Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7

Открыть новую тему     Написать ответ в эту тему

Guest

BANNED
Редактировать | Цитировать | Сообщить модератору
VPN

 
Собираем полезные линки, преимущественно на русском.
 
Настройка VPN под Windows 9x, 2000, XP  
Настройка VPN под Windows XP  
Настройка VPN под Windows 9x  
http://compnetworking.about.com/cs/vpn/  
http://www.corecom.com/html/vpn.html
http://www.iec.org/online/tutorials/vpn/
VPN и спутники
VPN соединение для Vista пошагово с картинками  
VPN соединение для XP пошагово с картинками  
Настройка VPN (PPPoE) для Windows Vista  
Конфигурация VPN в Windows 2000 (Соединяя Офисы)
Как создать VPN на базе протокола L2TP  
Сравнение характеристик существующих Open Source VPN решений для Linux
VPN соединение "подвисает", приходится переподключаться. Попробуйте изменить значение MTU на клиенте.  
 
VPN и IPSec на пальцах
Технологии используемые в IPSEC (ipsec vpn tunnel cisco)
 
Темы на форуме
VPN под Linux
 
Если при создании VPN соединения у вас "вдруг" перестает работать интернет, надо найти настройки VPN соединения в них настройки TCP-IP там кнопку advanced и сбросить галку "использовать основной шлюз в удаленной сети".

Отправлено: 09:11 29-03-2002 | Исправлено: Xant1k, 14:57 09-07-2020
L0Ve



s@nya.moder
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Для начала как можно подробнее описать ситуацию, а то может ты VPN подымал, когда дилап с двух сторон?...

----------
In God we trust. Everyone else we are verifying with PGP.

Всего записей: 1365 | Зарегистр. 28-07-2001 | Отправлено: 09:56 29-03-2002
Trex



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Guest
У тебя наверно соединение не по кабелю, а по антене ?

Всего записей: 6302 | Зарегистр. 03-09-2001 | Отправлено: 20:23 29-03-2002
sattan



taNo
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
зависимость числа VPN-клиентов от мощности прцессора сервера.
 
то есть - сколько памяти и какой проц нужен, если клиентов около 200 или чуть больше ?

----------
к дракону надо приходить с подарками

Всего записей: 5223 | Зарегистр. 24-07-2001 | Отправлено: 09:05 21-06-2002
A Crow



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тема по VPN - правильно!!!
Для ответа на вопрос топика действительно нужно
 
Цитата:
Для начала как можно подробнее описать ситуацию

А теперь и свой вопрос:
 аутентификация в L2TP соединениях, видели или нет? А то чегото не пашет
Если кто делал-раскажите, КАК!!!
Надеюсь и упаваю...

Всего записей: 104 | Зарегистр. 29-05-2002 | Отправлено: 13:24 24-06-2002 | Исправлено: A Crow, 13:25 24-06-2002
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А у меня на компе web сервер становится недоступен при VPN подключении!

----------
-= Я тут чертовски давно =-

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 13:41 24-06-2002
Educator



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 UncoNNecteD
Это что у тебя за VPN такой? И как ты его настроил??

Всего записей: 38 | Зарегистр. 25-03-2002 | Отправлено: 09:46 25-06-2002
aevo



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
В одном из топиков здесь уже обсуждалась ситуация, когда из-за L2TP соединения сервер становится "невидимым" для внутренней сетки. Так вот, пытаться настраивать свой сервер в этом случае - дело бесполезное. Особенно это касается NAT.
Когда в VPN стоит PPTP, сделать еще что-то можно, но тут уже начинается геморрой с роутерами, прокси-серверами и файрволлами, которые нужно настраивать под каждый конкретный случай.
L2TP - вообще дело особенное, потому что специально создано для соединения типа Workstation - Server, где Server - это VPN-server c раздачей протоколов (L2TP или PPTP). Вывод: если очень нужно подключить сетку, то прежде всего надо переводить L2TP на PPTP соединение. И уже от этого танцевать... А танцевать, понятно, придется с провайдером - хозяином VPN сервера.

Всего записей: 118 | Зарегистр. 15-09-2001 | Отправлено: 11:12 25-06-2002
UncoNNecteD



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
aevo а ну его


----------
-= Я тут чертовски давно =-





Строгое замечание за накрутку счетчика постов. lynx.

Всего записей: 4040 | Зарегистр. 21-03-2002 | Отправлено: 19:47 25-06-2002 | Исправлено: lynx, 01:51 27-11-2002
aevo



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
UncoNNecteD
И то верно...

Всего записей: 118 | Зарегистр. 15-09-2001 | Отправлено: 21:41 25-06-2002
werwolf



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Если можно ссылки по VPN  в студию

Всего записей: 14 | Зарегистр. 27-06-2002 | Отправлено: 22:52 27-06-2002
aevo



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
werwolf
Неплохое описалово здесь:
@http://
 
Сорри, там речь идет о конкретном железе, не хочу, чтобы выглядело как реклама. Позже дам ещё ссылки.

Всего записей: 118 | Зарегистр. 15-09-2001 | Отправлено: 13:48 28-06-2002 | Исправлено: aevo, 13:58 28-06-2002
aevo



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
http://compnetworking.about.com/cs/vpn/
http://www.corecom.com/html/vpn.html (тут же есть и FAQ)
http://www.iec.org/online/tutorials/vpn/

Всего записей: 118 | Зарегистр. 15-09-2001 | Отправлено: 10:41 29-06-2002
life_so_good



Оптимист
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите такую фичу ... есть удалённая точка ... и есть brand office ... в сети бренд офиса сервер эксча , требуется дабы удалённая тока соединялась с эксчем. Траблы следующие: в бренд офис роутинг анд ремут ацесс сервер настроен; в удалённой точке (winnt 4.0) настроен RAS по PPТP протоколу напрямую через inet комне в офис.
Попадаю в сеть бренд офиса пингую всё что угодно но при подключении к эксчу вываливаюсь в ошибку - дескать не удаётся сопоставить имя с имеющимся списком имён ...
 
Добавлено
aevo - а проблема с нат решается мапингом портов

Всего записей: 1293 | Зарегистр. 30-04-2002 | Отправлено: 07:47 14-08-2002
unostar



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу VPN и спутников - посмотрите, пожалуйста, топик:
http://www.winfaq.com.ru:8101/ubb/Forum3/HTML/003876.html

Всего записей: 73 | Зарегистр. 14-03-2002 | Отправлено: 14:23 14-08-2002
Romeooo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто нибудь знает как настроить VPN соединение для XP, или где можно найти инфо об этом.

Всего записей: 7 | Зарегистр. 22-11-2002 | Отправлено: 18:01 27-11-2002
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Romeooo
 

Цитата:
VPN соединение для XP, или где можно найти инфо об этом.

 
http://www.su29.ru/support/vpnxp/
http://www.di-net.ru/posetup_vpn_xp.php
^^Пошагово с картинками.
 
И еще на закуску:
http://www.urbannet.ru/vpn1.ru.html

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 18:48 27-11-2002
Romeooo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lynx
Спасибо за ссылки, только там указано как настраивать VPN клиента через провайдера, а мне надо напрямую соединить два компьютера, с клиентом нет проблем, а как настроить VPN сервер. Если это вообще возможно я в этом полный чайник.

Всего записей: 7 | Зарегистр. 22-11-2002 | Отправлено: 16:37 28-11-2002
Crash Master



Windows Master
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Romeooo
А на "сервере" стоит сервер?

----------
Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал...

Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 23:24 28-11-2002
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Romeooo
 

Цитата:
мне надо напрямую соединить два компьютера

 
Тогда затем тебе VPN? Какая у тебя цель? Где расположены компы, что между ними (как они связаны) и с какой целью их надо соединенить?
 

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 01:00 29-11-2002
Romeooo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lynx
Есть один компьютер подключённый к интернету со статическим IP(соединение DSL), на нём работает программа следящая за промышленной автоматикой, и есть другой компьютер тоже с ADSL но адрес динамический, и на нём нужно запустить такую же программу которая будет использовать данные(текущие: температура, давления) из программы удалённого компа.
 
 
Добавлено
Crash Master
А как его ставить? Там обычный комп с  Windows XP.

Всего записей: 7 | Зарегистр. 22-11-2002 | Отправлено: 10:34 29-11-2002
UkoL



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мне надо настроить VPN-server под W2000Prof. В "Сеть и удалённый доступ" создал "принимать входящие подключения" , потом в Актив директори созда л юзера и диапазон динамических йп, но ко мне всё равно немогут подконнектить.  
 Мож кто нить знает как настроить впн-сервер?

Всего записей: 3 | Зарегистр. 08-01-2003 | Отправлено: 11:12 09-01-2003
Crash Master



Windows Master
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
UkoL

Цитата:
Мне надо настроить VPN-server под W2000Prof

В 2000 Pro нет VPN сервера.

----------
Народная примета: Если сисадмин в 08.00 утpа на pаботе, значит он там ночевал...

Всего записей: 4900 | Зарегистр. 15-12-2001 | Отправлено: 04:36 11-01-2003
hunalex



Тот Еще Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
кто нибудь ставил под цинвином линуховые VPNы?
У меня ничего не получается, ставил tinc, vtun, openvpn, l2tp - все или не компилится или потом не раьотает
 
хотелось бы услышать если кто имеет удачлмыую историю

Всего записей: 290 | Зарегистр. 05-01-2002 | Отправлено: 20:36 10-03-2003
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PPTP по сравнению с L2TP менее секьюрный да и проблем с NAT у него больше.
короче пользуйте L2TP.
Под виндоз кроме родного vpn client (by cisco) я пользовал SSH sentinel & pgp vpn
все прекрасно работало с freeswan .BTW на www.freeswan.org класный Maillist & Archives где можно получить ответы практически на все вопросы.

