступа до сервера 8.8.8.8 гугла (по сути, доступа в интернет) и наличия сервера VPN в сети, который бывает, падает)
Протоколы и порты > Тип протокола: IGMPv4
VPN Allow VPNSITE via HTTP: (правило позволяет обеспечить веб доступ на страницу вашего впн провайдера или биллинга. Да, не совсем секьюрно, но иногда полезно.)
  • Разрешить подключение
  • Область > Удалённый IP адрес > IP_сайта_вашего_VPN
  • Протоколы и порты:
    • Тип протокола: TCP
    • Удалённый порт > Специальные порты: 80, 443

Ещё несколько правил, которые я использую для HTTP авторизации WIFI в разных местах:

VPN Allow adtena.com (routers agreements): (во многих отелях Европы авторизация реализована через сервис adtena.com)
  • Разрешить подключение
  • Область > Удалённый IP адрес > 65.52.149.136
  • Протоколы и порты:
    • Тип протокола: TCP
    • Удалённый порт > Специальные порты: 80, 443

VPN Allow lifecell server: (использую мобильный интернет от lifecell, иногда переадресовывает на страницу с сообщением о недостатке средств на счёте)
  • Разрешить подключение
  • Область > Удалённый IP адрес > 212.58.160.100
  • Протоколы и порты:
    • Тип протокола: TCP
    • Удалённый порт > Специальные порты: 80, 443

VPN Allow Silpo Auth: (в супермаркетах Сильпо, Украина используется система авторизации)
  • Разрешить подключение
  • Область > Удалённый IP адрес > 193.19.84.37 + 78.154.160.82
  • Протоколы и порты:
    • Тип протокола: TCP
    • Удалённый порт > Специальные порты: 80, 443



3. Необходимо просмотреть правила для общего профиля в входящих и исходящих. Отсортируйте по колонке "Профиль" и просмотрите, чтобы не было доступа для программ через общийпрофиль, если есть - отключите правила.

4. Что делать, если после подключения к VPN невозможно выбрать профиль как частный, а сеть определяется как неизвестная сеть: Причина в том, что впн не отдаёт вам default gateway, который необходим windows для возможности выбора типа профиля. Решается добавлением строк в серверный конфиг VPN. Подробнее тут.

Удачи!
- LanKing
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный / сетевой администратор (Linux/Windows, облачный провайдер)
Cloud4Y Москва
от 200 000 до 300 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Системный администратор AD
Мечел-ИнфоТех Москва
от 140 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Подключить iiko к сайту на ModX
16 нояб. 2024, в 07:46
12000 руб./за проект
Ограничение типа "Использование SEO-текстов"
16 нояб. 2024, в 07:06
7000 руб./за проект
Разработать веб-клиент c функционалом мессенджера
16 нояб. 2024, в 06:17
100000 руб./за проект
Ещё заказы