[more] Добрый день!
Имеется корректно настроенный и правильно функционирующий VPN-канал между корпоративной локальной сетью и моим компьютером на ОС Windows 7. Настройки таковы, что через VPN идет только часть трафика (только на определенные подсети), весь остальной трафик идет через обычное подключение к интернет, минуя vpn. Реализовано все это с помощью Kerio VPN Client, который установлен на моей машине.
Как я понял, в момент установки соединения Kerio VPN Client дополняет таблицу маршрутизации Windows новыми записями, которые он получает по сети от VPN-сервера.
Таким образом, получается, что администратор VPN-сервера сам определяет (и в любой момент может переопределить) к каким именно ресурсам нужно подключаться через VPN, а каким - нет.
Мне кажется, что это дыра в безопасности и поэтому я попытался обойтись без Kerio Client'а: пробовал подключаться к VPN штатными средствами Windows (L2TP over IPSec), задавая постоянные маршруты (route add -p ...) - в этом случае могу получать доступ ко внутренним корпоративным сайтам только, если обращаться к ним по IP-адресу. Т.е. в принципе все работает, но без DNS. Можно, конечно, прописать какие-то адреса в файлике hosts, но адреса могут меняться, могут добавляться новые. И неизвестно, какие еще подводные камни потом неожиданно вылезут. Так что вариант с записями в hosts отпадает.
Отсюда вопросы:
1. Можно ли что-то сделать, чтобы корректно заработала DNS без запуска Kerio VPN Client'а? В какую сторону копать?
2. Нельзя ли задать для Kerio VPN Client'a свою собственную таблицу маршрутов? Чтобы он брал ее локально, а не получал от сервера. Я никаких настроек не нашел, может они где-то скрыты в конфигах?
3. Возможно, есть какой-то способ зафиксировать таблицу маршрутизации в определенном (однажды настроенном) состоянии? Чтобы никто и ничто не могло вносить в нее изменения. Или, как вариант, воспользоваться каким-то софтом для ее мониторинга? Может, кто-то знает что-нибудь подходящее? Искал, искал, но так и не нашел.
Уверен, я не первый, кого не устраивают возможности админов удаленно воздействовать по своему усмотрению на местную таблицу маршрутизации. Однако, гугление в интернетах не помогло найти хоть какое-нибудь решение. Поэтому обращаюсь к вам, специалистам, за помощью. [/more]
Имеется корректно настроенный и правильно функционирующий VPN-канал между корпоративной локальной сетью и моим компьютером на ОС Windows 7. Настройки таковы, что через VPN идет только часть трафика (только на определенные подсети), весь остальной трафик идет через обычное подключение к интернет, минуя vpn. Реализовано все это с помощью Kerio VPN Client, который установлен на моей машине.
Как я понял, в момент установки соединения Kerio VPN Client дополняет таблицу маршрутизации Windows новыми записями, которые он получает по сети от VPN-сервера.
Таким образом, получается, что администратор VPN-сервера сам определяет (и в любой момент может переопределить) к каким именно ресурсам нужно подключаться через VPN, а каким - нет.
Мне кажется, что это дыра в безопасности и поэтому я попытался обойтись без Kerio Client'а: пробовал подключаться к VPN штатными средствами Windows (L2TP over IPSec), задавая постоянные маршруты (route add -p ...) - в этом случае могу получать доступ ко внутренним корпоративным сайтам только, если обращаться к ним по IP-адресу. Т.е. в принципе все работает, но без DNS. Можно, конечно, прописать какие-то адреса в файлике hosts, но адреса могут меняться, могут добавляться новые. И неизвестно, какие еще подводные камни потом неожиданно вылезут. Так что вариант с записями в hosts отпадает.
Отсюда вопросы:
1. Можно ли что-то сделать, чтобы корректно заработала DNS без запуска Kerio VPN Client'а? В какую сторону копать?
2. Нельзя ли задать для Kerio VPN Client'a свою собственную таблицу маршрутов? Чтобы он брал ее локально, а не получал от сервера. Я никаких настроек не нашел, может они где-то скрыты в конфигах?
3. Возможно, есть какой-то способ зафиксировать таблицу маршрутизации в определенном (однажды настроенном) состоянии? Чтобы никто и ничто не могло вносить в нее изменения. Или, как вариант, воспользоваться каким-то софтом для ее мониторинга? Может, кто-то знает что-нибудь подходящее? Искал, искал, но так и не нашел.
Уверен, я не первый, кого не устраивают возможности админов удаленно воздействовать по своему усмотрению на местную таблицу маршрутизации. Однако, гугление в интернетах не помогло найти хоть какое-нибудь решение. Поэтому обращаюсь к вам, специалистам, за помощью. [/more]
