Есть две удаленные локалки соединённые через KerioVPN. Надо запихнуть весь внешний трафик из одной подсети через VPN-тоннель в другую (где есно нэт безлимитный ;-) Возможно ли такое в принципе, если да, то возможно ли сделать это средствами только KWF или нужны сторонние тулзы? Я так понимаю, что для хоста на котором установлен KWF и подключен инэт это невозможно, т.к. ему нужны DNS-серверы провайдера что бы увидеть удаленный хост с KWF, а вот для остальных компов в локалке наверное можно. [Ответ]

Насколько понимаю нужна прога для создания VPN-тоннеля на основе IPSec под Windows, т.к. насколько мне известно KWF на IPSec тоннели пога не могёт. Не встречал никто такой, а то всё только Линух попадаются?

З.Ы. Апгрейд на Windows Server 2008 не предлагать. [Ответ]

CodeMaster, IPSec это не то. это шифрованные каналы связи поверх существующей сети. наиболее популярное примененеие - когда каходясь в общей сети хочешь защитить/выделить несколько компов из нее, не прибегая к подсетям [Ответ]

Сообщение от xirurg:
CodeMaster, IPSec это не то. это шифрованные каналы связи поверх существующей сети. наиболее популярное примененеие - когда каходясь в общей сети хочешь защитить/выделить несколько компов из нее, не прибегая к подсетям

Я в принципе знаю что это такое, просто при гуглении по строке "интернет трафик через VPN-тоннель" вываливались ссылки на аппаратные маршрутизаторы (в основном D-Link 804) которые могут такое между собой с VPN-тоннелем какраз на IPSec, а также на проги под Линухом которые также устанавливают VPN-тоннель с использованием IPSec. Также там говорится, что VPN-тоннель на IPSec устанавливается на сетевом уровне, что и позволяет такому тоннелю быть абсолютно прозрачным для приложений, что и позволяет пускать через него внешний трафик. [Ответ]

не совсем понимаю зачем такие сложности - впн сам по себе поддерживает шифрование, зачем шифровать его поверх еще IPSec мне не понятно..
по теме - не совсем въезжаю что вы хотите сделать.. сэкономить денег? - а между собой локалки соединены безлимитным каналом? [Ответ]

Сообщение от xirurg:
зачем шифровать его поверх еще IPSec мне не понятно..

Не нужно мне дополнительное шифрование - совсем.

Сообщение от xirurg:
по теме - не совсем въезжаю что вы хотите сделать.. сэкономить денег? -

Да, безлимитный канал на работе ночью простаивает ;-) Ну и так по мелочам есть ещё плюсы в удобстве от VPN-тоннеля на сетевом уровне.

Сообщение от xirurg:
а между собой локалки соединены безлимитным каналом?

Да, иначе чегоб я волну гнал. [Ответ]

Сообщение от CodeMaster:
Да, безлимитный канал на работе ночью простаивает ;-)

Не понятно. Каким образом можно сэкономить? Локалки связаны между собой через интернет или через безлимитную высокоскоростную линию? [Ответ]

Сообщение от pwei:
Не понятно. Каким образом можно сэкономить? Локалки связаны между собой через интернет или через безлимитную высокоскоростную линию?

Ну что непонятного? Через Интернет, в офисе безлимитка, дома лимитный, внутренний трафик бесплатный.

Апы конечно хорошо, но не в этом подфоруме, тут не так часто первая страница обновляется, так что ответы желательно по теме. [Ответ]

Сообщение от CodeMaster:
Ну что непонятного? Через Интернет, в офисе безлимитка, дома лимитный, внутренний трафик бесплатный.
Апы конечно хорошо, но не в этом подфоруме, тут не так часто первая страница обновляется, так что ответы желательно по теме.

