Рабочим станциям в офисной VLAN назначаются IP-адреса в диапазоне 10.10.0.0/16. Она определена как «Рабочая» сеть и использует набор правил брандмауэра «Частный». Мы используем центральный брандмауэр / маршрутизатор для передачи трафика между VLAN и различными диапазонами IP-адресов.
Один из этих диапазонов IP-адресов назначен нашему решению VPN, 10.100.0.0/16. По какой-то причине брандмауэр Windows (по крайней мере, в Windows 7) блокирует весь входящий трафик с адресов 10.100, включая пинги и трафик SMB.
Почему блокируется этот трафик? Я думал, что правила для "частных" подключений были более мягкими. Это потому, что трафик идет извне сетевой маски / подсети LAN? Об этом свидетельствует формулировка некоторых «частных» правил, но я не уверен на 100%.
Можно ли разрешить трафик без создание новых правил брандмауэра? Скорее, если проблема действительно связана с сетевой маской / подсетью, есть ли способ заставить конфигурацию сети или брандмауэр Windows воспринимать это как разумное? Создание новых правил работает, я бы предпочел не заходить на каждую рабочую станцию и применять их вручную. У нас еще нет домена, поэтому групповая политика не продвигается.
После дальнейших исследований:
Похоже, мне придется либо продублировать все необходимые правила брандмауэра в каждом конкретном случае, либо изменить диапазон IP-адресов, который использует наша VPN.
По умолчанию Windows 7 блокирует эхо-запросы ICMP, поэтому единственным другим вариантом помимо создания исключения в брандмауэре является полное отключение брандмауэра.