vpn میکروتیک و اتصال به اینترنت
سلام دوستان.در میکروتیک vpn pptp راه اندازی کردم منتها وقتی کلاینت ها از بیرون vpn میزنن یک default route بهشون اضافه میشه که باعث میشه از اینترنت مجموعه بتونن استفاده کنند برای جلوگیری از این قضیه اومدم توی میکروتیک یک rule نوشتم و دسترسی شون به اینترنت رو بستم منتها با این کار دیگه از اینترنت خودشون هم نمیتونن استفاده کنند....
راهکار چیه و به نظرتون چیکار باید انجام بدم؟
8 پاسخ
ممنون بابت پاسختون
ولی خود میکروتیک راهکاری بابت این قضیه نداره ؟ بدین صورت امکان پذیر نیست چون کلاینت ها قرار از بیرون وی پی ان بزنند و متصل بشن به شبکه داخلی شرکت و امکان اینکه هر دفعه تو سیستمشون روت بنویسیم نداریم
ببنید کانکشن vpn توی ویندوز زمانیکه کانکت میشه یه دیفاالت روت ایجاد میکنه مگه اینکه بری توی قسمت proporties
advanced و اونجا تیک add default .... رو غیرفعال کنی توی سیتتم کلاینت ولی در این صورت دیگه شبکه شما رو نمی بینه چون همه چیز رو پاس میده به اینترنت. پس کاربراتون باید قید اینترنتو بزنن یا شما یه اسکریپ بنویسی بدی بهشون که روت رو اسکریپت اضافه کنه البته منظور از روت روتهای شبکه خودتونه ضمن اینکه گزینه ای که گفتم رو هم باید غیر فعال کنید. یا کاربر روتها رو بصورت دائمی توی سیستمش اضافه کنه و نیازی به اجرای هر بار اسکریپت نباشه.
دوست عزیز برای حل این مشکل شما باید روی سیستم خودتون به صورت دستی route بنویسید ..
یک route بنویسید برای زمانی که درخواستی دارید به سمت اینترنت که به صورت زیر میشه :
route add 0.0.0.0 mask 0.0.0.0 GATEWAY if INTERFACE
که باید به جای GATEWAY باید IP مودم gateway خودتون رو بدید و در interface هم ip سیستم خودتون .
یک route دیگه هم باید تعریف کنید برای اتصال به شبکه vpn
route add NETWORK_IP mask NETWORK_SUBNET GATEWAY if PPTP_IP
NETWORK_IP در اینجا باید رنج IP شبکه ای که بهش متصل شدید رو بنویسید مثلا 192.168.1.0
NETWORK_SUBNET در اینجا subnet شبکه ای که بهش متصل شدید رو بنویسید
GATEWAY در اینجا هم ای پی VPN که بهش متصل شدید رو بنویسید
PPTP_IP ای پی که از شبکه VPN گرفتید رو بنویسید
امیدوارم خوب توضیح داده باشم و مشکلتون حل بشه ...
ممنون دوستان
مهندس یحیی پور کارهایی که شما فرمودید رو انجام داده بودم . vpn client ها رنج جدا میگیرن و اگه default route نگیرند کلا به شبکه داخلی روت نخواهند داشت . فکر کنم تنها راهی که میمونه اینه که علاوه بر برداشتن تیک use default gateway در سمت کلاینت ها باید روت دستی هم براشون ست کرد که البته این روش کمی سخت هست
دوست عزیز تا اون جایی که بنده اطلاع دارم خیر ...
چون این اتفاق داره روی سیستم کلاینت میوفته و سیستم کلاینت هست که باید تشخیص بده از چه مسیری باید درخواستش رو بفرسته ..
بله دقیقا همینطوره
سلام
اگرامکانش هست این مورد رو به صورت آموزش تصویری در سایت قرار بدید.
ممنون
ضمن تایید راهکارهای دوستان
اگه صرفا نمی خواهید کسانی که با VPN متصل شدن از اینترنت سازمان یا شرکت استفاده کنند می تونید تو فایروال به رنج IP شون، واسه استفاده از منابع داخلی اجازه بدید و به غیر اون drop کنید
یعنی مبدا اگه net id شبکه VPN باشه و مقصد net id شبکه داخلی باشه اجازه داره در غیر اینصورت drop
در این صورت کاربر فقط میتونه از منابع داخلی استفاده کنه واسه استفاده از اینترنت باید دیسکانکت بشه از VPN
و اینکه حتما واسه دسترسی به اینترنت NAT ای به شکل masquerade تو فایروال نوشته شده
اونجا source address رو آدرس شبکه داخلی وارد کنید که دیگه واسه آدرس شبکه کلاینت های VPN عمل NAT انجام نده
و اینکه تو کلاینت قابلیت استفاده از دو تا default route همزمان وجود نداره و تنها از یکی از default route ها میتونه تو یه لحظه استفاده کنه که اولویت معمولا با اینترفیسی هست که اخیرا ساخته شده
وقتی کلاینتی به VPN متصل میشه اینترفیس جدیدی ساخته میشه با default gateway جدید و بنا به تعریف و مفهوم دیفالت روت که میگه:آدرس مقصد بسته ها هر چیزی به غیر از مقصدهایی که میشناسیم و واسش روت داریم بود، بفرست به default gateway
نتیجه می گیریم راهی جز نوشتن روت دستی در کلاینت نیست
همچنین اگه منابعی که می خواهید در هنگام اتصال VPN ازشون استفاده کنید در یک رنج IP با VPN Client ها باشن می تونید با غیر فعالسازی قابلیت Add Default Route که دوستمون در بالا توضیح دادن به کلاینت ها این قابلیت رو بدید که واسه دسترسی به اینترنت همچنان از اینترنت خودشون استفاده کنند