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 23:15 10-03-2003 | Исправлено: kroka, 23:16 10-03-2003
retro



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Просмотрел другие темы, эта более подходящая...
Требуется соединить две рабочие группы, в каждой из которых есть по одной 2000 Pro.
ADSL (USB) на обоих концах, IP динамический. Возможно ли вообще:  
1) организовать общий доступ в инет по USB;
2) постоянную связь без статического IP;
3) если возможно, то хватит ли самой винды;
4) что нужно, если не хватит...
Спасибо.

Всего записей: 1741 | Зарегистр. 22-06-2002 | Отправлено: 19:34 17-03-2003
hunalex



Тот Еще Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kroka
Предложенный вариант не подходит
Вопервых не клиент а сервер должен работать на винде - ето главная проблема и поетому хочется цигвин, во вторых поскольку выяснилось что фрисван не запускается под цигвином, то он получается вообще ни при чем (в ситуации когда все на виндах), и его архивы бесполезны по той причине что они относятся к проге которую использовать нельзя
 
Добавлено
retro
1 - можно, но слишком муторно, зачем по USB когда они уже в группах, значит сетка есть
если aDSL модем на USB тогда надо комп к которому он подключен назначать гейтвеем и через него пускать трафик всех отсальных (например Winroute), хотя чаще народ просто звонит провайдеру и меняет на обычный модем
2 - можно через www.dyndns.org - IP будет меняться а имя хоста нет, нужно только на каком то компе держать запущенным апдейтер
3 - должно хватать, но если есть возможность на входе лучше поставить *nix систему, тут уж у кого какие предпочтения, я лично везде ставлю BSD но навязывать ето не буду

Всего записей: 290 | Зарегистр. 05-01-2002 | Отправлено: 11:11 18-03-2003
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
hunalex
Ты определись чего тебе нужно то?
Client to Client or Client to Site or Site to Site
Если ты подключаешь server to server (например W2k to W2k) то пытаться ставить на сервера левые программы я считаю верхом глупости,кстати ета схема называется client to client and vpn transport mode считается самым простым и реализуется штатными средствами операционной системы. Если тебе не нравится ipsec W2k поставь другой client (например sentinel).Если тебе нужно обьединить 2 и более сетей по vpn то ставь VPN Gateway (FreeSwan,Cisco,Checkpoint,etc) с двух сторон и радуйся жизни.Желательно с обоих сторон ставить одинаковые системы так как может возникнуть проблема interoperability ipsec/ike реализаций.  

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 13:17 18-03-2003 | Исправлено: kroka, 13:26 18-03-2003
hunalex



Тот Еще Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kroka
Вот спасибо за детальный ответ, я может и не в курсе был таких деталей, так что определяться сложно
Прикинул свою схему и понял что мне надо Gateway - Client, типа вся рабочая сетка и отдельные удаленные компы к ней подсоединяются
 
Теперь насчет Gateway - FreeSwan (также как PopTop и Vtune) не подходят - они линуксовые а на цигвине компилятся не хотят (может потом будут но на 28ое марта 2003 года портов нет).
Ни один из трех клиентов кому ето надо от меня сегодня, мне не даст поставить еще одну машину с юниксом, так что полноправная nix cреда отпадает
Cisco и Checkpoint не подходят потому как дорогие (а пиратского нам низзя)
 
 
Я за последний месяц попробовал много вариантов, пока остановился на Wingate VPN - цена подходящая, сервер стольник и клиент  80, ето терпимо
про****лись с ним конечно пару недель пока он запустился как надо, но уже вот и неделю как работает без перебоев
 
Все равно остался открытым вопрос - сделал ли кто-то компиляцию какого либо линуксового сервера под цигвином, просто было бы интересно такое повторить
 
Я сам максимально продвинулся с PopTopoм, он у меня до компилился до екзешника, который даже запускается и даже принимает коннект но не пускает дальше проверки пароля
 
А насчет того, какая шифрация лучше или PPTP против L2TP, мне пока все равно, любая шифровка подойдет, можно и без, я все равно TCP часть могу пустить по SSH тунелю а GRE часть пусть читают

Всего записей: 290 | Зарегистр. 05-01-2002 | Отправлено: 09:10 29-03-2003
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может быть тут поможет кто - вопрос задавался пару недель назад в другой теме, но безрезультатно...
 
Есть одна проблема, с которой неделю не могу справиться - есть рабочий ISA Server. Необходимо настроить ИСХОДЯЩЕЕ VPN соединение с него на внешний VPN сервер у меня дома. Хочу терминалиться на домашний сервер и (если возможно) иметь доступ к ресурсам той локалки. Проблема в том, что дома политикой запрещены внешние терминальные подсоединения и соединения к выдаваемому VPN сервером ай-пи, а разрешено коннектиться только на внутренний IP адрес (его типа еще знать надо  )  
Так вот... Когда у меня сервисы ISA остановлены, все коннектится и работает.  
Когда же они запущены, коннектится, пинги на VPN интерфейс сервера и внешний интерфейс идут, на внутренний идут если пропишу route, но терминалиься или зайти по \\имя не дает. (пробую на внутренний интерфейс, где разрешено)  
 
Подробнее о конфигурации:  
ISA Server: два интерфейса - один внутренний 10.1.х.х, внешний 192.168.254.х NATится циской (permit all *) - ограничений нет. Установлены ISA + SP1 + FR1 + RRAS (только RIP v2 - внутри много подсетей, - чтобы не прописывать самому роутинг)  
Если я останавливаю все сервисы и запускаю все уже без RRAS, - ничего не меняется (кроме таблиц роутинга) - значит дело не в нем. Если же остановить сервис брандмауэра то все работает.  
 
Домашний комп:  
Внешний интерфейс - нормальный инетный адрес - без всяких там ограничений от провайдера. На нем сконфигурен VPN сервер.  
Внутренний адрес 192.168.0.1 - за ним домашняя локалка. Только на этот интерфейс разрешены терминальные и \\ подключения.  
VPN себе берет 192.168.0.101 и дает клиенту 192.168.0.[102-110]  
 
В общем VPN соединение устанавливается всегда. Но если ISA сервисы запущены, то до 192.168.0.х идут только пинги, терминал не проходит. Если же ISA остановить, то все начинает работать. IP routing и PPTP галки в ISA включены (VPN удается открыть даже с клиента за ISA сервром, но опять без терминала).  
 
Жду любых предложений. (не надо тоько пересылать в тему по ISA - там глухо)

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 10:15 30-03-2003
Strange



тутошние мы
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть у товарища проблема:
 
Сервак под Win2000Advanced Server. Две сетёвки. Одна - с адресом 172.17.*.* - получает инет по VPN. + доступ к большой локалке.
Вторая - 192.168.*.* раздаёт сеть по конторе. товарищу хочется, чтоб люди из нутре (192.168) могли ходить и в ВПН и в локаль (172.17). При виндовом расшаривании ВПН соединения есть инет и (после шаманства с рутингом) локалка, то локалка через ВПН - считаются денежки. Методом проб и ошибок сделали так: расшариваем подключение к 172.17 - локалка появляется. Потом через Kerio WinRoute шарим VPN - инет появляется. но инет срубается раз в сутки минимум, к тому же локалка работает нестабильно да и вообще такая конструкция должна быть очень неустойчивой... Временное решение - шарим локалку и подымаем прокси.  
 
Кто может что посоветовать?

----------
В вашу pедакцию pазные кpетины пишут всякую чушь. Вот и я тоже pешил.
--
Ежели на форуме не будет ни одного матерного слова, то мое мнение так и останется невыраженным

Всего записей: 2113 | Зарегистр. 07-02-2002 | Отправлено: 13:37 03-04-2003
shiko3000



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите как проще(и безопаснее) настроить VPN:
Исходные данные:
есть две локальные сети соединенные с и нтернетом через w2kSrv+WinRoute5.0.2
нужно соеденить их между собой используя VPN
попробовал настроить Windows2000Server как VPN - интернет на локалке вообще исчез
Такое чувство, что Windows2000Server  можно настроить либо как сервер VPN, либо как маршрутизатор с NAT для раздачи интернета по локальной сети...
А мне нужно два в одном (у меня нет двух компьютеров под сервера)
Буду рад любой помощи
 
Порылся по нету и нашел такую статейку, может еще кому пригодиться  
http://osp.admin.tomsk.ru/win2000/worknt/630.htm

Всего записей: 119 | Зарегистр. 18-06-2002 | Отправлено: 16:02 29-04-2003 | Исправлено: shiko3000, 18:39 29-04-2003
Borgia



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kibkalo  
..Жду любых предложений. (не надо тоько пересылать в тему по ISA - там глухо),,  
одно не самое умное но первое что пришло в голову.
Может в исе надо открыть порты для терминала для самого сервера с исой?  
 
То алл --------   есть  ли желающие попрактиковаться сделать соединение VPN между двумя сетями . (так сказать в обще образовательных целях ) к сожалению на работе не могу  ( Дома не большая сетка с домеином и иса сервером  поэтому только вечером или в пятницу и суботу.

Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 18:06 29-04-2003
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Borgia попробую, спасибо за идею.
Насчет обычного VPN - я из дома недавно настроил на сервер под 2к3 на работе. Интересно они изменили модель стоимости  интерфейса... где бы почитать это

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 13:53 18-05-2003
Borgia



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kibkalo
VPN через RAS сервер. без ИСЫ  если я не ошибаюсь для работы через интернет нужен выделенный ИП(постоянный) или нет.  тот же вопрос по отношению к NAT.  
 

Цитата:
Интересно они изменили модель стоимости  интерфейса...  
Не очень понял обьясни чуть подробнее . (день тяжелый был)  
РS У Взора вроде пробегалла уже книга сервер 2003 Марк Миннаси (я не успел скачать) может там что подцепиш.

