系统:Windows XP SP3 Professional,Active Directory 的一部分
我们有义务在选定的工作站上使用 VPN 网络客户端 (CheckPoint),选定的用户拥有此 VPN 客户端的证书/密码。他们可以作为普通用户运行并连接到 VPN,而无需任何提升的权限。
问题:我们这里存在网络冲突。我们公司在 10.xzy 使用两个网络,处理 VPN 的远程公司也是如此。
他们的路线非常非常自由,例如10.8.0.0/255.248.0.0
也掩盖了我们的内部10.15.x.z
网络。
提供 VPN 的公司不会或不能更改其客户创建的路由。因此,我尝试删除这些路由,但至少我们的内部网络的连接仍然有效。
但是我甚至无法以普通非特权用户的身份删除路由。我真的不知道如何解决这个问题。
我现在唯一的想法是:让用户在连接到 VPN 后运行一些软件,这些软件会修改路由表,这样内部网络路由就不会进入远程 VPN 网络。显然,这个软件需要提升权限。我甚至不知道如何让非特权域用户只能运行这台电脑上提升权限的某个软件/脚本。或者这是否是一个好主意……
谢谢你的提示
答案1
我只看到四种解决方法,但没有明确的答案:
- 最明显但最不可能使用的方法是:更改内部网络上的 IP 范围。
- 通过终端服务器(不是 10.x)使用第二台主机执行正常网络任务。
- 通过虚拟机使用第二台主机(可能在虚拟机内运行 VPN 客户端)
- 通过额外的硬件使用第二台主机。最简单但需要更多硬件。
选项 4 是最容易设置的解决方法。如果您必须立即开始工作而没有时间浪费,那么这可能是值得的。我还认为这是最不优雅的解决方案,额外的硬件会花费金钱、电力和桌面空间。
如果您可以让 VPN 在 VM 内运行,则选项 3 很不错。
选项 2:如果您已经拥有终端服务器,并且人们不在桌面上使用特定的本地软件,那么这可能很容易。不过这需要做很多假设。
选项 1。如果您要设置新网络,那么您可以尝试使用普通(公共)IP(无 NAT)或 172.16/12 范围。出于某种原因,人们似乎很少使用它。值得一提的是,对于未来的网络,它会起作用。但更改现有网络所需的工作有点多。
答案2
我可能会做的是从某个物理端点(DMZ 中的防火墙)建立 VPN 隧道。
然后,我将设置我的默认网关以更具体的方式路由流量,例如:10.8.0.0/24,通过 VPN 端点的 IP。
这样就可以绕过添加到用户机器的路由。