Особенности маршрутизации и организации доступа
Last updated
Was this helpful?
Last updated
Was this helpful?
В статье рассматриваются потенциальные проблемы, связанные с доступом к ресурсам локальной сети через VPN, и предлагаются решения, такие как настройка маршрутов, исключение определенных сетей в антивирусном ПО и создание правил SNAT на NGFW.
Для организации доступа выполните действия:
1. На вкладке Сеть -> IP версии 4 -> Дополнительно -> Параметры IP уберите флаг Использовать основной шлюз в удаленной сети:
2. Пропишите маршрут до корпоративной сети. В Windows 8, 8.1, 10 автоматически создается маршрут на основе класса, в зависимости от адреса, полученного по VPN. Для IPsec-IKEv2 можно настроить автоматическое получение маршрута.
Пример маршрута: если корпоративная сеть имеет адрес 172.16.0.0/16, а сеть для VPN-подключений, настроенная на Ideco NGFW, имеет адрес 10.128.0.0/16:
Маршрут может не работать, когда есть пинг до интерфейса 10.128.0.1, но нет пинга до хостов в локальной сети. В этом случае при создании маршрута нужно указать номер интерфейса VPN-подключения:
nn - номер интерфейса VPN-подключения, посмотреть который можно при активном VPN-подключении в выводе в консоли команды route print раздел "Список интерфейсов".
Для получения доступа к компьютерам в локальной сети Ideco NGFW убедитесь, что:
1. Локальная сеть (или адрес на сетевой карте) на удаленной машине не пересекается с локальной сетью организации. В противном случае доступ к сети организации будет невозможен (трафик будет идти через физический интерфейс, а не через VPN);
2. На компьютерах локальной сети основным шлюзом должен быть Ideco NGFW. Если это не так, то вручную необходимо прописать соответствующий маршрут, чтобы сетевые пакеты шли на Ideco NGFW для VPN-сети. Например:
10.128.0.0/16 - адрес VPN-сети Ideco NGFW (настраивается в разделе Пользователи -> VPN-подключения);
10.1.1.1 - IP-адрес локального интерфейса Ideco NGFW.
3. На Ideco NGFW в разделе Файрвол -> FORWARD нет запрещающих правил;
4. Компьютеры и серверы на Windows не ограничивают доступ к сетевым папкам с помощью правил настроек профилей сети (как на стороне подключающегося по VPN компьютера, так и на стороне компьютеров и серверов локальной сети):
Для получения доступа выполните действия:
1. Перейдите в PowerShell (запустите его с повышением прав до администратора).
2. Выполните команду: Enable-NetFirewallRule -Group "@FirewallAPI.dll,-28502".
Возможные проблемы:
Брандмауэр Защитника Windows может блокировать доступ определенных программ или сервисов (включая RDP) до внешних сетей.
Проверьте это в настройках входящих и исходящих подключений (необходимо разрешить доступ из частных и локальных сетей):
Антивирусное ПО на компьютере может блокировать доступ из нелокальных сетей. Либо блокировать доступ конкретных программ.
Например, для Kaspersky Endpoint Security нужно добавить сеть для VPN-подключений (по умолчанию 10.128.0.0/16) в исключения:
Чтобы обеспечить доступ, убедитесь, что VPN-сети обоих NGFW не пересекаются. Затем проверьте настройки основного NGFW, следуя инструкциям, описанным в статье.
Чтобы обеспечить доступ, нужно настроить на роутере маршрут от нужной локальной сети до VPN-сети. Для настройки маршрута на роутере укажите в качестве назначения VPN-сеть (10.128.0.0/16), в качестве шлюза - NGFW (172.16.0.1).
Если настроить на роутере маршрут невозможно, можно создать на NGFW SNAT-правило:
1. Перейдите в раздел Правила трафика -> Файрвол -> SNAT и нажмите Добавить.
2. Укажите следующие параметры:
Источник - VPN-сеть (10.128.0.0/16);
Назначение - сеть за роутером, к которой требуется получить доступ из VPN-сети (192.168.0.0/24).
3. Нажмите Добавить.
В этом случае при отправке пакетов на роутер NGFW подменит IP-адрес источника своим. За счет этого роутер направит ответ от хоста в локальной сети на NGFW, который затем перенаправит его в VPN-сеть.
У хостов из локальной сети 192.168.0.0/24 не будет доступа к VPN-сети 10.128.0.0/16.