Всего записей: 545 | Зарегистр. 25-08-2001 | Отправлено: 16:33 19-05-2003
counter



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги, никому не приходилось иметь дело с такой железякой, как Planet VRT-401?
VPN работает, но хочу оптимизировать

Всего записей: 63 | Зарегистр. 29-04-2003 | Отправлено: 12:37 06-06-2003
hunalex



Тот Еще Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Borgia
 

Цитата:
для работы через интернет нужен выделенный ИП(постоянный) или нет

 
 
Для работы уже давно никому не нужен постоянный ИП. Спасибо товарищам из dyndns.org - любая машина с динамическим адресом может иметь постоянное доменное имя, хоть с модема работай, а когда офф-лайн - будет маршрутизировать на оффлайн страницу
Стоит ли говорить, что базовый сервис бесплатен, а за 10 баков дается пожизненный (а не подписка) апгрейд на коммерческие сервисы
 
для ВПН можно ввести два домена для обоих точек входа, или в простом варианте - одмн на сервер

Всего записей: 290 | Зарегистр. 05-01-2002 | Отправлено: 04:55 09-06-2003
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, два вопроса во VPN (Ms RRAS)
1) У нас большая сеть из многих подсетей. Проблема есть с тем, что одна старая сетка использует не фейковые ай-пишники (то есть они фейковые, но не правильные ) типа 128.0.0.0 (иименно 128) при этом при VPN соединении на нормальный комп с внутренним фейковым ай-пи из 10.1.0.0 все 10.х видны нормально, а сети 128.х и 192.х нет. Каждый раз прописывать у себя route add уже надоело. Подскажите, как клиенту давать маршрут?
 
2) Аутентификация VPN на основе сертификатов - где почитать? Есть сервер сертификатов (внутренний Enterprise Root)  и могу выдать кому угодно любой сертификат. Кому их надо давать VPN сервру или клиенту (или юзеру) и куда эти сертификаты засунуть чтобы EAP их увидел.

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 19:00 28-06-2003
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kibkalo
 

Цитата:
Аутентификация VPN на основе сертификатов - где почитать?  

 
В основном про это пишут производители соотвествующего софта (технологий), например:
http://www.etoken.com.ua/nws.html
http://www.jetinfo.ru/2001/7/1/article1.7.200156.html

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 23:22 29-06-2003
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lynx - мне совсем неохота чужие технологии в домен вводить - мелкомягких сертификатов было бы более чем достаточно!

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 08:24 30-06-2003
Sh4de



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
объясните пожалуйста как создать ВПН серв (ВИН-ХР)... и как потом другие юзеры смогут использовать инет, стоящий на этом серве?

Всего записей: 4 | Зарегистр. 30-06-2003 | Отправлено: 20:42 30-06-2003
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sh4de
 

Цитата:
 как создать ВПН серв (ВИН-ХР)

 
В первом посте для кого ссылки даны?
 

Цитата:
 как потом другие юзеры смогут использовать инет, стоящий на этом серве?  

 
Рекомендую ознакомиться:
 
Обзор (карта) форума "В помощь системному администратору"
 
Подключиться из дома к локальной сети на работе
Подключиться к Интернет из дома через компьютер на работе
Соединить через Интернет две разные локальные сети
Соединение компьютеров через модем
 
 

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 22:21 30-06-2003
Sh4de



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да я уже создал теперь другая проблемка: не работает инет через это соединение =(

Всего записей: 4 | Зарегистр. 30-06-2003 | Отправлено: 19:27 02-07-2003
Child



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа и дамы, я изучил все ссылки данные вами, но НЕ нашел там, как конфигурить сервак впн под 2000 адвансед сервер. Может подскажете? А то только как на клиентской машине делать да как два сервака соединить. Мне надо соединение удаленная ОДНА тачка и сервачок. Киньте урл на док. зараннее спсб.

Всего записей: 1349 | Зарегистр. 25-04-2003 | Отправлено: 17:00 08-07-2003
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Child
 
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000serv/deploy/confeat/vpnsol.asp
 
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/deploy/confeat/RmoteVPN.asp
 
я думаЮ этого будет достаточно....
 
-----------
good luck & good frag's

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 14:54 09-07-2003
Child



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Lamerok 10x bolshoe

Всего записей: 1349 | Зарегистр. 25-04-2003 | Отправлено: 18:19 09-07-2003
nordeep



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может кто подскажет решение!
Цель: VPN server to server (или это правельно не VPN называется а tunnel ? security конечно)
С одной стороны adsl с динамическим ip ос windsow 98(это шлюз в инет, да да это именно так на нем winroute прикручен)
С другой немного посложней FreeBSD статический ip. Ipsec server хочет организовать в локальной сети тоесть за freebsd'ным nat'ом.
Вопрос: возможно ли ? я конечно интуитивно догадываюсь что все это не правильно но все же, может есть асы кто предложит конфигурацию?

Всего записей: 27 | Зарегистр. 29-05-2003 | Отправлено: 11:03 10-07-2003
AleksST

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 у мееня есть такая проблема  надо настроить  пргогу PoPTop
на люнексе это шлюз мне надо на нем организовать vpn для внетренней локалки  
но что то не идет машина на 2000 не хочет конектися  говорит что модем трубку не берет  
 что делать настроики  прописал вроде все правильно  

Всего записей: 3 | Зарегистр. 02-08-2003 | Отправлено: 22:44 05-08-2003
vrough

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Тут несколько раз проскакивало VPN и NAT но как-то вскользь. А у меня как раз такой случай. Локальная сетка находиться за натом (Cisco 2611). Ну и ВПН у меня не работает. Есть ли какие-то особенности конфигурирования впн за натом?

Всего записей: 319 | Зарегистр. 08-02-2002 | Отправлено: 12:22 06-08-2003
Excell



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2all
Можно ли подключиться к машине (на ее локалхост) через иНет с помощью тунелля?

----------
Построю лабиринт, в котором смогу затеряться с тем, кто захочет меня найти... Кто это сказал и о чем?

Всего записей: 1554 | Зарегистр. 31-08-2002 | Отправлено: 07:13 15-08-2003
Bublick

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Какое-то разобщенное обсуждение VPN.
Я когда поднимал его, то вычитал, что L2TP/Ipsec через NAT не ходит, а PPTP влегкую.
Плюс в первом варианте надо сертификаты раздавать. Вобщем если не нужная строгая безопасность, то городить огород с L2TP не стоит. Первый встречный и PPTP не сломает.

Всего записей: 72 | Зарегистр. 14-02-2003 | Отправлено: 11:36 20-08-2003 | Исправлено: Bublick, 11:39 20-08-2003
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Excell
ssh port forwarding?
Bublick
Все ходит через NAT только для каждого протокола есть своя специфика.
Ipsec через hide NAT не ходит, тут поможет только static NAT.
У pptp есть тоже определенные проблемы во многом это завит от конкретного фаервола
т.е у одного достаточно открыть  tcp/1723 + gre(при условии что только один клиент хочет подключиться из нутри), в других случаях поможет только static NAT для каждого клиента.
У L2TP проблем меньше так как он пользует UDP encapsulation, но опять все нужно рассматривать для каждого случая конкретно.

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 12:12 20-08-2003
Bublick

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kroka
Я выпускал клиентов из-под Winroute 4, там действительно открываешь порт и gre. Но клиентов несколько одновременно ходило.

Всего записей: 72 | Зарегистр. 14-02-2003 | Отправлено: 13:15 20-08-2003
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bublick
Все может быть

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 16:48 20-08-2003
FuzzyLogic



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Фигню напсал, прошу не волноваться, всё убрал...

Всего записей: 1920 | Зарегистр. 27-07-2002 | Отправлено: 19:41 25-08-2003 | Исправлено: FuzzyLogic, 22:37 25-08-2003
Others



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А вот у меня другая проблема - юзеры по впн коннектятся к серверу, но входные скрипты не выполняются и шары не видны?
Вроде, все облазил, ответа не нашел....

Всего записей: 394 | Зарегистр. 28-06-2002 | Отправлено: 15:58 21-10-2003
ktototam

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Посоветуйте софт для VPN, хочется чотбы он использовал TCP или UDP, а то GRE некоторые провайдеры фильтруют, и работал через NAT. Пока кроме SSH + port forwarding ничего не нашел

Всего записей: 48 | Зарегистр. 07-04-2003 | Отправлено: 14:27 22-10-2003
alexf72

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот нашел инструкции в картинках по настройке VPN во всех версиях виндов:
http://www.zencom.ru/internet/client/

Всего записей: 449 | Зарегистр. 07-08-2002 | Отправлено: 09:26 23-10-2003
Others



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexf72 и другие товарищи!
 
настройка клиентской части VPN тривиальна и вопросов не вызывает.
Основная масса вопросов - при настройке сервера VPN, а таких толковых док мало...

Всего записей: 394 | Зарегистр. 28-06-2002 | Отправлено: 09:58 23-10-2003
jokerv



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
All
надо подключить сервер винд 2003 через VPN-1 Securemote (Checkpoint) для NG FP3.
client официально не поддерживает 2003 - дает ошибку о users.C
 
может кто либо решил эту проблему?
 

Всего записей: 163 | Зарегистр. 22-11-2002 | Отправлено: 19:55 07-11-2003
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Others
Вот нашел неплохое описание, к тому же на русском, может кому пригодиться.
Описано как соеденить два офиса.
Конфигурация VPN в Windows 2000

Всего записей: 563 | Зарегистр. 11-03-2003 | Отправлено: 13:00 28-11-2003
MindKeeper



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Раз уж я встретил такую тему, то хотел бы задать вопрос:
У меня инет через LAN/VPN
Как настроить такое подключение в SuSE Linux 9 ?

