Расшар Вип-Нет-ных ресурсов.

[Mr.Torture]

Привет всем.
Вопрос не по теме ресурса, но пока на профильных решения не нашёл.
Дано:
32 лицензии на Вип-Нет клиенты для доступа к закрытым ресурсам в защищённой сети;
Больше сотни сотрудников, которым надо работать с этими защищёнными ресурсами ещё позавчера;
Отсутствие финансов и обещание выделить оные в следующем году.
Нужно временное решение. Первое, что пришло в голову и попытался реализовать - машина с двумя сетевухами и установленным клиентом Вип-Нет, расшарить на нём выход в инет и локалку его воткнуть в один из ВАН Керио, на котором правилами заворачивать нужный трафик. Не работает такая схема. Пытался кучу разных прокси-серверов устанавливать на эту машину - бестолку... Собсна, есть ли какая-то возможность расшарить траффик из защищённой сети Вип-Нет?

[exchar]

Цитата:

Сообщение от Mr.Torture

для доступа к закрытым ресурсам в защищённой сети

тип ресурса мы должны угадать
виндовые шары, http, почта (в т.ч. от випнетовцев), еще что-то

Цитата:

Сообщение от Mr.Torture

32 лицензии
Больше сотни сотрудников, которым надо работать с этими защищёнными ресурсами ещё позавчера

это вопрос руководства, а не админа
если административно вопрос не решен, то этим людям не нужны эти ресурсы.

Цитата:

Сообщение от Mr.Torture

Не работает такая схема.

емнип, внутри випнет-клиента есть файерволл и он настраивается там же
менюшка в нем унылая.

Цитата:

Сообщение от Mr.Torture

есть ли какая-то возможность расшарить траффик из защищённой сети Вип-Нет?

по-правильному - нет
остальное зависит от размера премии со стороны руководства (шучу)
так что за ресурсы? (тип их)

[Mr.Torture]

Http и https

Добавлено через 1 минуту

Файрвол в клиенте настроен для разрешения всего и вся с локального диапазона адресов.

[exchar]

Цитата:

Сообщение от Mr.Torture

Http и https

колупать файерволл в клиенте и ставить прокси на хост
сам так с випнетом делать не пробовал
и он по-правильному должен быть заточен на то, чтобы у тебя так сделать не получилось

[Mr.Torture]

UPD.
Пустил локальный интерфейс вышеупомянутой машины в общую локалку, изменив айпишник на соответствующий локальному диапазону, запустил прокси-сервер, на своей машине указываю её айпишник прокси-сервером - отлично всё открывается - то есть прокся отлично пашет. Возвращаю локальный интерфейс в ВАН Керио с соответствующим изменением айпишника, убираю настройки на прокси на своём компе - не пашет. Прокси-сервер слушает порт 80 - в правилах трафика делал НАТ на соответствующий интерфейс ВАН Керио - ни фига, пробовал включать адрес назначения НАТ с указанием порта - ни фига.

Ткните носом дурака - что не так делаю?

[exchar]

Цитата:

Сообщение от Mr.Torture

Пустил локальный интерфейс вышеупомянутой машины в общую локалку, изменив айпишник на соответствующий локальному диапазону

это про хост с клиентом випнет? а где этот интерфейс до этого был тогда?..
имхо он и должен был быть в локальной сети как бы

Цитата:

Сообщение от Mr.Torture

запустил прокси-сервер, на своей машине указываю её айпишник прокси-сервером - отлично всё открывается - то есть прокся отлично пашет.

это уже какой-то другой хост, очевидно без випнета, зато внезапно с прокси
ну, прокси там пашет как и ожидалось
правда не ясно зачем это всё

Цитата:

Сообщение от Mr.Torture

Возвращаю локальный интерфейс в ВАН Керио с соответствующим изменением айпишника

на все 200% не понял что и с чем было сделано. и зачем.

Цитата:

Сообщение от Mr.Torture

убираю настройки на прокси на своём компе - не пашет

"какой заяц? какой тулуп?..." (с) арменфильм если не ошибаюсь

Цитата:

Сообщение от Mr.Torture

Ткните носом дурака - что не так делаю?

накидай схему в паинте - что было в начале и что и как ты пытаешься сделать
не въезжаю, вот честно

[Mr.Torture]

[Mr.Torture]

Работает, когда из машины с випнетом локалка воткнута в локальный коммутатор и на моей машине в браузере указан проксёй айпишник машины с випнетом.
Хочу локалку машины с випнетом переткнуть в свободный ВАН Керио и нго правилами запросы на нудные ресурсы натить в машину с випнетом.

[Mr.Torture]

[exchar]

Цитата:

Сообщение от Mr.Torture

Работает, когда из машины с випнетом локалка воткнута в локальный коммутатор и на моей машине в браузере указан проксёй айпишник машины с випнетом.

не проще ли оставить так
и с керио редиректить нужные ресурсы на лан хоста с випнетом?
или через dns разрулить?

[Mr.Torture]

Оставлять так не хочу, ибо через прокси-сервер работает не всё, что нужно юзерам.

[exchar]

Цитата:

Сообщение от Mr.Torture

работает не всё, что нужно юзерам

а что конкретно не работает? (и какой прокси используется?)

заявлен http был и https - должны отрабатывать

[Mr.Torture]

Например, СУФД казначейский у юзверей...

[exchar]

Цитата:

Сообщение от Mr.Torture

Например, СУФД казначейский у юзверей...

эммм... пофиг как оно называется, скажи что этой штуке требуется помимо http(s)
протоколы там, порты

[Mr.Torture]

Подключение по шифрованному каналу через Континент-АП с авторизацией электронными ключами. Юзверей от разных юрлиц в локалке много, потому поставить континент на машину с проксёй не вариант..

[exchar]

Цитата:

Сообщение от Mr.Torture

Подключение по шифрованному каналу через Континент-АП с авторизацией электронными ключами. Юзверей от разных юрлиц в локалке много, потому поставить континент на машину с проксёй не вариант..

есть некоторые сомнения, что хост с випнет-клиентом будет входящий трафик шифровать и пихать в туннель.
с прокси получилось потому, что прокси там непрозрачный и соединение рубилось на два - от локалки до прокси и с прокси на ресурс защищенной сети. последнее соединение штатное для випнет-клиента и оно отработает с прозрачным шифрованием.
поэтому я и от прокси уходить не хотел.

[Mr.Torture]

Вот потому я и хочу запустить это всё через Керио - чтоб те же континенты свой трафик по своему правилу Керио гнали, а нужные закрытые ресурсы Керио заворачивались на нужную ВАН-сетевуху Керио, смотрящую в ЛАН машины с прокси - меньше головняка с прописыванием прокси на компах юзверей, никаких проблем с СУФД и как сегодня ещё выяснилось - с "Электронным бюджетом", который тоже через "Континент-АП" ходит.

[exchar]

Цитата:

Сообщение от Mr.Torture

Вот потому я и хочу

так на каком этапе рубится-то в этой схеме?
я понимаю, что "не работает"
можно глянуть дамп пакетов на хосте с випнетом и от этого идти далее
если пакеты не доходят туда, то пинать керио или фаер на випнете
если пакеты туда приходят, то интереснее всё