подключение типа мост между kerio virtual network adapter и локалкой

[Presto8810]

Есть своя сеть с кучей записей в локальных ДНС. Весь фронт на тонких клиентах и двух РДП серваках. Есть один злополучный сервис от госкомпании, которая дает подключаться через kerio vpn client и наотрез отказывается от тоннеля KERIO - KERIO.

Возможно ли использовать один комп с включенным kerio vpn client как шлюзовую машину? так как если я подключу kerio vpn client на РДП серваке на nslookup отвечают ДНС сервера злополучного сервиса от госкомпании. Повторять свои ДНС записи в hosts ваще не вариант.

Или может другие идеи?

[exchar]

Цитата

Сообщение от Presto8810

Есть один злополучный сервис от госкомпании, которая дает подключаться через kerio vpn client и наотрез отказывается от тоннеля KERIO - KERIO.

скорее всего что-то у вас в настройках.

Цитата

Сообщение от Presto8810

Возможно ли использовать один комп с включенным kerio vpn client как шлюзовую машину?

вроде прецеденты были, но официально это не поддерживается

Цитата

Сообщение от Presto8810

так как если я подключу kerio vpn client на РДП серваке на nslookup отвечают ДНС сервера злополучного сервиса от госкомпании. Повторять свои ДНС записи в hosts ваще не вариант.

чет не понял
наверное, нужны подробности

[naliman]

Цитата:

Сообщение от exchar

вроде прецеденты были, но официально это не поддерживается

причем, никто не запрещает попробовать, провести эксперимент

[alexnasa]

Цитата:

Сообщение от exchar

вроде прецеденты были, но официально это не поддерживается

У меня в будке у диспетчера ноут по ой-вей вай-фай выходит в Сеть. Т.е. имеется ещё и дырка бездельник-езернет порт. Я делал такой мост. С целью воткнуть в него железный IP телефонный аппарат и убрать нежелезный софтфон. И звонки вызова заработали. А голос нет- но я не стал выяснять почему, т.к. в тот момент окончательно дозрел до нормальных IPSec туннелей (Керио+Кинетик).
[Для просмотра данной ссылки нужно зарегистрироваться]

[Presto8810]

Поднял RRAS на Server core 2016 на нюке. Отлично натит используя kerio virtual adapter как WAN. Есть ложка дегтя. Server core 2016 находтся в локалке, где мой Kerio Control сервер ДХЦП и шлюз по умолчанию. Если маршруты на ресурсы написать в моем Kcontrol, то работает только пинг и ДНС запросы к ДНС за KVPN. Остальные высокоуровневые аля http не работают. Если теже маршруты написать на клиентской машине - ТО Работает

Добавлено через 46 минут

Цитата:

Сообщение от exchar

скорее всего что-то у вас в настройках.

вроде прецеденты были, но официально это не поддерживается

чет не понял
наверное, нужны подробности

почему при включенном Kerio VPN Client на NSLOOKUP ответил ДНС сервер с той стороны тоннеля, а не ДНС сервер моей сети?

[Для просмотра данной ссылки нужно зарегистрироваться]

[exchar]

Цитата

Сообщение от Presto8810

почему при включенном Kerio VPN Client на NSLOOKUP ответил ДНС сервер с той стороны тоннеля, а не ДНС сервер моей сети?

потому что в свойствах vpn-клиента, либо vpn-сервера проставлена некая опция на этот счет.
[Для просмотра данной ссылки нужно зарегистрироваться]

[Presto8810]

Цитата:

Сообщение от exchar

потому что в свойствах vpn-клиента, либо vpn-сервера проставлена некая опция на этот счет.
[Для просмотра данной ссылки нужно зарегистрироваться]

А есть идеи, почему не прокатывают маршруты добавленные в самом KControl c столь странным поведением (не пашут высокоуровневые протоколы). Причем пробовал даже вместо стат маршрутов отправлять трафик правилом с натом на мой нюк с велосипедом на заветные ресурсы.
???

[exchar]

Цитата

Сообщение от Presto8810

не пашут высокоуровневые протоколы

не в кусе, на верное потому что телепаты в отпуске

Цитата

Сообщение от Presto8810

даже вместо стат маршрутов отправлять трафик правилом с натом на мой нюк с велосипедом на заветные ресурсы

опять же, штатные телепаты по отпускам, поэтому я хз что и как конкретно вы там у себя не так завернули.