Всего записей: 224 | Зарегистр. 04-11-2003 | Отправлено: 11:50 30-11-2003
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MindKeeper

Цитата:
 
Ethernet-интерфейс настраивается через dhclient.
man dhclient
2. Настроить pppd
В /etc/ppp соответственно отредактировать options
lock
+pap
noauth
defaultroute
и отредактировать pap-secrets.
Ниже его содержание у меня
# Secrets for authentication using PAP
# client server secret IP addresses
мой_логин * мой_пароль
Теперь ставим pptp-клиент, скажем,
pptp-linux-1.1.0.tar.gz
http://pptpclient.sourceforge.net
Остается прописать в /sbin/init.d/
(или где у Вас инит-скрипты лежат)
скрипт вида
#! /bin/sh
echo "Firing up *** D K H O M E ***"
/sbin/route del default
/usr/local/sbin/pptp 192.168.0.1 name мой_логин
 
Можно проверить, жив ли интерфейс:
ifconfig  
Должно присутствовать ppp0
 

У меня другой вопрос. В сети где я работаю(vpn) нет сервера dns(для внутренней сети), все основано на реальных IP. Есть ли возможно нормально работать с сетевым окружением. Как нормально работать с ресурсами этой сети? Через сканер?

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 10:06 02-12-2003
Mavn



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
у меня такая проблемка есть два компьютера два модема, телефонная линия нет инета как соединить при помощи каких сервисов эти два компа?? помогите советом  

Всего записей: 97 | Зарегистр. 01-09-2003 | Отправлено: 20:43 16-01-2004
lynx



Advanced lynx
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavn
 
Обзор (карта) форума "В помощь системному администратору" »
Соединение компьютеров через модем

Всего записей: 11712 | Зарегистр. 08-05-2001 | Отправлено: 09:43 17-01-2004
mo3g



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kroka вапрос: имеет ли смысл ставить vpn при такой задаче:
[internet]<->[Cisco PIX]<->[proxy]<->[LAN]
 
Вообще задача простая надо организовать доступ к инету через Cisco PIX
У Циски вроде-бы все настроено а прокся ее видеть в упор отказывется...

Всего записей: 69 | Зарегистр. 21-11-2002 | Отправлено: 22:34 17-01-2004
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mo3g
А зачем при таком раскладе VPN ??????
Тебе защиты мало? В чем вопрос то? При чем тут VPN если проблема в том , что прокси не хочет переводить пакеты через cisco?  Это скорее по настройке cisco и прокси вопрос.

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 22:56 17-01-2004
mo3g



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
mmt Вот и я спрашиваю, чтоб через VPN всех гнать, с другой стороны а оно мне надо? в принципе нет..., но всет таки интерестно может где я недопетрил...  смысл такой что мне надо пустить весь траффик через циску а как? - я не понимаю... я вообще с цисками о-о-о-о-о-о-о-очень не знаком "чайник'с" как бы это правильно реализовать? прокся: usergate

Всего записей: 69 | Зарегистр. 21-11-2002 | Отправлено: 10:35 18-01-2004
kroka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
т.е. юзера по VPN  к Pixу и дальше в инет?Это параноя )  ( не доверять Lan )
а прокся тогда каким местом? юзера всё равно её не увидят.

Всего записей: 81 | Зарегистр. 19-10-2002 | Отправлено: 19:53 20-01-2004
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mo3g
на проксе прописываешь правила и делаешь стандартный выход на cisco, обычно она ставится на 10.20.*.254 - последний алрес твоей местной сетки. Default Getaway называется и все нормально работает, если нормально прокси настроишь. Cisco у тебя настроена?

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 09:49 21-01-2004
kempston



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А может кто нибудь внятно разяснить чайнику, почему нельзя поднять VPN клиент за произвольным NAT роутером, что там за GRE пакеты такие привередливые и какие есть альтернативные решения (крайней желаьтельно под винду). Смысл в том, что хочется конектится на тачки у которых айпи нету, а там ни роутер не пощупать ни линукс не поставить.
 
Добавлено
Примечателен тот факт, что при помощи WinGate поднять VPN удается даже изза NAT, только или он глючит безбожно, или я настраивать не умею, но работает он у меня только в локалке и только при наличии на сервере интернета.

Всего записей: 124 | Зарегистр. 11-02-2003 | Отправлено: 20:12 26-01-2004 | Исправлено: kempston, 20:20 26-01-2004
GhostOld



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А ктонибудь подключал радио сеть через VPN ?

----------
Отсутствующие всегда виноваты...
(Бенджамин Франклин)

Всего записей: 506 | Зарегистр. 06-03-2003 | Отправлено: 11:00 28-01-2004
HHMX

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите пожалуйста, хочу сделать сеть со следующей структурой на W'2003 Server, без аппаратных маршрутизаторов и firewall'ов (программные).
Прочитал много всего и в конец запутался, может быть подскажите более-менее детально алгоритм настройки!
Соединение локалок с Inet'ом постоянное.
 
LAN1 (192.168.1.0)--->(192.168.1.1)VPNсервер(192.168.1.2)--->(192.168.1.3)Firewall(171.1.100.101)--->Интернет--->(171.1.100.102)Firewall+VPN сервер/одна PC/(192.168.2.1)--->LAN2(192.168.2.0)
 
Заранее благодарен.

Всего записей: 21 | Зарегистр. 14-04-2003 | Отправлено: 11:35 03-02-2004
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HHMX

Цитата:
без аппаратных маршрутизаторов  

 То есть вообще? Или ты имеешь ввиду cisco?
Ставишь сервер, настраиваешь, поднимаешь DHCP, поднимаешь роутер + фаервол, настраиваешь на выход. Поднимаешь сервер VPN.
 Как детально то? Насколько детально?  
 Если подробная инструкция нужна, так я писать замучаюсь

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 12:14 03-02-2004
HHMX

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mmt
Именно вообще!
 
Чуть-чуть детальнее ...
Да и еще не DHCP, а пул адресов.
Вообще-то интересует, только один вопрос, как сделать отдельную машину с firewall'ом
"прозрачной"? Т.е. как настраивать тогда VPN, и машину со стеной... Как прописать IP'шники, кому какой?

Всего записей: 21 | Зарегистр. 14-04-2003 | Отправлено: 07:55 04-02-2004
kempston



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А пользовался кто нибудь omniVPN ?

Всего записей: 124 | Зарегистр. 11-02-2003 | Отправлено: 16:01 07-02-2004
Denisoftus



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Доброе утро, народ!
искал везде, нигде найти не могу, может вы подскажете.
На Win 2000 поднят VPN с провайдером (считать им, видители, так удобнее).  VPN поднимается на сетевом интерфейсе (радиоэзернет).  
Вроде бы все ничего - работает, но в случае отключения интерфейса провайдером (частенько случается) он не прересоеденияется. А ктроме того после загрузки ПК не стартует автоматом, а заним (не видя DNS)  не стартует и SQUID. Вообщем из - за этого постоянно приходится бегать к серверу и ручками все поднимать.  
Звонилки типа eDialer, пробывал, не помогают, не запускают VPN
 

Всего записей: 68 | Зарегистр. 25-11-2003 | Отправлено: 11:14 09-02-2004 | Исправлено: Denisoftus, 13:01 09-02-2004
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
HHMX
 Обрисуй четко - что тебе надо? Ты задаешь слишком общие вопросы, ответить я тебе могу могу в том же духе, НО ты ждешь точных ответов....
 Примерно так - поднят сервер с системой, неполучается тото подскажи как .....Denisoftus
Ты смотрел в сервисах, что именно там стартует и с какими параметрами. Смотрел event log , что пишет не стартовавший VPN ? Отпиши.

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 09:50 10-02-2004
Denisoftus



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Попробую подробнее.
Начну по одному вопросу.
1. Есть сетевой интерфейс (радиоезернет подключен через езернет-переходник), он соединяется как и должен автоматом при запуске системы.
2. Squid, очередность которого при загрузке после интерфесов, не видя DNS, так как VPN еще не стартовал и нет direct connect до DNS-сервера, грязно выругавшись не стартует.
3. VPN нужно запускать руками после того как система загрузилась, так как я нигде не нашел как его запускать автоматом (савтил ярлык на негов а автозагрузку - никакого результата).
4. Squid успешно стартует ручками после того как VPN на связи.
5. При обрыве связи (со стороны провайдера), почему-то иногда исчезает запомненный пароль и приходится набирать его заново.
Вопросы:
1. Как сделать чтобы VPN стартовал автоматически при загрузке ОС до Squid
2. Как сделать чтобы пароль запомнился НАВСЕГДА.
3. Может есть альтернатива клиенту VPN от MS?

Всего записей: 68 | Зарегистр. 25-11-2003 | Отправлено: 10:41 10-02-2004
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denisoftus

Цитата:
При обрыве связи (со стороны провайдера), почему-то иногда исчезает запомненный пароль и приходится набирать его заново

 Это знакомая беда. Лекарства от нее пока не знаю.
Denisoftus

Цитата:
Может есть альтернатива клиенту VPN от MS?

 Он самый распространенный и достаточно надежен.  

Цитата:
Как сделать чтобы VPN стартовал автоматически при загрузке ОС до Squid  

 Какая система? Ты смотрел сервисы?

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 09:45 11-02-2004
Denisoftus



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
4 MMT
Система Windows 2000 Prof. Сервисы смотрел, но разве можно VPN в сервисы запихнуть? Я бы с удовольствием!

Всего записей: 68 | Зарегистр. 25-11-2003 | Отправлено: 09:51 11-02-2004
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denisoftus
 Я проверю. На той конфигурации где я с ним работал он поднимался как сервис (Win2k server).
Вот сквида не было. Врать не буду. Да и какая разница сквиду если он поднимается после виртуальной сети? ДНС он подхватит.
 
