Как включить внутренние ресурсы только через VPN?

RHAmzin

Уважаемые!

Как создать маршрутизацию для клиентов сети, чтобы внутренние ресурсы были доступны только после поднятия VPN подключения?
Очень важно, чтобы трафик не ходил через NAS VPN и скорость скачивания не зависила от тарифного плана клиента!

Например, клиент с подсети 10.230.0.0/16 подключается к NAS VPN (10.230.0.1). NAS авторизует и выдает VPN IP 172.20.0.1 с шлюзом на NAS 172.30.0.1.

Внутренние ресурсы, такие как: чат комфорт, торрент, файлообменники, сайты, webtv.

Такая схема работает, но создает огромную нагрузка на NAS.
Какие еще схемы есть? ПОДЕЛИТЕСЬ ОПЫТОМ!

xxxupg · Сообщение **xxxupg** » Чт июн 24, 2010 08:36

все ресурсы должны находится за натом, и на нате собственно должны быть прописаны маршруты на них.

RHAmzin

xxxupg писал(а):все ресурсы должны находится за натом, и на нате собственно должны быть прописаны маршруты на них.

Можете хотя бы хоть какую-нибудь схемку приложить? Все перепробовали... идеи кончались! Помогите!

xxxupg · Сообщение **xxxupg** » Чт июн 24, 2010 12:48

всё ЗА PPTP сервером, и соответственно правила что только подсети 10.230.0.0/16 можно видеть 172.10.10.0/24

чтобы быть более точным нужно знать что у вас выполняет роль PPTP

Chrst · Сообщение **Chrst** » Чт июн 24, 2010 12:49

RHAmzin писал(а):
xxxupg писал(а):все ресурсы должны находится за натом, и на нате собственно должны быть прописаны маршруты на них.
Можете хотя бы хоть какую-нибудь схемку приложить? Все перепробовали... идеи кончались! Помогите!

Вообще у Вас схемка с вывертом. PPTP сервер можно было оставить в стороне, а в интернет подключить центральный роутер.

По поводу доступа к сервисам. А если навесить ACL на интерфейс центрального маршрутизатора типа

Код: Выделить всё

 permit ip 172.20.0.0 0.0.255.255 any
 deny   any any

Вешать на интерфейсы в которых сидят сервисы.

RHAmzin

xxxupg писал(а):

всё ЗА PPTP сервером, и соответственно правила что только подсети 10.230.0.0/16 можно видеть 172.10.10.0/24

чтобы быть более точным нужно знать что у вас выполняет роль PPTP

При такой схеме нагрузка на NAS возрастет. Скорость скачивания будет зависеть от тарифа. Мы такую схему сделали! Другие варианты есть? Типа VLAN?

RHAmzin

Chrst писал(а):
RHAmzin писал(а):
xxxupg писал(а):все ресурсы должны находится за натом, и на нате собственно должны быть прописаны маршруты на них.
Можете хотя бы хоть какую-нибудь схемку приложить? Все перепробовали... идеи кончались! Помогите!
Вообще у Вас схемка с вывертом. PPTP сервер можно было оставить в стороне, а в интернет подключить центральный роутер.

По поводу доступа к сервисам. А если навесить ACL на интерфейс центрального маршрутизатора типа
Код: Выделить всё
 permit ip 172.20.0.0 0.0.255.255 any
 deny   any any
Вешать на интерфейсы в которых сидят сервисы.

В таком случае, ушлые клиенты просто прописывают на своем сет. подключении сеть локальных ресурсов и все будет у них работать (бесплатно)!

Chrst · Сообщение **Chrst** » Чт июн 24, 2010 23:43

RHAmzin писал(а):В таком случае, ушлые клиенты просто прописывают на своем сет. подключении сеть локальных ресурсов и все будет у них работать (бесплатно)!

Именно поэтому используем PPPoE.

xxxupg · Сообщение **xxxupg** » Пт июн 25, 2010 09:43

RHAmzin либо возрастает нагрузка на насе (можно поиграть с правилами и таки выставить для лок.ресурсов "нормальную скорость", но нагрузка всё равно будет больше, либо вариант Chrstа - вообще считаю его лучшим...