Сори за новую тему, но ситуация несколько нестандартна.
Имеется:
прокси-сервер, подключенный к Интернет через VPN-соединение, модем работает в режиме роутера, нет раздается через Kerio. Сеть 192.168.0.0, IP модема 192.168.0.222.
Настройка сетевой на сервере: IP 192.168.0.1, маска 255.255.255.0, шлюз 192.168.0.222.
DNS сервера: 192.168.0.1, 81.25.32.34, 81.25.32.9
Пытался организовать доступ по VPN (включил службу маршрутизация и удаленный доступ), но сразу обрубает общий доступ к нету и локальному домену.
Если кто решал подобные вопросы, напишите, плз, что сделать нужно для доступа к серверу по VPN и RDP.
Да, чуть не забыл. Модем подключен к управляемому свичу.

Сразу наклевываются вопросы.
1. Доступ к серверу по VPN и RDP извне, т.е. с интернета, или изнутри, т.е. с локальной сети?
2. Зачем прокси-сервер подключать к модему в режиме роутера через свитч? К этому свитчу подключены другие компьютеры локальной сети (тогда зачем интернет раздавать с сервера, если можно напрямую по цепочке интернет-роутер-свитч-компьютер?) или подключены только роутер и сервер? (зачем тогда свитч, не пойму?)
P.S. Если на Windows-сервере поднять VPN-сервер, то он из домена выпадает. Я помнится решал эту проблему, имея на сервере две сетевые карты, одна из которых смотрела в домен, вторая работала исключительно на VPN. То есть VPN-сервер как бы соединяет две сети, от одной практически закрывается наглухо (со стороны VPN), а другая доверенная (в которую можно попасть через VPN)

1. Доступ нужен извне.
2. В режиме роутера - наследство от прошлого, когда пользователи пустопасом ходили в инет. Решили халяву прикрыть - и вот он - модем в режиме роутера остался воткнут в свич. Доступ к нему прописан только у сервака.
Вообще-то, конечно, непринципиально - можно и в бридж.
Только в связи с PS что-то расхотелось - моя прокся еще и контроллер домена. Контроллер тоже отвалится?

Добавлено через 13 минут
А если вторую сетевуху добавить?

Тогда есть такие мысли.
1. На прокси-сервере контроллер домена ой как ни к чему. Зря ты контроллер домена вывесил голой попой в инет. Надеюсь ты не в банке работаешь?
2. Раздели их. Возьми хотя бы старую машинку, поставь, например, OpenBSD и две сетевухи - первая к модему в режиме бридж, вторая смотрит в домен. Это вариант если нет денег. Второй вариант - ставишь прокси-сервер, одним портом на модем в режиме бриджа, на нем же поднимаешь VPN-сервер, второй порт смотрит в домен. Убиваешь два зайца. Безопасность во-первых. Во-вторых нет проблем с RDP, как если бы модем был в режиме роутера. А вообще я за OpenBSD. Смотри по настройке, например http://dreamcatcher.ru/docs/openbsd_vpn.html При грамотной настройке неубиваемый (практически) сервер с хорошей защитой.
Удачи.

Добавлено через 10 минут
Кстати, насчет модема посмотри http://www.nowa.cc/showpost.php?p=1826137&postcount=16

А если вторую сетевуху добавить?Это способ избавиться от изврата. Ибо физически любой себе выходи в инет в обход сервера, но настройками TCP/IP ты это ограничиваешь. Дождёшься того, кто догадается посканить сеть и будешь пото оправдываться, когда перелимит оплачивать придётся.
Однако, врядли это поможет проблеме из первого поста. :)

Да, контроллер, как ты верно подметил, голой попой в инет нехорошо.
Но, во-первых, насколько просто сломать контроллер AD, если даже доступа извне у меня не получается организовать? Во-вторых, вывешивая его у меня был только один сервак. Сейчас у меня их два, но на втором работают две SQL базы и семь DBF. Если перевешу проксю на второй, возникает вопрос по увеличению сетевой нагрузки на сервер. Не обляжет он под таким грузом?
Касаемо OpenBSD - думаю, что не имея никакого опыта работы с системой организовывать работу с инетом через ее не имеет никакого смысла - траха будет много, толку мало. Да и связка Вынь2003+Керио Винрут мне, в принципе, понравилась.

Добавлено через 4 минуты
Ибо физически любой себе выходи в инет в обход сервера, но настройками TCP/IP ты это ограничиваешь. Дождёшься того, кто догадается посканить сеть и будешь пото оправдываться, когда перелимит оплачивать придётся.
ОК. Но все пользователи на машинах не имеют административных прав :). А без них, как известно, настройки сетевого подключения не подредактируешь (это ж надо прописать шлюз, DNS):razz:.
Сразу предупрежу следующее замечание - локально на машину пользователи тоже не могут зайти - учетки администратора в домене переименованы, пароля не знают, подбирать его - себе дороже.
Так что, как мне кажется - добро пожаловать через Kerio!!! :cool:

Да я наоборот говорил, что надо AD сажать в инет второй сетевухой. На неё ису или керио и вперёд. А настройки сетевые меняются ох как быстро. :) Я от нечего делать в классе одного из учебных центров 1С смог минут за 5-10 восстановить службу usbstor и сопутствующие, восстановить работу USB-накопителей, сбросить все доменные ограничения, стать локальным админом и можно было даже положить DC, но мне это не надо было. :)

Да я наоборот говорил, что надо AD сажать в инет второй сетевухой.
Сори, первая часть - ответ на сообщение s_i_a.
А по итого, что, ставить модем в бридж и делить сервера? Или оставить прокси на DC?