 

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 16:25 11-02-2004
Denisoftus



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
4 MMT  
в том то и дело, что сквид когда поднимается сервисом, то VPN еще спокойно спит. А загружается он ручками, когда сквид давно отматюкался в Evene Viewer, что DNS не видет. Если суметь VPN поднять как сервис, и сквид бы успел.
Заранее благодарю за хлопоты.

Всего записей: 68 | Зарегистр. 25-11-2003 | Отправлено: 17:33 11-02-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Denisoftus
Чего ты мучишься?
в настройке сквида можно убрать проверку ДНС
и будет тебе счастье

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 15:53 14-02-2004
specnv



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте All!
 
Подскажите плиз, можно ли организовать VPN подключение к корпоративной сети с доменом Win2003 server если сам контролер домена подключен к интернету через другой компьютер где стоит Usergate....

Всего записей: 1211 | Зарегистр. 19-11-2003 | Отправлено: 07:58 26-02-2004
Denisoftus



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
2 specnv
Почему же нет, можно конечно.
Соединяешься с W3k-сервером (VPN-сервер должен быть запущен), строишь роутинг до интернет-сервера, и все.

Всего записей: 68 | Зарегистр. 25-11-2003 | Отправлено: 10:56 26-02-2004
Kolyanius



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ALL! Есть вопрос! Прочитал кучу инфа, но он так и не решился
Есть win2003server c  2интерфейсами
1. 172.16.1.1 -локальный интерфейс для AD, File-server и т.д (Все компьютеры локальной сети имеют IP из этой зоны, т.е 172.16.1.***)
2. 192.168.1.3 - интерфей для соединения с VPN-сервером, который раздает интернет (дает реальный IP)
Т.е. после установки связи с VPN становится 3 интерфейса
 
Как сделать так, чтобы VPN соединение вызывалось (используя RRAS), когда народ ломится в Инет??
Неужели нужно создать несколько статических маршрутов, которые бы покрывали все IP, за исключением 2-х локальных (1. 172.16.1.1 и  2. 192.168.1.3) или можно как-то проще???

Всего записей: 61 | Зарегистр. 25-08-2003 | Отправлено: 05:38 13-03-2004
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kolyanius - проще создать маршрут в 0.0.0.0 с более низким приоритетом чем локальные.

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 10:50 13-03-2004
Child



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, возможно ли и как через впн подключить к локальной сети на работе 2 домашних компа, соединенных нульхабным проводом?

----------
Аренда сервера по выгодным ценам.
Почемучка! Ответы на ваши вопросы..

Всего записей: 1349 | Зарегистр. 25-04-2003 | Отправлено: 17:22 14-03-2004
Flexner

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго времени суток!
Есть такая проблема...
Подключаюсь через ВПН к инету - но выдает ошибку - пишет, что локальная машина не поддерживает протокол шифрования (Win2k).
Какаие должны быть вклчены протоколы? Может какие службы выключены у меня?
Помогите, плиз

Всего записей: 469 | Зарегистр. 15-03-2003 | Отправлено: 23:00 13-05-2004
Flexner

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Подключаюсь через ВПН к инету - но выдает ошибку - пишет, что локальная машина не поддерживает протокол шифрования (Win2k).  

Может подскажите, были ли какие обновления сертификатов, кодировок или еще чего?
 
 
Добавлено
Все! Проблема решилась... Оказывается, грабли были все-таки у провайдера...

Всего записей: 469 | Зарегистр. 15-03-2003 | Отправлено: 23:03 14-05-2004
Flexner

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята, есть еще вопрос по VPN.
Для соединения набираю конечно же имя/пароль... Все соединяется, все прекрасно... Но в локалке у нас 2 раза в сутки (и в очень неудобное время) перегружаются свичи, те связь конечно рвется...
Стоит автоматическое переподключение, но вот тут-то не получается соединиться, потому что пишет, что имя/пароль неправильные... И действительно, если посмотреть, пароль не прописан... Что может быть? Может его (пароль) можно где еще прописать (в реестре например)?

Всего записей: 469 | Зарегистр. 15-03-2003 | Отправлено: 19:23 19-05-2004
mmt



Junior
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Flexner
 Зачем тебе это? Пароли лучше вообще не хранить на компе.

----------
Все страньше и страньше...

Всего записей: 1046 | Зарегистр. 25-09-2001 | Отправлено: 08:28 20-05-2004
Flexner

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mmt

Цитата:
Зачем тебе это?

А вот затем, что перегружаются свичи в 2 часа ночи... А Анлим у меня ночью.. Те получается, что половина его просто теряется...

Всего записей: 469 | Зарегистр. 15-03-2003 | Отправлено: 14:24 20-05-2004
adminchik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть проблема.. буду рад помощи..
Есть сервер 1 (офис, 192.168.195.*) и сервер 2 (склад, 192.168.197.*).. на обоих стоят W2kServer, Isa, DHCP, оба сервера DC
Есть задача обединить эти две сети через vpn.. vpn настроено через pptp, ip адреса выдаются из статического пула адресов (192.168.195.(51-60)), dhcp выдавать адреса не захотел..  
сервер2 подключается к серверу 1, устанавливается соединение.. и rras отправляет весь трафик через это vpn соединение.. есть подозрение, что я не до конца настроил статические маршруты в rras, пока маршруты такие..  
(на сервере 2)
192.168.195.1 255.255.255.255
(на сервере 1)  
192.168.197.1 255.255.255.255
192.168.197.2 255.255.255.255
192.168.197.3 255.255.255.255
192.168.197.4 255.255.255.255
Вопрос: как сделать так чтобы сервер2 роутил через vpn пакеты только для сети 192.168.195.*, а всё остальное через выделенный канал в интернет?  
и как потом, после установки vpn добраться до ресурсов удалённой сети?

Всего записей: 1 | Зарегистр. 21-05-2004 | Отправлено: 09:26 21-05-2004
elite128

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос по VPN и AspLinux
установлен VPN сервер на Win2003, с виндовс машин никаких проблем нету, при установке соединения линукс машины при прописывании подключения впн соединения подключение выполняется через 2-3-5 раз, при запуске вручную тоже иногда запускается и подключатеся, иногда при повторении 2-3 раза. Иногда совсем впадает в ступор до глобальной перезагрузки сервера Win2003.
Может кто сталкивался с такой ситуацией?

Всего записей: 1414 | Зарегистр. 26-08-2002 | Отправлено: 15:26 21-05-2004
Black_Admin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто-нить знает как зделать VPN по протоколу L2TP между двумя доменами не используя внешнего сервера сертификации? Надо для этого использовать в каждом домене свой сервер сертификации или достаточно только одного в каком-нибудь из доменов?

Всего записей: 1 | Зарегистр. 13-06-2004 | Отправлено: 00:13 15-06-2004
elite128

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может ли сервер одновременно с VPN сервером выполнять функции контроллера домена? У пользователей нужно будет указывать подключение через удаленный доступ или всё стандартно, как и без VPN?

Всего записей: 1414 | Зарегистр. 26-08-2002 | Отправлено: 16:37 21-06-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
У меня вот родилась тут интересная задачка..
 
есть корпоративная сеть и внешний комп.. комп цепляется по VPN на стенку (ISA)...
но дело в том, что этому компу необходимо иметь доступ еще в 2 сетки.. и если в виртуальном адаптере прописано "использовать как основной шлюз" то соотвественно все остальные сетки отпадают.. раздача адресов идет с самого файрвола и отпределить там статические адреса и маршруты для конкретных пользователей нельзя из-за отсутствия Native Mode...
 
сейчас, чтобы юзверь мог иметь доступ ко внутренней сетке, приходится при соединении руками прописывать маршрут. в батник прописывать бесполезно потому, что адрес адаптера при подключении постоянно разный..
 
чтоб господа порекомендовали сделать в таком случае?
 

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 11:59 22-06-2004
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MeGaBrAiN - в настройке доменного юзера ему можно резервить ай-пи адрес.  
Ну или проще брать IP адрес гейта (допустим в 10.11.12.0 сетки) из строки
ipconfig |grep "Default Gateway . . . . . . . . . : 10.11.12."

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 20:03 22-06-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
kibkalo
сия галка не активна в Active Directory (писал же что у меня не Native Mode)..
 
ввобщем проблему решил так.. в расширенных настройках прописал суффикс днс и галки регистрации соеднения в днс..
 
потом прописал батник с добавлением маршрута по имени этого соединения..
 
неудобно но робит

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 12:59 24-06-2004
googless

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пивет всем !!!
 
порылся в топах но не нашел (может плохо искал?)
если нарушил какие либо правила просьба сильно не бить
(сейчас в сильных запарах)
 
собственно вопрос как в windows vpn pptp клиенте сказать
ему чтобы тот ломился не на 1723 класический порт
а на какой либо другой к примеру "№ 100" на сервере
повешать сервак на какой либо другой порт отличный от 1723
под unix не проблема а вот сказать виндам как к нему обратится
я пока в стопоре к примеру требуется с ходить на 10.0.0.1:100.
 
Все предложения с радостью будут выслушаны!
 
p.s. может кто знает какой либо другой клиент vpn которому можно
говорить на какой именно порт стучатся буду признателен за подстказку.
 
Заранее спасибо !

Всего записей: 44 | Зарегистр. 19-05-2004 | Отправлено: 18:30 29-06-2004
stumbler

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По возможности кто может объяснить подробно как сделать VPN сервер на Win2003. И что для этого нужно(софт)? Я только начинаю делать городскую сеть и еще многого не знаю. А читая вашу ветку хватаюсь за голову (половину слов понять не могу). Народ не обессудьте все мы когда-то чегото не знали. Так что плизз по потробнее. Заранее благодарен.