[Presto8810]

Цитата:

Сообщение от exchar

не в кусе, на верное потому что телепаты в отпуске

опять же, штатные телепаты по отпускам, поэтому я хз что и как конкретно вы там у себя не так завернули.

Почему если написать статический маршрут в керио - Сеть: 10.240.0.199/32, итерфейс: pcie2 LAN, ШЛЮЗ: 192.168.0.183 Метрика 1
то с любого компа в сети (например 192.168.0.76 на схеме) Работает только ping 10.240.0.199 .

а если на компе в сети (например 192.168.0.76 на схеме) написать route add 10.240.0.199 mask 255.255.255.255 192.168.0.183 Работает и [Для просмотра данной ссылки нужно зарегистрироваться]

[exchar]

Цитата

Изображение: [Для просмотра данной ссылки нужно зарегистрироваться]

схема не прикрепилась, линк виден был только в почте

повешу ее тут:

[exchar]

Цитата

Сообщение от Presto8810

Почему если написать статический маршрут

потому что имхо лучше не делать пятое колесо из стат маршрутов, впн-клиентов и хлопков одной ладонью, а просто сделать туннель между двумя керио и рулить трафиком внутри этого туннеля.

[Presto8810]

Цитата:

Сообщение от exchar

потому что имхо лучше не делать пятое колесо из стат маршрутов, впн-клиентов и хлопков одной ладонью, а просто сделать туннель между двумя керио и рулить трафиком внутри этого туннеля.

Согласен с вашим мнением на все googleчисло%. Однако та сторона отказывается делать тоннель ссылаясь на запрет безопастников с цитатой "акакмыотследим деятельность".

Чтож, ответ на главный вопрос получен. Натить керио впн клиент можно, но с велосипедами ввиде безклассовых маршрутов dhcp, или маршрутами на клиентах.

[exchar]

Цитата

Сообщение от Presto8810

Однако та сторона отказывается делать тоннель ссылаясь на запрет безопастников с цитатой "акакмыотследим деятельность"

ну и пусть отслеживают. или не отслеживают.
т.е. - канал с данными или будет, или же нет. как скажут - так и будет
нельзя быть немножко беременным, даже у безопасников
если канала не будет и бизнес-процесс навернется, то это косяк безопасников.

а заворачивать всю инфраструктуру морским узлом только для того чтобы нанятые в москве по родственникам москвичей деревянные на всю голову безопасники смогли в полной мере проявить глобальный запрещизм и получить премию - дануегонафиг. то есть у меня на работе вот каждый день это и заебало оно вусмерть.

Цитата

Сообщение от Presto8810

Натить керио впн клиент можно, но с велосипедами ввиде безклассовых маршрутов dhcp, или маршрутами на клиентах.

дада, "можно но не нужно".
и следует понимать, что впн-клиент задумывался как терминал (не лицензируемый по количеству), а для полноценного удобного тоннеля нужно брать два керио бай дизайн. т.е. удобства схеме с клиентом специально не завозили.

[Presto8810]

Цитата:

Сообщение от exchar

а заворачивать всю инфраструктуру морским узлом только для того чтобы нанятые в москве по родственникам москвичей деревянные на всю голову безопасники смогли в полной мере проявить глобальный запрещизм и получить премию - дануегонафиг. то есть у меня на работе вот каждый день это и заебало оно вусмерть.

И это вы еще мягко выразились. Ведь иметь с ними дел наш бизнес не особо хочет, однако данные родственники настолько влиятельны, что другие родственники родственников законодательно заставляют работать только с данной конторой без каких либо согласований и условий.

Тоесть к этому заебало добавляется зависимое положение и невозможность на что-либо повлиять.

[exchar]

Цитата

Сообщение от Presto8810

другие родственники родственников законодательно заставляют работать только с данной конторой без каких либо согласований и условий.

прямо вижу реалии одной из корпораций с гос. участием =) хотя все они такие, в общем-то.

Цитата

Сообщение от Presto8810

Тоесть к этому заебало добавляется зависимое положение и невозможность на что-либо повлиять.

ну вот да.