Инфраструктура интрасети
Маршрутизация VPN-клиентов и одновременный доступ к интрасети и Интернету
По умолчанию, когда VPN-клиент Windows создает VPN-подключение, он автоматически добавляет новый маршрут по умолчанию для VPN-подключения и изменяет существующий маршрут по умолчанию увеличивая метрику. Добавление нового маршрута по умолчанию означает, что ресурсы сети Интернет (за исключением IP-адреса сервера туннеля и ресурсов, связанные с другими маршрутами) будут недоступны на протяжении VPN-подключения.
Для предотвращения создания маршрута по умолчанию откройте свойства Протокола Интернета (TCP/IP) (Internet Protocol (TCP/IP)) в свойствах VPN-подключения. Нажмите кнопку Дополнительно (Advanced). В диалоговом окне Дополнительные параметры TCP /IP (Advanced TCP/IP Settings)перейдите на вкладку Общие (General) и затем снимите флажок Использовать основной шлюз в удаленной сети(Use default gateway on remote network). Когда этот флажок снят, маршрут по умолчанию не создается, однако, создаются соответствующие маршруту адреса Интернета класса присвоенных IP-адресов. Например, если во время процесса подключения присвоен адрес 10.0.12.119, то VPN-клиенты Windows 2000 и Windows XP создают маршрут для сети класса 10.0.0.0 с маской подсети 255.0.0.0.
Настройки, параметра Использовать основной шлюз в удаленной сети при активации VPN-подключения имеют одно из следующих следствий:
- Ресурсы Интернета доступны, а ресурсы интрасети недоступны за исключением адресов, соответствующих классу присвоенных IP адресов (флажок Использовать основной шлюз в удаленной сети снят).
- Все ресурсы интрасети доступны, а ресурсы Интернета недоступны, за исключением адреса VPN-сервера и ресурсов, доступных через другие маршруты (флажок Использовать основной шлюз в удаленной сети установлен).
Для большинства VPN-клиентов, подключенных через Интернет, эта особенность не представляет проблемы, так как они обычно используют либо подключение к интрасети, либо к Интернету, но не то и другое одновременно.
Для VPN-клиентов, которым необходимы одновременный доступ к интрасети и ресурсам Интернета во время активного VPN-подключения, Вы можете использовать один из следующих способов:
- Отметьте флажок Использовать основной шлюз в удаленной сети (установлен по умолчанию) и разрешите доступ в Интернет через интрасеть организации. Интернет трафик между VPN-клиентом и узлами Интернета будет проходить через брандмауэры или прокси-серверы так, как если бы VPN-клиент был физически подключен к интрасети организации. Хотя данный метод влияет на производительность, такой способ позволяет фильтровать и отслеживать доступ к Интернету в соответствии с сетевыми политиками организации, пока VPN-клиент подключен к корпоративной сети.
- Если присвоение адресов в Вашей интрасети основано на единственном сетевом идентификаторе, снимите флажок Использовать основной шлюз в удаленной сети. Наилучшим примером может являться использование для вашей сети частного диапазона IP-адресов 10.0.0.0/8.
- Если Ваша интрасеть использует адресацию разных классов, снимите флажок Использовать основной шлюз в удаленной сети. В этом случае запустите на VPN-клиенте командный файл (.CMD) с командами маршрутизации для добавления статических маршрутов класса адресов Вашей интрасети с использованием присвоенных IP-адресов в качестве шлюза после создания соединения.
Вы можете узнать присвоенный IP-адрес при помощи команды ipconfig, или дважды щелкнув на активном VPN-подключении в папке Сеть и удаленный доступ к сети (Dial-up and Network Connections). В появившемся диалоговом окне Состояние (Status)перейдите на вкладку Поддержка (Details). IP-адрес, присвоенный VPN-клиенту, указан в строке IP-адрес клиента (Client IP address).
Вопросы проектирования: инфраструктура маршрутизации
Для настройки инфраструктуры маршрутизации VPN-подключений удаленного доступа обратите внимание на следующие моменты:
- Настройте интерфейс Интернета VPN-сервера, указав для него основной шлюз и затем вручную настройте внутренний интерфейс, не указывая для него основной шлюз.
- Добавьте статические IP-маршруты к VPN-серверу, объединяющие адреса, используемые в Вашей интрасети. В противном и затем вручную настройте внутренний интерфейс, не указывая для него основной шлюз. В том случае, если Вы используете протоколы RIP или OSPF в качестве протоколов динамической маршрутизации, включите и настройте данные протоколы на VPN-сервере. Если Вы используете протокол маршрутизации, отличный от RIP или OSPF, такой как IGRP (Interior Gateway Routing Protocol), Вы можете настроить соседние маршрутизаторы интрасети VPN-сервера для использования RIP или OSPF на интерфейсе сегмента, к которой подключен VPN-сервер, а IGRP на всех других интерфейсах.
- Не устанавливайте дополнительные службы на VPN-сервер, с которым собираетесь работать через Интернет. Трафик этих служб пересылается через Интернет в незашифрованном виде и отклоняется VPN-сервером фильтрами пакетов VPN, настроенных на VPN-сервере. Вместо этого установите службы, к которым Вы хотите иметь доступ, на другой компьютер, доступный с VPN-сервера.
- Настройте VPN-сервер для использования диапазона адресов принадлежащих подсети, используя динамическое назначение IP-адресов при помощи DHCP или вручную, настроив пулы адресов, принадлежащих подсети.