Всего записей: 569 | Зарегистр. 08-10-2003 | Отправлено: 18:25 04-07-2004
CoFFineR

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хм.. я тоже когда то не знал.. но никто так и не поммог. А в итоге всё оказалось проще простого, тем более у тебя 2003 винда. Там есть мастер настройки, он тебя сам спросит, что ты хочешь зделать из своего сервака, нат, или нат через впн, или диалиновый сервак, задаст ещё пару простейших вопросов, и всё...сервак готов.. никакого дополнительного софта, никакого гемороЯ.. как говориться стоит только захотеть..

Всего записей: 103 | Зарегистр. 14-10-2001 | Отправлено: 11:18 07-07-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
CoFFineR
Золотые слова!
 
сорри за OFFTOP.. не мог удержаться
 

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 12:25 07-07-2004
stumbler

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CoFFineR
Уже разобрался )
Вот только не понятно можноли средствами виндовс лимитировать интэрнэт трафик? или надо прибегать к сторонним продуктам

Всего записей: 569 | Зарегистр. 08-10-2003 | Отправлено: 12:27 07-07-2004 | Исправлено: stumbler, 12:56 07-07-2004
CoFFineR

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Посредством винды никак. Програм которые могут это делать сейчас развелось дофига, всё зависит от преследуемых целей. Если раздать инет товарищам в локалке, то вот парочка: Traffic Inspector , Lan2Net . Я предпочитаю  Трафик инспектор, раньше юзал вингейт, но, к сожалению, функция лимитирования трафика у него не является основной, поэтому настроить лимиты там - гимор, особенно новичку..

Всего записей: 103 | Зарегистр. 14-10-2001 | Отправлено: 15:41 08-07-2004
DStream

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А vpn over vpn возможен для Win XP?
 
Вкратце картина следующая: домашний пров раздает инет через vpn-соединение... Попытался подключиться своему офису (на циске открыт vpn-доступ и обычные клиенты спокойно подключаются) и получается следующее:
1. Подключаюсь к прову (устанавливается vpn-соединение)  
2. Подключаюсь к офису - после завершения проверки пользователя и пароля vpn-соединение вроде как поднимается, но сразу же обрубается соединение с провом.
Вероятно дело в изменении маршрутизации и т.п. при активации второго соединения, но что-то никак не пойму как это вылечить...
 
 
Добавлено
Сорри, уже после написания вопроса решил еще раз попробовать и заметил, что первым падает второе соединение, то бишь оказалось, что оно обрывается по причине отсутствия шифрования, вправил и все заработало!
 
То бишь VPN over VPN возможно стандартными виндовыми средствами!
 
p.s. осталось разобраться с пропиской маршрутов так, чтобы и инет оставался доступен...

Всего записей: 605 | Зарегистр. 03-05-2003 | Отправлено: 23:25 16-07-2004
Alex_Dragon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, помогите чайнику. Я тут почитал обсуждение, но мало пока что понял. Ситуация такая: cижу под Win 98 SE. Для доступа к ftp-серверу провайдера приходится предварительно разорвать VPN-соединение, и обратно, когда запущено VPN-подключение к Интернету, недоступен ftp. Это как-то можно разрулить? Все кого ни спрашиваю говорят, мол, это особенность 98-й винды и обойти нельзя. Так ли это?

Всего записей: 422 | Зарегистр. 05-01-2002 | Отправлено: 22:01 27-07-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Alex_Dragon
скорее всего проблемы с маршрутом.. могут еще перекрываться адресные пространства.. сама винда тут не причем.. если скинешь раскладку по адресам и таблицу маршрутов то можно попробовать найти решение проблемы

----------
http://www.fight-club.ru

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 09:46 28-07-2004
Alex_Dragon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ipconfig и route мне написали следущее:
 
Настройка IP для Windows 98
0 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 10.64.5.15
Маска подсети . . . . . . . . . . . : 255.0.0.0
Стандартный шлюз. . . . . . . . . . : 10.64.5.15
1 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . . : 0.0.0.0
Стандартный шлюз. . . . . . . . . . :  
2 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . . : 255.255.255.0
Стандартный шлюз. . . . . . . . . . :  
3 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 10.0.5.112
Маска подсети . . . . . . . . . . . : 255.255.255.0
Стандартный шлюз. . . . . . . . . . : 10.0.5.1
 
 
Активные маршруты:
 
  Сетевой адрес            Маска    Адрес шлюза            Интерфейс  Метрика
          0.0.0.0          0.0.0.0       10.64.5.15       10.64.5.15       1
          0.0.0.0          0.0.0.0         10.0.5.1       10.0.5.112       2
         10.0.0.0        255.0.0.0       10.64.5.15       10.64.5.15       1
         10.0.5.0    255.255.255.0       10.0.5.112       10.0.5.112       2
         10.0.5.0    255.255.255.0       10.64.5.15       10.64.5.15       1
       10.0.5.112  255.255.255.255        127.0.0.1        127.0.0.1       1
       10.64.5.15  255.255.255.255        127.0.0.1        127.0.0.1       1
       10.128.4.1  255.255.255.255         10.0.5.1       10.0.5.112       1
   10.255.255.255  255.255.255.255       10.0.5.112       10.0.5.112       1
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.1      192.168.0.1       2
      192.168.0.1  255.255.255.255        127.0.0.1        127.0.0.1       1
    192.168.0.255  255.255.255.255      192.168.0.1      192.168.0.1       1
        224.0.0.0        224.0.0.0       10.0.5.112       10.0.5.112       1
        224.0.0.0        224.0.0.0       10.64.5.15       10.64.5.15       1
        224.0.0.0        224.0.0.0      192.168.0.1      192.168.0.1       1
  255.255.255.255  255.255.255.255       10.64.5.15       10.64.5.15       1
 
IP провайдер раздаёт через DHCP.
Эта машина служит также шлюзом для другой. Установлен Winroute 4.2.1.
Кстати, пока сидел на диалапе обычном, с другой машины можно было в Инет лезть как через винроутовский прокси, так и "напрямую". Сейчас не получается - через прокси - пожалуйста, а мимо - только на ftp-шник пускает, браузер наружного Интернета не видит. На той машине XP стоит. Конфигурация странная, конечно, но так надо.
Что ещё надо добавить для анализа?

Всего записей: 422 | Зарегистр. 05-01-2002 | Отправлено: 13:33 28-07-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
какой из интерфейсов VPN? тогда уж еще и адрес фтп укажи

----------
http://www.fight-club.ru

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 18:23 28-07-2004
Alex_Dragon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Честно говоря, я несколько запутался с тем, кто куда у меня смотрит. Если я всё правильно понял, то интерфейс vpn у меня - 10.64.5.15.
Адрес ftp-сервера - 10.129.1.2
Адрес сервера vpn - 10.128.4.1
Вот ipconfig и route в отключенном от vpn состоянии:
 
0 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . . : 0.0.0.0
Стандартный шлюз. . . . . . . . . . :  
1 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . . : 0.0.0.0
Стандартный шлюз. . . . . . . . . . :  
2 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . . : 255.255.255.0
Стандартный шлюз. . . . . . . . . . :  
3 Ethernet: плата :
IP-адрес. . . . . . . . . . . . . . : 10.0.5.112
Маска подсети . . . . . . . . . . . : 255.255.255.0
Стандартный шлюз. . . . . . . . . . : 10.0.5.1
 
 
Активные маршруты:
 
  Сетевой адрес            Маска    Адрес шлюза            Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.5.1       10.0.5.112       1
         10.0.5.0    255.255.255.0       10.0.5.112       10.0.5.112       1
       10.0.5.112  255.255.255.255        127.0.0.1        127.0.0.1       1
   10.255.255.255  255.255.255.255       10.0.5.112       10.0.5.112       1
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.1      192.168.0.1       1
      192.168.0.1  255.255.255.255        127.0.0.1        127.0.0.1       1
    192.168.0.255  255.255.255.255      192.168.0.1      192.168.0.1       1
        224.0.0.0        224.0.0.0       10.0.5.112       10.0.5.112       1
        224.0.0.0        224.0.0.0      192.168.0.1      192.168.0.1       1
  255.255.255.255  255.255.255.255       10.0.5.112          0.0.0.0       1

Всего записей: 422 | Зарегистр. 05-01-2002 | Отправлено: 09:46 29-07-2004 | Исправлено: Alex_Dragon, 09:47 29-07-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
очь интересно.. почему у тебя  

Цитата:
0 Ethernet: плата :  
IP-адрес. . . . . . . . . . . . . . : 0.0.0.0 ???????  
Маска подсети . . . . . . . . . . . : 0.0.0.0  
Стандартный шлюз. . . . . . . . . . :  

?
 


----------
http://www.fight-club.ru

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 10:21 29-07-2004
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MeGaBrAiN - например при установке Cisco VPN Client он создает себе интерфейс  именно с такими настройками

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 10:26 29-07-2004
Alex_Dragon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
«Не виноватая я! Он сам пришёл!» © «Бриллиантовая рука»
Винда сама ставит таким макаком. Когда я разрываю соединение, оно приходит именно в такое состояние (сравни с предыдущей распечаткой).
Насчёт клиентов: всё по дефолту, что 98se даёт - то и стоит.

Всего записей: 422 | Зарегистр. 05-01-2002 | Отправлено: 10:43 29-07-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
так стоп..
 
