» »

full tunnel VPN

full tunnel VPN

dvince ::

Pozdravljeni,
na virtual machine (W7) uporabljam vpn za povezavo določenih aplikacij. Zdaj težava je, da imam odprta dva LANa, enega lokalnega preko katerega se filtrira lokalni promet in VPN. Rad bi da se ves promet filtrira preko open VPNja. Kako to vzpostaviti?

dvince ::

da malo razložim situacijo. Na tem področju sem totalen začetnik, tako da prosim za razumevanje:

na virtual machine z instaliram W7 64 sistemom lavfam preko shared folderja določene aplikacije, ki bi jih rad filtriral preko VPNja. za VPN uporabljam OpenVPN. VPN imam zakupljen s fiksnim IPjem. Ko sem inštaliral VPN se mi je v network configuration vzpostavil nov LAN2 connection, ki pa nima povezave (no internet connection), čeprav naj bi deloval preko VPNja. Internet mi ob vzpostavljeni VPN povezavi deluje preko IPja od VPNja (whatsmyip..).
Ko pa kontroliram z netstatom v cmdju interni promet mi ne zažene vseh ipjev iz VPNja. Http gre ves na VPN, tisto kar hočem pa ne. Mogoče je problem, da je shared folder iz main kompa direktno vezan na LAN?

No vprašanje je, kako z OpenVPN filtirat ves promet preko VPNja.

SeMiNeSanja ::

Čisto na kratko - če bi hotel, da tudi promet iz lokalnega omrežja poteka preko VPN, bi moral naložiti VPN kliente na vse domače računalnike.

Ali to res želiš? potrebuješ?

dvince ::

Ne, tega ne potrebujem, zato imam VM, da lahko lavfam isto aplikacijo preko VPNja.
Moj cilj je samo, da se povežem na target server iz VMja z drugim IPjem. Na lokalnem omrežju ne rabim filtra. Torej na main kompu lavfam to aplikacijo iz mojega default ipja, na VM pa isto alikacijo, ki jo sharam preko lokalne mreže preko VPNja. Fora je samo v tem, da hočem imet odprti dve isti aplikaciji z različnim IPjem, eno na lokalni mreži, drugo preko VPNja na virtual machine.

Lonsarg ::

Če te prav razumem hočeš narediti podobno zadevo kot jaz. Virtual machine, ki je naložen na tvojem računalniku hočeš da ima dostop do vpnja, za kar rabi nujno dostop do zunanjega interneta. Ne bi pa rad, da ima ta virtual machine dostop do tvojega lana.

Ročno se to da ziher naredit preko routov ročnih, ki bi jih skonfiguriral na pcju, kjer se virtual machine nahaja, ampak to je kar nekaj dela. Ampak jaz sem uspel rešit zadevo z ics(internet connection sharing), ki je vgrajen v vse windows operacijske sisteme in s privatnim virtualnim switchom, kar vsak spodoben vm progam podpira.
Torej najprej rabiš privatni virtualni switch, ki povezuje virtual machine s tvojim virtual hostom, torej da virtual machine nima interneta, smao povezavo do tvojega pcja.
Potem pa na vm host pojdi pod internetne povezave in nato "change adapter setings", najdi tisti adapter, ki je fizično povezan na internet in pojdi pod lastnosti in nato pod zavihek "sharing", kjer ta sharing vklopiš in bo nato na voljo vsem ostalim adapterjem, ta drugo kljukico je bolje izklopiti. Tvoj vm host bo nato nat gateway za tvoj vm in mu bo dovolil izhodne povezave na porte nad 1024, incoming povezave pa moraš ročno skonfigururat, če jih rabiš za kak server.


Aja ups, nisem prebral tvojega zadnjega posta, pozabi vse kar sem napisal. Tebi je vseeno, če virtual machine dostopa do LAN, ti imaš samo problem izbrati, katera internetna povezava je defult. Tole bi znala biti rešitev: http://superuser.com/questions/403350/h...

Zgodovina sprememb…

  • spremenil: Lonsarg ()

SeMiNeSanja ::

Kateri promet gre v VPN, kateri pa gre čez lokalno omrežje, je odvisno od routing pravil, ki jih imaš postavljene.

V bistvu pa še zmeraj ne razumem tvoje problematike, saj mi ni jasno, ali aplikacija na virtualni mašini preko VPN dostopa do nekega servisa nekje na internetu, ali je stvar ravno obratno, da omogočaš drugim uporabnikom na internetu dostop do svoje aplikacije - preko VPN povezave.

Tako v enem kot drugem primeru, mi ni čisto jasno, zakaj aplikacija 2x laufa, enkrat 'za lokalno rabo' drugič pa za 'internetno/VPN rabo'. Če je 'aplikacija' zgolj nek klient, ki omogoča neke vnose v bazo (npr. *.exe datoteka), potem bi še razumel, da jo moraš za vsakega uporabnika posebej zagnati - za enega v virtualki, za drugega pa na lokalnem računalniku. Vendar mi ni jasno, kje se potem nahajajo podatki te aplikacije - če hočeš imeti skupne podatke, potem potrebuješ dostop do VM tudi iz/do lokalnega omrežja.
Ravno tako potrebuješ dostop do virtualke za različne servisne posege - kar pomeni, da moraš spet imeti dostop do nje iz LAN-a in ga ne moreš čisto 'zapreti'.

Če bi se šlo za podjetje, bi rekel, da si postavi nek pameten firewall na nivoju virtualnega switcha na virtualnem strežniku. Tam bi lahko v detajle nadziral, kaj boš dovolil da komunicira kdaj, kam, celo še userje lahko izbereš, ki jim boš to dovolil. Žal pa ne vem za noben freeware proizvod, ki bi to omogočal.
Če se spomnim, je Sophos imel neko free varianto za domačo rabo, vendar pa ne ponujajo Hyper-V variante - imeti moraš VMware.
Seveda pa lahko še vedno nekaj 'šraufaš' na nivoju MS firewall-a na sami virtualki, kar ni tako optimalno, vendar nekako kljub temu lahko 'služi namenu'.

dvince ::

Sem dobil enostavno rešitev za blokirat ves non-VPN promet preko firewalla:

Guide assumes your home connection is setup as "Private" and VPN is setup as "Public" under Windows.
Getting Started:

Control Panel->System and Security->Windows Firewall->Advanced Settings
You will be creating 2 firewall rules. 1 for inbound, 1 for outbound.
Steps:
1)Left click
2)New rule
3)Tick "Program"
4)Click "Next"
5)Tick "This Program path:"
6)Select your path to shared .exe app.
7)Click "Next"
8)Tick "Block the connection"
9)Click "Next"
10)Tick both "Domain" and "Private" and un-tick "Public"
11)Click "Next"
12)Give the rule a name
13)Click "Finish"


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

VPN (strani: 1 2 )

Oddelek: Omrežja in internet
5615136 (5810) rkobarov
»

Povezava dveh lokalnih omrežij

Oddelek: Omrežja in internet
171602 (1082) Aleks Nafi
»

VPN povezava PC-laptop

Oddelek: Pomoč in nasveti
61544 (1369) Pina
»

Lokalni proxy za pošto

Oddelek: Omrežja in internet
11719 (581) Otzi
»

Prekinjanje VPN povezave

Oddelek: Omrežja in internet
212128 (1778) ircr

Več podobnih tem