По теме openvpn поможет.
Но только попробую внести ясность. Смотрим рисунок. Дома лимитный интернет, дома стоит vpn сервер. На работе безлимитный интернет, на работе стоит vpn сервер. VPN серверы связываются друг с другом через интернет. Если дома подсчитывается трафик при посещении одноклассники.ру , то трафик будет подсчитываться и при передачи данных от впн сервера, который находится на работе. Не смотря на то, что тянуть трафик вы будете, например с 192.168.1.1. Провайдеру все равно какой трафик вы гоняете, зашифрованный IPsec'ом или тянете что-то с торрентс.ру. Тоже самое в случае наличия дома безлимитного канала с низкой скоростью. Провайдер будет резать по тарифу трафик и с одноклассников, и трафик vpn'а.
Но только если от работы до дома проложена отдельная линия связи, скорость передачи по которой выше скорости интернета на работе... тогда и только тогда стоит что-то мутить.. и мутить тут нужно не впн..
Изображения
  [Ответ]

pwei, товарищ видимо находится в с работой на обслуживании у одного провайдера, и внутрисетевой трафик бесплатный, а наружу ходит за деньги, а хочет за счет офиса )
CodeMaster, подключаясь по впн вы по идее станивтесь частью офисной сетки, должны получать ее параметры в частности шлюз. Осталось прописать маршруты и настройки что бы ваш браузер лез куда нужно и как нужно. Т.е. ваш офис должен стать вашим ISP
Может проще, если адрес офиса известен, вы в одной сети, может быть стоит просто поднять там прокси и выходить через него? [Ответ]

Сообщение от ][irurg:
pwei, товарищ видимо находится в с работой на обслуживании у одного провайдера, и внутрисетевой трафик бесплатный, а наружу ходит за деньги, а хочет за счет офиса )

ох ептить.. стопудняк)) поражаюсь вашим навыкам телепатии)) респект.
CodeMaster, если на работе есть windows 2003, можно поднять на ней vpn pptp сервер (оснастка маршрутизация и удаленный доступ). Настройка предельно проста. [Ответ]

вот накрутили на ровном месте... КВФ - полноценный маршрутизатор, к чему все навороты, когда это все заложено дефолтно и рулится не чета винде?
Два КВФ, между ними ВПН-туннель. Считаем, что туннель установлен корректно, а это значит, что шлюз в домашнем квф для туннеля определен . Оптимистично предполагаем, что в офисе днс настроен корректно и виден из подсети впн-туннеля. Два нюанса: оба квф должны видеть друг друга в инете не по имени, а по адресу (что в квф предполагается изначально), и крайне желательно (но не обязательно), чтобы днс-сервер офиса обслуживал в том числе локалку домашнего впн впрямую и вобратную.
В настройках домашнего керио на данном туннеле (их может быть много разных) указываем днс-сервером локальные адреса офисного днс.
Этого можно и не делать, если офисный квф разрешает трансляцицю в инет всех сервисов (ДНС по крайней мере). В этом случае будут использованы автоматом адреса внешних днс из инетного интерфейса.
Правила керио не забываем настроить для работы туннеля и локалки из-под него, используя нат для нужных сервисов или эни-сервисов на наш туннель.
Первым - правило для кериоВПН, потом для локалки типа локаль-эни-эни-пермит-нат на туннель или на адрес офисного шлюза, если версия квф свежая. Это дома, в офисе устанавливаем правила доступа в инет как обычно для источника наш туннель.
Все. Если нужен прокси - указываем адрес офисного локального прокси в браузере. [Ответ]

а можно еще проще, если вопросы безопасности не угнетают. На рисунке совсем все понятно - это сторона домашнего квф.
Изображения
  [Ответ]

Сообщение от gene:
вот накрутили на ровном месте... КВФ - полноценный маршрутизатор, к чему все навороты, когда это все заложено дефолтно и рулится не чета винде?

Надеюсь, что это так, хотя с кандычка и не удалось ;-) попробуем разложить по полочкам

Сообщение от gene:
что шлюз в домашнем квф для туннеля определен.

Что есть шлюз, пользовательские маршруты? И что дам должно быть задано, офисная сеть?

Сообщение от gene:
Оптимистично предполагаем, что в офисе днс настроен корректно и виден из подсети впн-туннеля.

Машина с КВФ в офисе из дома пингуется.

Сообщение от gene:
и крайне желательно (но не обязательно), чтобы днс-сервер офиса обслуживал в том числе локалку домашнего впн впрямую и вобратную.

А как это настроить?

Сообщение от gene:
В настройках домашнего керио на данном туннеле (их может быть много разных) указываем днс-сервером локальные адреса офисного днс.

В свойствах туннеля нет настроек ДНС, они есть только в свойствах ВПН-сервера

Сообщение от gene:
Этого можно и не делать, если офисный квф разрешает трансляцицю в инет всех сервисов (ДНС по крайней мере).