по порядку
 
это твой инетовый интерфейс

Цитата:
3 Ethernet: плата :  
IP-адрес. . . . . . . . . . . . . . : 10.0.5.112  
Маска подсети . . . . . . . . . . . : 255.255.255.0  
Стандартный шлюз. . . . . . . . . . : 10.0.5.1

 
а это VPN

Цитата:
0 Ethernet: плата :  
IP-адрес. . . . . . . . . . . . . . : 10.64.5.15  
Маска подсети . . . . . . . . . . . : 255.0.0.0  
Стандартный шлюз. . . . . . . . . . : 10.64.5.15

 
Адрес ftp-сервера - 10.129.1.2  
Адрес сервера vpn - 10.128.4.1
 
Активные маршруты при включенном VPN:  
 
  Сетевой адрес            Маска    Адрес шлюза            Интерфейс  Метрика  
          0.0.0.0          0.0.0.0       10.64.5.15       10.64.5.15       1  
          0.0.0.0          0.0.0.0         10.0.5.1       10.0.5.112       2  
      10.128.4.1  255.255.255.255         10.0.5.1       10.0.5.112       1
 
Активные маршруты при отключенном
 
  Сетевой адрес            Маска    Адрес шлюза            Интерфейс  Метрика  
          0.0.0.0          0.0.0.0         10.0.5.1       10.0.5.112       1  
 
вот что я тебе скажу батенька твой ФТП тебе не доступен потому что у твоего прова не маршута до него со стороны его VPN сервера.. по аналогии с выделенным можно направить траф на твой фтп сервак в обход впн-сервака..
 
аля типа  
route add 10.129.1.2 mask 255.255.255.255 10.0.5.112 -p
 
но не знаю как у тебя отреагирует винда на отключение или изменение адреса VPN.. таблица маршрутов может перестроиться
 
Добавлено
поправочка
route add 10.129.1.2 mask 255.255.255.255 10.0.5.1 -p

----------
http://www.fight-club.ru

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 18:00 29-07-2004
Alex_Dragon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ага, спасибо, вроде работает. Правда, почему-то отказывается запоминать настройки. Задаёшь ключ -p - ничего не делает, просто выводит хелп route. Без ключа - срабатывает.
 
Стало таким:
 
Активные маршруты:
 
  Сетевой адрес            Маска    Адрес шлюза            Интерфейс  Метрика
          0.0.0.0          0.0.0.0         10.0.5.1       10.0.5.112       2
          0.0.0.0          0.0.0.0       10.64.5.15       10.64.5.15       1
         10.0.0.0        255.0.0.0       10.64.5.15       10.64.5.15       1
         10.0.5.0    255.255.255.0       10.64.5.15       10.64.5.15       1
         10.0.5.0    255.255.255.0       10.0.5.112       10.0.5.112       2
       10.0.5.112  255.255.255.255        127.0.0.1        127.0.0.1       1
       10.64.5.15  255.255.255.255        127.0.0.1        127.0.0.1       1
       10.128.4.1  255.255.255.255         10.0.5.1       10.0.5.112       1
       10.129.1.2  255.255.255.255         10.0.5.1       10.0.5.112       1
   10.255.255.255  255.255.255.255       10.0.5.112       10.0.5.112       1
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.1      192.168.0.1       2
      192.168.0.1  255.255.255.255        127.0.0.1        127.0.0.1       1
    192.168.0.255  255.255.255.255      192.168.0.1      192.168.0.1       1
        224.0.0.0        224.0.0.0      192.168.0.1      192.168.0.1       1
        224.0.0.0        224.0.0.0       10.64.5.15       10.64.5.15       1
        224.0.0.0        224.0.0.0       10.0.5.112       10.0.5.112       1
  255.255.255.255  255.255.255.255       10.64.5.15       10.64.5.15       1
 
Хм... Любопытства ради: а как это так получается? Пользователи на внутреннем форуме примерно такое писали: «Затрахался я с этим VPN под 98-й, плюнул, поставил ME». И под XP у людей тоже всё работает, получается, как-то само по себе.
Техник, производивший подключение, тоже сразу предупредил: не пашет, отключайте VPN, если хотите на ftp. Правда, он не намного больше меня разбирается, как я понял. Техподдержка тихо промолчала сей вопрос.

Всего записей: 422 | Зарегистр. 05-01-2002 | Отправлено: 19:49 29-07-2004
mxm1975



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
ключ -p - ничего не делает
 

разве в 98 есть "-р"?
 
делай .bat файлами

Всего записей: 270 | Зарегистр. 31-07-2002 | Отправлено: 20:09 29-07-2004 | Исправлено: mxm1975, 20:10 29-07-2004
Alex_Dragon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
разве в 98 есть "-р"?

 
Я судил по хелпу, там он прописан. Как-то вообще по-дурацки сделано. Не получается перенаправить вывод в файл, с экрана приходится снимать. Альтернативного никакого нету?

Всего записей: 422 | Зарегистр. 05-01-2002 | Отправлено: 20:14 29-07-2004
mxm1975



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 
Альтернативного никакого нету?
 

Сомневаюсь. В свое время сделал .bat файлом в start-up.

Всего записей: 270 | Зарегистр. 31-07-2002 | Отправлено: 20:50 29-07-2004
temka



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
народ, такая ситуация:
имею на компе, посути, две сетки: корпоративную (через обычную сетевуху) и другую,  через ADSL-адаптер (USB-й ADSL-модем)....
проблема  в том, что как только, я поднимаю VPN-соединение ( через ADSL), машина в Интернет сразу начинает ломиться через него, а не через локалку..а мне надо бы наоборот, что бы Интернет в первом приоритете шел через LAN....
возможно ли это организовать??
если нужны какие настройки, спрашивайте...
ось ХР pro...

----------
Se pierdo pero no rindo

Всего записей: 1213 | Зарегистр. 16-05-2003 | Отправлено: 16:48 03-08-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
temka
убери галку "использовать удаленный шлюз" в дополнительных настройках протокола ИП в свойствах впн

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 20:15 03-08-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
wchik
в этом случае он не будет видеть свою корпоративную подсеть если она в другой подстетке нежели данный ему VPN адрес
 
галку надо снимать и прописывать маршрут в корпоративную подсеть

----------
http://www.fight-club.ru

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 20:20 03-08-2004
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MeGaBrAiN
ну правильно я это и имел в ввиду просто корп подсеть обычно таже.
 
 
Добавлено
вот у меня кстати есть мини проблемка по этому поводу
корп подсеть в другом диапазоне, юзер не шибко грамотный
видна ругается если при запуске прописывать роутинг через впн, так как впн не поднят и "нет такого интерфейса"  впн постоянно работать не должен он запускает его в ручную а после этого должен запускать батничек с добавкой роутинга, ну и об этом постоянно забывает, достало уже "а у меня файл не открывается"  
есть возможность настроить винду так чтобы она этот батничек исполняла после поднятия интерфейса, в никсах это просто...

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 10:17 04-08-2004
MeGaBrAiN



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
wchik
а понятие Static IP Address и Static Route во вкладке User & Computers в активдиректори чем не устраивает?

----------
http://www.fight-club.ru

Всего записей: 583 | Зарегистр. 10-04-2002 | Отправлено: 10:01 05-08-2004
Sindikat

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте Много Уважаемый АЛЛ! Надеюсь услышать ваши советы по поводу VPN. Поднял впн на 2003-м сервере по протоколу L2TP с IP-sec’ом. Соединился с ним, захожу на его файловую шару и начинаю закачивать туда инфу. Все великолепно, наблюдаю шифрацию и компрессия трафика, но когда начинаешь с этой же шары сливать инфу, то почему-то она уже идет на прямую без шифрации!? Когда же на vpn-сервере подключен второй клиент, то нет никаких проблем, все шифруется между ними в какую бы сторону ни шла инфа!? (Именно между клиентами) В тоже время, если клиент зайдет на сервак ремоут десктопом, то все работает!
Подскажите плиз, что не так сделал или так и должно быть, что с сервером одностороннее шифрование?

Всего записей: 63 | Зарегистр. 26-11-2003 | Отправлено: 11:25 23-08-2004
Alex_Dragon



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, а VPN под DOS — это реально? Клиентская сторона меня интересует. Хочу в Инет из под DOS'а бегать.

Всего записей: 422 | Зарегистр. 05-01-2002 | Отправлено: 01:37 31-08-2004
burzum80

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Привет всем !!!
 
 Удалось решить проблему при которой "вешалась" локалка после запуска VPN-сервера на Windows 2000 Server. Решение простое - при установке VPN-сервера в самом начале нужно отказаться от мастера и настроить его вручную. Таким образом и локалка работает и vpn !!!

Всего записей: 2 | Зарегистр. 30-08-2004 | Отправлено: 05:23 07-09-2004
Thinkerroo

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос такой  - есть домен и есть машина в домене, на ней  поднята ISA, на этой же машине поднят RAS (настраивался он через ISA посредством Allow client VPN Conection). Если завести локального юзера на машине (с ISA и RAS) и дать ему право на внешний вход (DIAL-IN)  - то войти этому юзеру - можно, а если же дать право на вход доменному юзеру (включив группу в которую он входит в остнастке Remote Acces в RAS) - то войти не получается - где грабли? Используется протокол PPTP

Всего записей: 18 | Зарегистр. 23-03-2004 | Отправлено: 08:37 07-09-2004
Aleksanders



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возникла проблемка. Есть центральный офис и несколько десятков точек, с которыми нужно сделать связь on-demand vpn over ip. Проблема решается таким образом, что возможно руками из Винды поднимать то одно соединение, то другое, но нужно сделать это автоматически, и, возможно, несколько одновременно... И, желательно, не из виндов, а на сервере FreeBSD. Возникают вопросы - как сделать так, чтобы при обращении к конкретным адресам ip маршрутизатор поднимал vpn на определенный узел, делал его подсетку для его сети шлюзом по умолчанию, а потом, через некий период бездействия, отключал сеть? Сейчас все сделано и работает в ручном режиме на mpd. Надо сделать автоматически.

----------
LINUX = Linux Is Not a UniX

Всего записей: 1420 | Зарегистр. 07-07-2002 | Отправлено: 08:21 22-09-2004
Da_Neil



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Как наладить связь между офисным компьютером, находящимся за корпоративным шлюзом и домом?

----------
Где начинается тот конец, которым заканчивается начало?

