Что ж, это дилемма, я хочу, чтобы удаленные клиенты подключались к моей сети и маршрутизировали только локальный доступ через VPN. Это раздельное туннелирование, клиент использует свое интернет-соединение для всех других интернет-запросов, а VPN-туннель к моей сети - для локальных запросов.
Возникает пара проблем: разделенное туннелирование в Windows достигается снятием флажка с опции, которая гласит «Использовать шлюз по умолчанию в удаленной сети» в настройках TCP / IP клиентского VPN-соединения. В любой момент пользователь может поставить галочку и направить весь свой интернет-трафик через мою сеть, съедая мою пропускную способность и маскируясь под моим IP-адресом. Это неприемлемо.
Проблема номер 2 заключается в том, что если клиент использует раздельное туннелирование, он становится шлюзом между Интернетом и моей сетью, это также недопустимо.
У меня следующие вопросы: как добиться разделения серверного туннелирования? И действительно ли последний вопрос заслуживает беспокойства?
Любые мысли будут оценены!
Есть несколько способов предотвратить это. Первым и, вероятно, самым простым было бы просто установить правила брандмауэра на вашем VPN-сервере, чтобы запретить любой трафик, не предназначенный для ваших локальных подсетей. При наличии этих правил любой «связанный с Интернетом» трафик будет просто сброшен.
Если у вас нет возможности вносить изменения в брандмауэр, вы можете настроить внешний блок NAT так, чтобы он просто отказывался выполнять свои обязанности NAT для вашей подсети VPN-клиента.
По поводу «Проблемы № 2». Как именно клиент «станет шлюзом между Интернетом и вашей сетью»? Для этого необходимо ввести правила маршрутизации.