Я установил домен Windows SBS 2003 (LAN) и автономный Windows 2008 Server (веб-сервер) в другом месте (рабочая группа). Я установил соединение PPTP VPN (SBS дозванивается до веб-сервера), через которое пользователи из локальной сети должны иметь доступ к веб-серверу. На веб-сервере я включил TCP / IPv4 и протокол общего доступа к файлам и принтерам. Он имеет несколько внешних адресов (один из них по умолчанию) И один локальный адрес (192.x.x.x), назначенный сетевому адаптеру. Брандмауэр разрешает порт 445 для обмена файлами.
В этом проблема - я не могу разрешить доступ к общим файлам веб-сервера для пользователей локальной сети и ТОЛЬКО для пользователей локальной сети:
Возможно, у меня нет ответа, но, возможно, у меня есть его рабочая модель. Я сделал это без каких-либо реальных изменений, и это, вероятно, настолько небезопасно, насколько это возможно. Но я пытался получить к нему доступ из различных систем через Интернет, и я не могу подключиться без надлежащей аутентификации.
Мне всегда предлагают ввести имя пользователя и пароль. Все пользователи в системе настроены как обычные пользователи, а не как администраторы. Несколько проблем, с которыми я столкнулся, всегда связаны с блокировкой портов. доступ осуществляется через // ipaddress / sharedfolder, где папка должна быть доступна пользователю, который к ней обращается. Пока что это, похоже, правильно наследует разрешения, и никто не может получить то, чего не должен.
та же самая установка с использованием VPN также работала, но доставляла гораздо больше проблем и не обеспечивала дополнительной безопасности, поскольку все пользователи настаивают на том, чтобы шлюз был открыт на их стороне, чтобы позволить им получить доступ к Интернету и просматривать через своего локального провайдера. так что это был только> V "получастный" N <для начала
Если у кого-то есть лучшая установка, я хотел бы знать, как это сделать. Это была чистая отчаянная попытка решить проблемы, возникшие после обновления до Server 2008 R2. Похоже, что это работает так, как они описывают новый прямой доступ, но без двойных сетевых адаптеров и активных контроллеров домена. Я хуже, чем «новичок», поэтому могу только сказать вам, что после недели «кровотечения из глаз» я наконец заставил сервер и клиентов «поговорить». Но это было С vpn.
Еще одна неделя проб и ошибок, прежде чем я однажды понял, что даже не использую vpn, но у меня все еще есть доступ. В результате стабильные подключения из любого места без VPN. Удаленные системы подключаются к Серверу, как только они включаются, и подключаются к Интернету.
Иногда (примерно каждые 2 недели) пользователю предлагается ввести свой сетевой пароль, что меня устраивает, так как это гарантирует, что система все еще находится в руках владельца. Со стороны сервера кажется, что они связаны через локальную сеть.
Я вижу их, и они видят сервер, а это все, что мне нужно. У меня не включены "офлайн-файлы", так что это тоже не то.
Все клиенты - windows 7, сервер - сервер 2008R2 Std. Если у кого-то еще есть подобная установка, я хотел бы знать, как я могу ее улучшить.
Хотя то, что вы пытаетесь сделать, можно делать строго с помощью RRAS и брандмауэра Windows, это будет довольно сложная конфигурация, и она не будет безопасной, если не настроена должным образом. Вы можете обнаружить, что исправления операционной системы также влияют на функциональность. Я не уверен, что я бы очень поверил, что это, после настройки, продолжит работать должным образом, несмотря на наличие исправлений.
На мой взгляд, вы бы потратили на это намного меньше времени, если бы вложили средства в аппаратный брандмауэр / устройство VPN, чтобы сидеть перед компьютером с удаленным веб-сервером и завершать там VPN. Если вы сможете это сделать, вы получите решение, которое, как я ожидал, будет намного более надежным.
Я просто сделал это со всем, что встроено в Windows Server. Абсолютно нет необходимости в аппаратных VPN или дорогом стороннем программном обеспечении. Я сделал все это с помощью одной сетевой карты на моем веб-сервере.
После того, как вы настроили VPN в разделе «Маршрутизация и удаленный доступ» и подключили своего клиента, вам необходимо предпринять два основных шага, чтобы обеспечить доступ к файлам.
Во-первых, ваше исключение брандмауэра, которое разрешает доступ через порт 445 (общий доступ к файлам), должно быть в вашей общедоступной сети, но SCOPE должен быть установлен либо на локальную подсеть, либо, что еще лучше, на диапазон статических адресов, назначенных вашей VPN при маршрутизации. и настройки удаленного доступа. Клиенты, подключающиеся к вашей VPN, будут иметь эти предопределенные адреса, поэтому область исключения вашего брандмауэра может быть настроена так, чтобы пропускать только их.
Если весь трафик маршрутизируется через вашу VPN, этого может быть достаточно, но если вы похожи на меня и используете раздельное туннелирование, поэтому интернет-трафик маршрутизируется нормально, и только то, что нацелено на вашу VPN, проходит через туннель, тогда вам может потребоваться также сделать убедитесь, что когда вы вводите доменное имя или IP-адрес в проводнике Windows для доступа к общему файловому ресурсу ... что трафик для этого адреса фактически проходит через VPN. Я обнаружил, по крайней мере, на клиентах Windows 7, что по умолчанию маршруты ошибаются. Чтобы исправить это, мне пришлось удалить плохой маршрут и добавить правильный. Для этого откройте команду propmpt с повышенными правами и посмотрите на вывод команды «route print». Там вы сможете увидеть список интерфейсов и маршрутов IPv4, включая различные шлюзы. Если ваш IP-адрес VPN-сервера (веб-сервера с общими файлами) представлен как [VPN.IP], а его шлюз представлен как [VPN.GATEWAY]. Затем вы просто выполняете «удаление маршрута [VPN.IP]», а затем «добавление маршрута [VPN.IP], маска 255.255.255.255 [VPN.GATEWAY] IF [VPN_INTERFACE_ #]». VPN_INTERFACE_ # можно получить из списка интерфейсов, который вы видели в «печати маршрута». В любом случае это направляет весь трафик, нацеленный на «[VPN.IP]», через шлюз VPN на интерфейсе VPN.
Я с Эваном в этом. Используйте маршрутизаторы, которые могут действовать как конечные точки VPN. Мне нравится Drayteks, хотя в наши дни все маршрутизаторы, кроме начального уровня, будут использовать VPN. Использование аппаратной VPN делает маршрутизацию очень простой.
JR