Вопрос решаемый, для себя я решил его средствами Windows 7, а именно -- разделением на общественные сети и рабочая\домашняя. Сам прогемороился с этим вопросом, поэтому вас понимаю :-) Надеюсь, решение окажется полезным кому-то, кроме меня.
Все действия делаем через брандмауэр
(Пуск->Администрирование->Брандмауэр)
1. Умолчания для профилей:
Нам необходимо сделать чтобы интернет был доступен только из частного профиля (частными являются профили "Домашний" и "Рабочий"), а из общественных нам нужна только возможность подключиться к VPN + основы локальных сетей.
Итак, настройки
(Действие->Свойства)Общий профиль: - Состояние: Включить
- Входящие: Блокировать (по умолчанию)
- Исходящие: Блокировать
- Защищённые подключения -> Настроить -> Выбрать все
Частный профиль:- Состояние: Включить
- Входящие: Разрешить
- Исходящие: Разрешить (по умолчанию)
- Защищённые подключения -> Настроить -> Выбрать все
2. Настраиваем правила для
исходящих подключений, все для
общего профиля:
Я для себя настраивал правила для доступа по протоколам PPTP, L2TP + IPSEC, OpenVPN, если вам не нужно такое универсальное решение -- можете не использовать порты и правила, которые вам не нужны.VPN Allow TCP: - Разрешить подключение
- Область > Удалённый IP адрес > IP_вашего_VPN
- Протоколы и порты:
- Тип протокола: TCP
- Удалённый порт > Специальные порты: 1723, 53, 443
VPN Allow UDP: - Разрешить подключение
- Область > Удалённый IP адрес > IP_вашего_VPN
- Протоколы и порты:
- Тип протокола: UDP
- Удалённый порт > Специальные порты: 500, 4500, 1701, 53
VPN Allow GRE: - Разрешить подключение
- Область > Удалённый IP адрес > IP_вашего_VPN
- Протоколы и порты > Тип протокола: GRE
VPN Allow Local Network: (для того, чтобы локальная сеть была доступна до подключения к VPN) - Разрешить подключение
- Область > Удалённый IP адрес: Локальная подсеть
- Протоколы и порты -> Тип протокола: Любой
VPN Allow IGMP: (правило позволяет проверять доступность серверов VPN а также наличие интернета, правило сугубо для команды ping, для отладки) - Разрешить подключение
- Область > Удалённый IP адрес > IP_вашего_VPN + 8.8.8.8 + ip_основной_страницы_вашего_провайдера
(позволяет с помощью команды ping проверить наличие доступа до вашего провайдера, доступа до сервера 8.8.8.8 гугла (по сути, доступа в интернет) и наличия сервера VPN в сети, который бывает, падает)
Протоколы и порты > Тип протокола: IGMPv4
VPN Allow VPNSITE via HTTP: (правило позволяет обеспечить веб доступ на страницу вашего впн провайдера или биллинга. Да, не совсем секьюрно, но иногда полезно.) - Разрешить подключение
- Область > Удалённый IP адрес > IP_сайта_вашего_VPN
- Протоколы и порты:
- Тип протокола: TCP
- Удалённый порт > Специальные порты: 80, 443
Ещё несколько правил, которые я использую для HTTP авторизации WIFI в разных местах:VPN Allow adtena.com (routers agreements): (во многих отелях Европы авторизация реализована через сервис adtena.com) - Разрешить подключение
- Область > Удалённый IP адрес > 65.52.149.136
- Протоколы и порты:
- Тип протокола: TCP
- Удалённый порт > Специальные порты: 80, 443
VPN Allow lifecell server: (использую мобильный интернет от lifecell, иногда переадресовывает на страницу с сообщением о недостатке средств на счёте) - Разрешить подключение
- Область > Удалённый IP адрес > 212.58.160.100
- Протоколы и порты:
- Тип протокола: TCP
- Удалённый порт > Специальные порты: 80, 443
VPN Allow Silpo Auth: (в супермаркетах Сильпо, Украина используется система авторизации) - Разрешить подключение
- Область > Удалённый IP адрес > 193.19.84.37 + 78.154.160.82
- Протоколы и порты:
- Тип протокола: TCP
- Удалённый порт > Специальные порты: 80, 443
3. Необходимо просмотреть правила для общего профиля в входящих и исходящих. Отсортируйте по колонке "Профиль" и просмотрите, чтобы не было доступа для программ через общийпрофиль, если есть - отключите правила.
4. Что делать, если после подключения к VPN невозможно выбрать профиль как частный, а сеть определяется как неизвестная сеть: Причина в том, что впн не отдаёт вам default gateway, который необходим windows для возможности выбора типа профиля. Решается добавлением строк в серверный конфиг VPN.
Подробнее тут.
Удачи!
- LanKing
