mureevms,
>Давайте начнем с того, есть ли рут/админ права на этих ноутах?
Нету
>В интернет ходить совсем нельзя? А как гуглить, обновления ставить, плагины там к IDE да и куча всего. Сейчас >невозможно в этой среде работать без интернета.
Только до VPN сервера.
>2. Когда ноут в офисе, просто не маршрутизируйте эту подсеть в интернет
>3. Когда ноут вне офиса надо включить ВПН, чтобы попасть в офисную сеть?
В самом офисе, кроме WiFi роутера ничего нет, вся инфраструктура грубо говоря в облаках и подключение к ней возможно через VPN.
Обновления и тд можно ставить через кэширующий сервер внутри VPN (для Windows есть chocolatey, который позволяет использовать свои собственные сервера, а не публичные, соответственно установка софта будет с них). С linux еще проще.
>4. Как это сделать, если инета нет?
"Нету ножек - нет и мультиков"(c)
Нет инета - нет работы)
>5. Или для чего вообще нужен ВПН?
Для объединения всех устройств, раскиданных по разным локациям, в локальную сеть.
mureevms,
>Но мне все же не понятно, при чем тут блокировка сайтов. В
Требования заказчика, что машины для разработки не должны ходить в интернет.
>Вероятно, более понятно будет после описания что есть, >что хочется, что сделано и что идет не так.
Так всё прекрасно можно настроить, если рабочие машины на базе линукс. Как раз iptables это позволяет. Но некоторые проекты требуют использование excel (и именно excel, так как есть клиентский код на VBA, который только в excel и работает), как итог проверяю есть ли возможность использовать Windows в качестве операционки.
> Т.е. решать надо на стороне сервера или шлюза, если такое возможно, а не на сторое клиента
С радостью, но настраивается это всё дело на ноутбуках, которые выносятся за пределы офиса, поэтому вариант с настройкой шлюза невозможен.
mureevms,
> Если при подключении OpenVPN переписывается основной шлюз, то весь трафик пойдет в него
Не весь трафик идет через OpenVPN, также подключение к OpenVPN можно отключить и
плюс пользователь может изменить OVPN файл, добавив route-nopull.
>блокировка трафика по интерфейсу ни к чему не приведет, поскольку он идет в туннель.
в iptables грубо говоря можно сделать такие правила
-A OUTPUT -o eth0 -j DROP
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -o eth0 -d OPENVPN_HOST --dport 1194 -j ACCEPT
что позволит заблокировать весь трафик в обход VPN.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Да, спасибо.
В принципе этот вариант подойдет.