У меня имеется сервак 2003 и керио. На серваке две сетёвки. Одна с реальным IP, другая с внутренним. Для того, чтобы прицепится к серваку, устанавливаю VPN - соединение, а затем при подключении с помощью mstsc, ввожу ip внутренней сетевки.

Если хош коннектицца напрямую без впн, добавь правило в трафик полиси

source ANY
destination firewall
servise RDP
action permit

source ANYВот про это я как-то говорил. Если знаешь свой домашний ип, то вбивай лучше его. Если он динамический - вбивай подсеть. Any опасно тем, что доступно любому.

Само по себе установка rdp сессии без vpn опасно для здоровья

Но, во-первых, насколько просто сломать контроллер AD, если даже доступа извне у меня не получается организовать?
Ты его организуешь.
Касаемо OpenBSD - думаю, что не имея никакого опыта работы с системой организовывать работу с инетом через ее не имеет никакого смысла
Согласен, я за него не агитирую. Но более параноидальной сисстемы в смысле безопасности нет. Да и этот вариант если есть старая ненужная машинка, а на второй сервер денег нет.
Сразу предупрежу следующее замечание - локально на машину пользователи тоже не могут зайти - учетки администратора в домене переименованы, пароля не знают, подбирать его - себе дороже.
Это самоутешение. Набери в гугле "дискета взлома пароля Windows XP" и посмотри результаты. Да и личные ноутбуки федеральными законами не запрещены.
А по итого, что, ставить модем в бридж и делить сервера?
ИМХО это идеал.
Если хош коннектицца напрямую без впн
Это смертельно для здоровья сети и кармана администратора.
Вот про это я как-то говорил. Если знаешь свой домашний ип, то вбивай лучше его.
Единственный вариант, если не хочешь морочиться с VPN.
Но лучше неделю потрать на настройку, поставь второй сервер и спи спокойно. Удачи!
P.S. Извини, что на "ты".

Ты его организуешь.
Спасибо за теплые слова. Впендюрил в сервер вторую сетевую, модем поставил в бридж. Включил службу маршрутизации на VPN. Вроде, домен работает, интернет раздается. Осталась еще одна проблема - стыковка внешнего IP с IP модема (и, соответственно, второй сетевой).
Внешний IP 81.25.96.97, IP модема 10.91.105.90 (выдумал, конечно :), а то, пердполагаю, шутников здесь много :cool: ). Как настроить все это хозяйство для доступа?

Попробовал. Ничего не получилось. Модем поставил в бридж, на сервере врубил маршрутизацию. Внутри все работает, даже к VPN по локалке подключился. В керио дал разрешения на РРТР и RDP. Снаружи бьюся об стену: создаю подключение к VPN на свой внешний IP (статичный) 81.25.96.97 - "Ошибка:678. Удаленный компьютер не отвечает". :shock:
Что я не так сделал? Помогите пожалуйста. :wow: :beer:

Включи в керио монитор заблокированных пакетов. Не знаю, как он там называется. Как включишь - сразу видно, ломишься ты или нет и какова вообще судьба твоих пакетов.

у меня была проблема следующего характера. Мой провайдер зарубил порт, который спользуется для впн. Испробовал в городе всех провайдеров. из-под 2-ух не коннектиЛОСЬ.

Я не настраивал Kerio с ADSL, но помоему тут я видел, как ребята делали
http://kerio-rus.ru
http://kerio-rus.ru/forum/

Как бы я сделал на твоем месте.
Можно в правила Kerio добавить ftp. Поднять на серваке ftp-шнечек какой-нить.
Отстроить Модем, чтоб при обращении на 21-й порт он перекидывал на ftp- сервак.
Попробывать извне приконнектицца на ftp.
Данная операция позволит выявить, все ли ты правильно делаешь впринципе.

Вроде, все правильно сделал, кроме керио. С выключенным - все нормуль, коннект есть. Включаю - не коннектит. Видно, что-то с правилами моими. Никто подобного не делал?

Видно, что-то с правилами моими
Попробуй поотключать по одному правила, проверь какое рубит конект.

Рубило последнее Any - Any - Deny.

Создал отдельное правило:
Source:ADSL (VPN с провайдером), Dial-in - Dest.: Firewall - Service: PPTP, RDP
Вроде, заработало.

Я ж говорил, все получится! Удачи! :)

Всем спасибо за участие, помощь и моральную поддержку. :)