The_Judas Δημοσ. 17 Μαΐου 2015 Δημοσ. 17 Μαΐου 2015 Εχω στήσει ένα VPN με δύο Draytek routers. Στην κάθε πλευρά του vpn υπάρχει διαφορετικό subnet. Στην μια πλευρά έχω έναν υπολογιστή με sql server στον οποίο πρέπει να έχει πρόσβαση και η άλλη πλευρά του vpn. Θα προτιμούσα να μην χρειάζεται να βλέπει ιντερνετ ο sql server. Δοκίμασα να το απενεργοποιήσω, όμως τότε δεν είχε πρόσβαση στον sql server η άλλη πλευρά. Υπάρχει τρόπος να γίνει αυτό που θέλω ή ειναι αναγκαίο κακό του vpn να "βλέπει" ιντερνετ ο sql server?
hawkpilot Δημοσ. 17 Μαΐου 2015 Δημοσ. 17 Μαΐου 2015 Τι εννοείς όταν λες ότι δε θέλεις να βλέπει internet ο sql server? Εννοείς μόνο η συγκεκριμένη μηχανή ή όλο το LAN? Εχω στήσει ένα VPN με δύο Draytek routers. Στην κάθε πλευρά του vpn υπάρχει διαφορετικό subnet. Στην μια πλευρά έχω έναν υπολογιστή με sql server στον οποίο πρέπει να έχει πρόσβαση και η άλλη πλευρά του vpn. Θα προτιμούσα να μην χρειάζεται να βλέπει ιντερνετ ο sql server. Δοκίμασα να το απενεργοποιήσω, όμως τότε δεν είχε πρόσβαση στον sql server η άλλη πλευρά. Υπάρχει τρόπος να γίνει αυτό που θέλω ή ειναι αναγκαίο κακό του vpn να "βλέπει" ιντερνετ ο sql server?
The_Judas Δημοσ. 17 Μαΐου 2015 Μέλος Δημοσ. 17 Μαΐου 2015 Να φαίνεται μόνο στο lan ο sql server και να μην έχει internet μόνο αυτό το μηχάνημα. Για λόγους ασφάλειας, γιατί αν είναι ορατός στο διαδίκτυο είναι και άμεσος στόχος.
hawkpilot Δημοσ. 17 Μαΐου 2015 Δημοσ. 17 Μαΐου 2015 Το να κόψεις μόνο αυτό το μηχάνημα από το να βλέπει internet είναι εύκολο. Μπορεις να το πετυχεις είτε μπλοκάροντάς το από τον router, είτε κόβοντας το default route (0.0.0.0). Αυτό όμως δε σημαίνει οτι μηδενίζεις την πιθανότητα κάποιος τρίτος εκτός δικτύου να μπορέσει να επιτεθεί στον sql server. Πρακτικά όμως η πιθανότητα είναι απειροελάχιστη αφού η μηχανή βρίσκεται πίσω από NAT. Αν οι external IPs των routers είναι dynamic, τότε η πιθανότητα είναι πρακτικά μηδενική. Να φαίνεται μόνο στο lan ο sql server και να μην έχει internet μόνο αυτό το μηχάνημα. Για λόγους ασφάλειας, γιατί αν είναι ορατός στο διαδίκτυο είναι και άμεσος στόχος.
The_Judas Δημοσ. 18 Μαΐου 2015 Μέλος Δημοσ. 18 Μαΐου 2015 Δεν ρώτησα αυτό όμως. Αν κόψω το default route δεν θα έχω πρόσβαση και στα δύο subnet. Το vpn του draytek γίνεται σε 2 subnets υποχρεωτικά. Εγώ θέλω να κόψω το ιντερνετ σε έναν μόνο υπολογιστη, αλλά να μπορεί να υπάρχει πρόσβαση και στα 2 subnets. Μήπως με κάποιον άλλο τρόπο να το κάνω αυτό; π.χ μέσω της mac address?
Rabican Δημοσ. 18 Μαΐου 2015 Δημοσ. 18 Μαΐου 2015 μπορεις, αν το υποστηριζει το draytek, να μην nat-αρεις (overload/hide NAT) την IP του SQL server. οποτε με private δε θα μπορει να βγει internet...
hawkpilot Δημοσ. 18 Μαΐου 2015 Δημοσ. 18 Μαΐου 2015 Κόβεις το default route μόνο στη μηχανή του sql server. Αφήνεις όλα τα υπόλοιπα routes που είναι απαραίτητα για το vpn. Αν ο DHCP server του draytek δεν έχει δυνατότητα παραμετροποίησης για κάθε τερματικό ξεχωριστά τότε κάντο μέσω command line. Δε βλέπω το λόγο γιατί δε σου κάνει αυτή η λύση. Δεν ρώτησα αυτό όμως. Αν κόψω το default route δεν θα έχω πρόσβαση και στα δύο subnet. Το vpn του draytek γίνεται σε 2 subnets υποχρεωτικά. Εγώ θέλω να κόψω το ιντερνετ σε έναν μόνο υπολογιστη, αλλά να μπορεί να υπάρχει πρόσβαση και στα 2 subnets. Μήπως με κάποιον άλλο τρόπο να το κάνω αυτό; π.χ μέσω της mac address?
The_Judas Δημοσ. 20 Μαΐου 2015 Μέλος Δημοσ. 20 Μαΐου 2015 Τελικά το μπλόκαρα μέσω του router: http://www.i-helpdesk.com.au/index.php?/Knowledgebase/Article/View/337/0/configuring-vigor-router-firewall-to-block-internet-access-for-one-pc-but-allow-access-to-the-vpn-connection
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα