Как настроить маршрутизацию, чтобы часть трафика использовала vpn соединение?

Question

[Евгений]

Добрый день!
Дано:
Офис с маршрутизатором TP-LINK TL-ER6120
Удалённый сервер Windows 2008 r2 c:

• База данных mysql
  
• Apache2
  

Сейчас настроено:
На TP-LINK включен PPTP сервер и удаленный сервер подключается к нему как клиент. Соответственно ресурсы удалённого сервера доступы в локальной сети офиса.

Необходимо:

• Подключение к базе данных было доступно из офиса только через VPN
  
• Аpache не должен использовать VPN и должен слушать 80 порт на внешнем ip-адресе сервера.
  

Т.е. как настроить маршрутизацию, чтобы часть ресурсов на сервере была доступна только через VPN, а часть была доступна по внешнему IP-адресу сервера?

Answer 1

[res2001]

При подключении ВПН сервер назначается маршрутизатором по умолчанию на клиенте. Надо это отменить.
В винде это делается снятием галки в свойствах подключения, зарыта эта настройка где-то глубоко, сейчас не могу написать точный путь туда.
Если клиенту после подключения к ВПН выдаются адреса из диапазона не входящего в сеть за ВПН сервером, то на клиенте в ручную надо прописать статический маршрут к этой сети через ВПН сервер:
route add ...

Comments

[Евгений]

Я знаю про эту галочку. Она находиться Свойства подключения -> Сеть -> Свойства IPv4 (v6)-> Дополнительно-> Использовать шлюз удалённой сети по умолчанию.

Если её снять, то перестают быть доступны ресурсы удалённого сервера из локальной сети(сети за впн сервером).
Если я пропишу route add(при снятой галочке), то это не будет равносильно тому, что я бы поставил эту галочку?

[res2001]

А вы не прописывайте маршрут по умолчанию (0.0.0.0) и будет все нормально.

[res2001]

Кстати, возможно на сервере есть соответствующая настройка - указать новый маршрут для клиента.
Я практически не пользуюсь PPTP (из-за безопасности), толком не знаю его возможностей, но в OpenVPN это есть - можно все настроить на стороне сервера, удобно когда клиентов куча.

[Евгений]

res2001: т.е. правильно-ли я понял последовательность действий:
1) Снимаем галочку
2) Прописываем маршрут route add mask 255.255.255.0

Выполнив данные действия мы получим:
Клиент после подключения к vpn ходит в интернет через свой локальный шлюз и доступен из интернета по его внешнему ip
ресурсы клиента доступны компьютерам находящимся в локальной сети за vpn сервером

[АртемЪ]

vakym: Не совсем так.

Клиент после подключения к vpn ходит в интернет через свой локальный шлюз и доступен из интернета по его внешнему ip

Да.

ресурсы клиента доступны компьютерам находящимся в локальной сети за vpn сервером

Нет не правильно. Правильно так - клиенту будут доступны ресурсы находящиеся за vpn сервером.

[Евгений]

АртемЪ: тогда получается необходимо на vpn сервере прописать маршрут. Но я никак не могу сообразить какой

[res2001]

ВПН сервер и так будет иметь доступ к клиенту, а вот чтоб доступ был в сети за сервером, то возможны варианты:
1.ВПН сервер является и шлюзом по умолчанию для хостов в сети, тогда доступ к ВПН клиенту будет автоматически.
2.ВПН сервер не является шлюзом по умолчанию для хостов в сети - нужно на всех хостах в сети, которым необходим доступ к ВПН клиенту прописать маршрут к нему через ВПН сервер.

[АртемЪ]

res2001: Насколько я понял ему нужно чтобы компьютеры находящиеся за VPN сервером получали доступ к ресурсам клиента.
Тут все зависит от того что это за клиенты, и что им нужно кроме этого.
Может достаточно прописать маршрут на VPN сервере, может придется и на компьютерах и на сервере.

[АртемЪ]

vakym: Нарисуйте подробную схему сети, тогда можно будет сказать точно.

[Евгений]

res2001: т.е. что-бы удаленный клиент был доступен из локально сети за vpn сервером ничего делать не нужно?
чтобы ресурсы удалённого клиента были доступны не только через vpn необходимо снять эту злополучную галочку и все? (при этом эти же ресурсы будут доступны клиентам локальной сети и по ip vpn и по обычному ip)

[Евгений]

АртемЪ: Сейчас нарисую подробно схему.

[res2001]

vakym: Тут ключевое слово - маршрутизация. Если каждый отдельно взятый компьютер знает правильный маршрут до цели, то он будет иметь доступ.
Вы же в своем вопросе никакой конкретики не приводите (сетевые настройки клиента, сервера, типовые для компов в сети за сервером).

Answer 2

[Евгений]

res2001: АртемЪ:

дабы не путаться:
сервер с vpn = маршрутизатор
удалённый сервер с ресурсами = клиент vpn

Как это должно работать:


Как это на данный момент:


Проблема в том, что если снять галку "Использовать шлюз удалённой сети по умолчанию.", то ресурсы клиента vpn перестают быть доступны в локально сети за vpn. Однако vpn подключение в состоянии "Подключено". Клиент vpn доступен по его реальному ip. С клиента можно получить доступ к ресурсам в локальной сети за впн.

Если оставить галку "Использовать шлюз удалённой сети по умолчанию.", то ресурсы клиента vpn доступны из локальной сети за vpn, однако достучаться до клиента vpn по его реальному ip нельзя, что вообщем-то логично.

На компьютера в локальной сети за впн есть приложение которое подключается к mysql базе которая находиться на клиенте vpn.

Comments

[res2001]

Похоже, что ВПН клиент получает адрес от DHCP сервера, который раздает адреса и в локалке. Поэтому у клиента, возможно, перезаписывается таблица маршрутизации не зависимо от наличия галки. Надо проверить.
Я смотрю, что у вас в ВПН и в локалке за сервером используются одни и те же адреса. Возможно проблема в этом. Если это возможно выделите для ВПН отдельную подсеть.
1.Снимаем галку.
2.На клиенте прописываем маршрут к сети за ВПН сервером (в команде route add надо указывать не фактический адрес ВПН сервера , а виртуальный ВПН адрес сервера).