Т.е. Туннель-Интернет-ДНС-Пермит или Файрвол-Интернет-ДНС-Пермит?

Сообщение от gene:
Правила керио не забываем настроить для работы туннеля и локалки из-под него, используя нат для нужных сервисов или эни-сервисов на наш туннель.

Это в офисе, разрешить из туннеля выход в нэт для нужных сервисов?

Сообщение от gene:
Первым - правило для кериоВПН,

Какое? Для связи серверов по 4090?

Сообщение от gene:
потом для локалки типа локаль-эни-эни-пермит-нат на туннель

Локаль-Туннель-Эни-Пермит-НАТ так что-ли или что значит "на туннель"?

Сообщение от gene:
или на адрес офисного шлюза, если версия квф свежая.

Локаль-IP офиса-Эни-Пермит-НАТ?

Сообщение от gene:
в офисе устанавливаем правила доступа в инет как обычно для источника наш туннель.

В правило Локаль-Интернет-Сервисы-Пермит-НАТ к Локали добавить Туннель? [Ответ]

Сообщение от gene:
а можно еще проще, если вопросы безопасности не угнетают.

Безопастность внутри сети или внешняя? [Ответ]

Ты попытайся сделать то, что было сказано мной в двух постах,,,,,,,,, [Ответ]

Перечитал все - и удалил последние свои посты
Там я ругал автора топика. [Ответ]

CodeMaster Ты ведь ни хера не делал..... [Ответ]

Отвечу так же попорядку (раз ты убрал своё требование с необходимостью разъяснить тебе смысл жизни)

Сообщение от gene:
Ты попытайся сделать то, что было сказано мной в двух постах,,,,,,,,,

Будем считать большинство вопросов просто комментариями, но вот на который я ответа не нашёл, поясни.

Сообщение от gene:
В настройках домашнего керио на данном туннеле (их может быть много разных) указываем днс-сервером локальные адреса офисного днс.

В свойствах туннеля нет настроек ДНС, они есть только в свойствах ВПН-сервера [Ответ]

Сообщение от gene:
Перечитал все - и удалил последние свои посты
Там я ругал автора топика.

Но у меня-то они остались ;-) Считаю есть что обсудить, мяч-то типа на моей стороне.

Сообщение от gene:
автор, я прочитал все твои комменты.
Я прекрасно представляю тему, суть проблемы и ответ на каждый твой вопрос.

Если ты заметил, я никогда не подвергал сомнению твою квалификацию (просто потому что не было повода) Все найденные на этом форуме твои посты (и в моих темах тоже (за исключением поста №12) это фекальные отложения. Ты как человек здравомыслящий я надеюсь этого отрицать не будешь (ибо тогда диагноз совсем другой :-) Другой вопрос почему ты это делаешь, но не в рамках этого форума.

Сообщение от gene:
Я очень давно тебя знаю по-типо лично..

Типо я за тебя рад, хотя не помню среди своих знакомых столь неуравновешеных (хотя если это просто твоя интернет-личина, то не удивительно)

Сообщение от gene:
Ну, а ответь мне на один совсем простой вопрос: а на хера мне надо учить кого-то ликбезу ?

Ответ в виде вопроса правда крайне прост: а нахрена ты заходишь на этот форум? Задумайся, я надеюсь ты найдёшь ответ, ведь это твоё решение.

Сообщение от gene:
Ответишь вразумительно - помогу. Нет - нет.

Хочу заметить что помощи я просил не у тебя лично, если есть вероятность что на этом форуме нет знающих ответы на эти вопросы, это совсем не повод для мании величия. Если это для тебя так трудно, ещё раз подумай: зачем ты заходишь на этот форум?

Сообщение от gene:
П.С. Вопрос про безопасность поверг в ужас - а что оно есть, ты фильтруешь?!

Ответ тоже, можно на русском. [Ответ]

Сообщение от gene:
CodeMaster Ты ведь ни хера не делал.....

Знакомых телепатов тоже не припомню. [Ответ]

Сообщение от gene:
Ты попытайся сделать то, что было сказано мной в двух постах,,,,,,,,,

Закончив со всем личным :-) Хочу сказать, что твои ответы всё-таки помогли, и то что пока это всё не заработало - это частности, направление я понял, остались ньюансы, и даже если ты не затруднишь себя дальнейшими ответами, всё равно пасиб, я думаю дальше я полюбому добью вопрос сам ;-) [Ответ]