系统:Windows XP SP3 Professional,Active Directory 的一部分
我们有义务在选定的工作站上使用 VPN 网络客户端 (CheckPoint),选定的用户拥有该 VPN 客户端的证书/密码。他们可以在没有任何提升权限的情况下以普通用户身份运行和连接到 VPN。
问题:我们这里有网络冲突。我们公司在 10.xzy 中使用两个网络,处理 VPN 的远程公司也是如此。
他们的路由非常非常自由,例如10.8.0.0/255.248.0.0,这也掩盖了我们的内部10.15.x.z网络。
提供 VPN 的公司不会或不能更改其客户创建的路由。因此,我尝试以至少与我们内部网络的连接仍然有效的方式删除路由。
但我什至无法像普通的非特权用户一样删除路由。我真的不知道如何解决这个问题。
我现在唯一的想法是:拥有一些软件,用户可以在连接到修改路由表的 VPN 后运行这些软件,这样内部网络路由就不会进入远程 VPN 网络。显然,该软件需要提升权限。我什至不知道如何让非特权域用户只能运行在此 PC 上提升的某个软件/脚本。或者如果这是个好主意......
感谢您的任何提示
我可能会做的是从某个物理端点(DMZ 中的防火墙)建立 VPN 隧道。
然后我会设置我的默认网关以更具体的方式路由流量,例如:10.8.0.0/24,通过 VPN 端点的 IP。
这将绕过添加到用户机器的路由。
我只看到四种解决方法,但没有明确的答案:
选项 4 是最容易设置的解决方法。如果您必须立即开始工作并且绝对没有空闲时间,那么这可能是值得的。我还认为这是最不优雅的解决方案,额外的硬件会花费金钱、电力和桌面空间。
如果您可以让 VPN 在 VM 内运行,则选项 3 很好。
选项 2:如果您已经有一个终端服务器并且人们不在他们的桌面上使用特定的本地软件,那么这可能很容易。不过,这假设很多。
选项 1。如果您设置了一个新网络,那么您可以尝试普通(公共)IP(并且没有 NAT)或 172.16/12 范围。出于某种原因,人们似乎很少使用它。值得一提的是未来的网络,它会起作用。但是改变现有网络所需的工作有点多。