Настройка Брандмауэра Windows для подключений из сети за VPN-сервером Keenetic

Организовал VPN-туннель между двумя интернет-центрами Keenetic для объединения сетей, но компьютеры из разных подсетей не видят друг друга. Пингуются только роутеры. В чем может быть причина?


Если вы настроили VPN-туннель PPTP или IPSec соответственно по статьям «Объединение двух локальных сетей при помощи интернет-центров Keenetic, используя Сервер PPTP» или «Организация туннеля IPSec VPN между двумя интернет-центрами Keenetic Ultra II и Giga III», и туннель был успешно установлен, но пинг проходит только до удаленного роутера и не проходит на хосты удаленной сети, то вероятнее всего на самих хостах блокирует трафик Брандмауэр Windows (Межсетевой экран, Firewall).

wf01.png

В операционной системе Windows по умолчанию блокируются входящие подключения (в том числе и ICMP), если адрес источника этого подключения не принадлежит к назначенной на интерфейсе компьютера сети. При доступе к хосту в удаленную подсеть запрос будет приходить от адреса другой подсети, и соответственно будет заблокирован брандмауэром Windows.

Примечание. При использовании сторонней программы контроля сетевых подключений, например Kaspersky Internet Security или другой, настройка разрешающего правила доступа для трафика из удаленной сети (пакетное правило) будет аналогична, по нижеприведенному сценарию.

Далее рассмотрим настройку Брандмауэра Windows, разрешающую подключения из удаленной сети к компьютерам в локальной сети. Для этого достаточно создать политику сетевого экрана, регулирующую входящие подключения.

Приведенные в нашем примере скриншоты выполнены в ОС Windows 7.

wf03.png

1. В окне Выполнить (Win+R) введите wf.msc

wf02.png

Откроется окно конфигурации Брандмауэр Windows в режиме повышенной безопасности. Это же окно можно открыть через меню Панель управления > Система и безопасность > Брандмауэр Windows по кнопке Дополнительные параметры.

wf04.png

2. Выберите в в списке слева пункт Правила для входящих подключений. Для добавления правила обработки трафика нужно нажать в правой панели Создать правило...

wf05.png

3. Откроется окно Мастер создания правила для нового подключения. В нем нужно указать тип правила — Настраиваемые и перейти к следующему шагу по кнопке Далее.

wf06.png

4. В пунктах Программа и Протокол и порты не требуется менять установки по умолчанию.

wf07.png

wf08.png

В разделе Область следует установить переключатель Укажите удаленные IP-адреса в положение Указанные IP-адреса и нажать на кнопку Добавить.

wf09.png

5. В открывшемся окне нужно указать IP-адрес удаленной подсети и нажать OK.

wf10.png

В случае если правилом требуется разрешить доступ с компьютера в локальной сети VPN- сервера (правило создается на компьютере в локальной сети VPN-клиента), указывается подсеть на Домашнем интерфейсе VPN-сервера.
Если правило создается на компьютере в локальной сети VPN-сервера (требуется для разрешения входящих подключений из сети за VPN-клиентом), нужно указать подсеть, включающую адрес выданный клиенту от сервера. Для сервера PPTP по умолчанию на интернет-центре это подсеть 172.16.1.0/24. Для сервера IPSec VPN нужно указать удаленную подсеть.
Можно указать несколько подсетей если к компьютеру требуется выполнять подключения из различных удаленных расположений. После ввода требуемых значений, нужно нажать Далее.

wf11.png

6. В разделе Действие оставьте предустановленное значение Разрешить подключение и нажмите Далее.

wf12.png

7. Раздел Профиль предоставляет возможность выбрать профиль, к которому будет относиться настроенное правило. Поскольку настройка выполняется для компьютера, подключенного в Домашней сети интернет-центра, достаточно оставить галочку напротив профиля Частный (Применяется при подключении компьютера к частной сети).

wf13.png

8. На завершающем шаге настройки нужно указать Имя правила и можно добавить поясняющее Описание. Завершите работу мастера создания правила, нажав кнопку Готово.

wf14.png

9. Теперь в окне представления Правила для входящих подключений отображается созданное правило. В последних версиях ОС Windows для применения настройки дополнительных действий не требуется.

wf15.png

В случае если компьютер с ОС Windows подключен к локальной сети ИЦ, являющегося VPN- сервером и к нему требуется выполнять подключения из удаленной сети (за клиентом), в разрешающем правиле сетевого экрана следует указать подсеть, из которой выдаются адреса VPN-клиентам на сервере. По умолчанию на интернет-центрах Keenetic, при подключении к VPN-серверу PPTP, выдаются адреса клиентам из подсети частного диапазона 172.16.1.0/24.

wf16.png

Если компьютер, к которому требуется установить удаленное подключение, расположен в сети интернет-центра, являющегося VPN-клиентом, в разрешающем правиле Брандмауэра Windows потребуется указать подсеть, адрес из которой установлен на интерфейсе подключающегося из-за VPN-сервера компьютера. Согласно схеме в статье «Объединение двух локальных сетей при помощи интернет-центров Keenetic, используя Сервер PPTP», это подсеть 192.168.2.0/24.


KB-5263

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 1

Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.