Всего записей: 3420 | Зарегистр. 05-03-2002 | Отправлено: 20:04 24-09-2004
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Da_Neil
Например, через ZeBeDee. Ищи по форуму, тут примеры много раз уже описывались.

Всего записей: 2896 | Зарегистр. 30-05-2002 | Отправлено: 10:27 25-09-2004
Sergeant

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос по настройке VPN-сервера. Имеем ОС WinXP Prof. Создаем в ней сервер, указываем пользователей. И все они подключиться могут, но только в порядке очереди. Т.е. сессия может быть установлена только для одного человека, несколько одновременно подключиться не могут.
 
Почему? В этом и есть вопрос. Как с этим подводным камнем бороться?

----------
Если вы спорите с идиотом,
Наверняка, он занимается тем же самым.

Всего записей: 1553 | Зарегистр. 06-08-2001 | Отправлено: 15:47 25-09-2004
Con Go

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вдруг возникла проблема!
с сервера с Win2000Serv устанавливается VPN соединение до провайдера и по нему получается доступ в интернет
после поднятия на этом сервере RRAS (для того чтобы к нему можно было подключаться по VPN) VPN до провайдера устанавливается но пинг не проходит даже на адрес VPN-сервер прова и интернета соответственно нет
причем вся эта схема работала - одновременно и VPN-клиент до прова работал и с других компов можно было на сервер заходить по VPN, но после переустановки системы
и настройки всего с точностью до миллиметра как было раньше возникла вот такая проблема - я в шоке и не знаю с чего начать..
Где то встечал такое что Win2000Server не может быть одновременно VPN-клиентом и VPN-сервером НО все работало же? А что же случилось?

Всего записей: 1 | Зарегистр. 28-09-2004 | Отправлено: 02:58 28-09-2004
Arax



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Outpost обрубает Microsoft Firewall Client, что сделать?

Всего записей: 1149 | Зарегистр. 21-06-2002 | Отправлено: 06:59 28-09-2004
dosya



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
есть winxp vpn-клиент. есть чайник, который сидит в инете и хочет защитить свое подключение программным фаером. каким фаером это лучше сделать. я попробовал kwf6, tiny, trlkolom omnyvpn. последний как-то получше, но у меня тяму не хватает его настроить. в итоге я сижу под двумя фаерами, когда надо подключиться, то отрубаю локалку и фаеры, подключаю внешнюю сеть и vpn. и возвращаю на место. но это ж не дело. в разделе по настройке фаера молчат. да и толку. я без них знаю, что нужно открыть gre, ipsec, pptp, lptp. что посоветуете?
 
зы: сисадмин техподдержки садистски молчит, мол у него под агнитумом все круто. а у меня некруто.

Всего записей: 738 | Зарегистр. 27-02-2003 | Отправлено: 02:56 16-10-2004
Olejka39



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет, может кто сталкивался с такой необычной  проблемкой:
Есть три офиса. На трех из них стоит VPN сервер, два из них коннектится к 3-ему, на котором стоит терминал и с помощью ISA поднят локальный сервер, остальные два стоят как удаленные впн сервера. Все хорошо и радостно. Пинги бегают, все коннектится.
Но есть проблемы.
1) Каждый офис имеет свою подсеть. Допустим шара по разным подсетям работает хорошо, а вот принтера не коннетятся, пришлось каждый комп на котором висит принт подрубать к впн серверу и с впнского айпи печатать.
2) Очень часто без видимой причины рвется VPN между серверами, соотвественно все юзеры слетают и с грумким матом лезут назад и подрубают принтера, и это происходит достаточно часто чтоб у меня мобила не смолкала от мата.
Более всего наболела проблема с частыми дисконнектами. Кто знает в чем может быть дело - помогите.
Компы - 4 пеньки.
Система w2k3
Каналы в инет: 1 mb upl, 8 mb dwn.
ЗЫ. Тоннель создается PPTP.
PS: Замечено что связь рвется если я на сервере закрываю терминал сессию( не дисконнекчу) и вроде бы при отсоединение VPN сессии.

Всего записей: 28 | Зарегистр. 20-06-2003 | Отправлено: 17:14 16-10-2004 | Исправлено: Olejka39, 17:34 16-10-2004
Aleksanders



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Con Go
Конфиги? Надо было перед переустановкой выполнить в консоли команду route print и посмотреть схемы маршрутизации сетей. Некоторые из них, возможно, были статические. Подробности будут написаны по команде route /? и искать где-то в районе ключа -p

----------
LINUX = Linux Is Not a UniX

Всего записей: 1420 | Зарегистр. 07-07-2002 | Отправлено: 08:47 18-10-2004
Sav



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Очень объемный вопрос, надеюсь у кого-нибудь хватит сил разобраться и помочь.
Честно говоря, в голове полная каша, рассказывать буду максимально подробно.
 
Итак, есть филиал, подключеный в инет по DSL, модем в режиме бриджа, там есть устройство DLink DI-804HV (вроде бы должно идеально подходить под мои цели).
Сеть филиала (ФЛ) 192.168.0.0/24, LAN интерфейс DI-804HV 192.168.0.200, публичный адрес (WAN DI-804HV ) пусть будет 2.2.2.2
 
Локальная сеть головного офиса (ГО) 192.168.11.0/24, в ней есть W2k3 сервер с адресом 192.168.11.111, на котором, в свою очередь, есть вторая сетевуха, получающая адрес 192.168.1.2 по dhcp от циски провайдера 192.168.1.1. Циска (SOHO78, DSL модем, в режиме NAT, а не бриджа), в свою очередь, имеет публичный адрес, например 1.1.1.1
Циска выпускает в инет через NAT только тех, кто взял у нее адрес по dhcp, т.е. только этот сервер. На сервер установлен KerioWinrouteFirewall5, который также делает NAT (из 192.168.11.0/24 в 192.168.1.2). Выглядит странновато, но пров отказывается переключать циску в бридж, а требуется иметь свой контроль над инетом, поэтому получаются два NATа.
 
Представили? Далее, задача очевидна - подключить ФЛ к ГО. Нужен доступ со всех компов ГО ко всем компам ФЛ и наоборот.
 
1. На циске провайдера статически смапированы порты udp 500, 4500, 1701 (может, что-то лишнее) и протокол esp на 192.168.1.2
 
2. На W2k3 поднимаю RRAS в режиме сервер доступа и маршрутизация.
 
3. На W2k3 создаю и назначаю политику IPSec 'vpn':
Фильтр1 Source: Сеть 192.168.0.0/255.255.255.0 Dest: Сеть 192.168.1.0/255.255.255.0 Endpoint:192.168.1.2 все остальное ANY
Фильтр2 Source: Сеть 192.168.1.0/255.255.255.0 Dest: Сеть 192.168.0.0/255.255.255.0 Endpoint:2.2.2.2 все остальное ANY
 
Действие у обоих правил - согласовать безопастность.
Параметры ключей неважны наверное (ключи согласуются нормально).
 
4. На DI-804HV в настройках VPN ставлю
Local: 192.168.0.0/255.255.255.0 Remote: 192.168.1.0/255.255.255.0 Gateway:1.1.1.1
 
После этого, если написать на W2k3 ping 192.168.0.1 он пишет "Согласовываются параметры IPSec" сколько угодно раз, и ничего не происходит.
 
Если на компе в ФЛ написать ping 192.168.1.2, то (о, чудо!) пинги после небольшой паузы идут, и в мониторе DI-804HV видно, что туннель "IKE Established"
При этом по-прежнему с W2k3 ничего из 192.168.0.0/24 не пингуется, но уже и не пишет про согласований IPSec-а
Итого, получили работающую связь с любого хоста ФЛ на 192.168.1.2, но только при инициировании этой связи со стороны ФЛ.
 
Нормально ли это? Я думаю, нет, но любые изменения указаных выше параметров которые я пробовал, приводили к тому, что и это переставало работать.
 
Связь со стороны ГО к ФЛ более важна, поэтому надо было что-то делать. Единственное, что я смог придумать, это попробоватьзапустить слой L2TP или PPTP над IPSec
Не нашел в DI-804HV никаких клиентских настроек для L2TP или PPTP через IPSec, похоже, они считают, что в этом случае можно обойтись голым IPSec.
 
Решил выбрать сервер в ФЛ (192.168.0.1), который организует настоящую VPN по этому туннелю с W2k3 в ГО.
Сразу скажу, с L2TP у меня сходу не получилось, разбираться я пока не стал, подумал, что это не принципиально.
С PPTP вроде все просто, добавил PPTP портов в RRAS, завел пул адресов 192.168.100.1 - 192.168.100.10, завел пользователя, вписал ему статический адрес 192.168.100.3
На сервере в ФЛ сделал удаленное подключение типа L2TP/IPSec на хост 192.168.1.2, оно моментально соединилось.
 
В момент соединения на W2k3 появился неудаляемый маршрут 192.168.0.1/255.255.255.255 через 192.168.1.1 (циска прова), что по-моему совершенно неправильно - циска ничего об этом адресе не знает.
Как сделать чтобы такого маршрута не появлялось, я не знаю.  
В результате добился того, что с любого компьютера ГО пингуется 192.168.100.3, но только он, никаких 192.168.0.x, что тоже не устраивает.
 
Во, как много. По-моему я нагородил много какой-то фигни, подскажите, как это должно быть правильно сделано?

Всего записей: 952 | Зарегистр. 06-02-2003 | Отправлено: 12:56 19-10-2004
Richman



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня чисто теоретический вопрос, вот у меня есть интернет канал, по изернет. И доступ осуществляется через vpn провайдера. В данный момент это дело у меня стоит на winXP и под винлами естественно ничго сложного в настройке нету. И вот пока я настраиваю все на FreeBSD я заметил на виндах такие ньюансы. У меня переодично отваливается инет. Я так понял это сделано для того что бы когда мое vpn соединеие "повисло" то меня через определенное время пустило по новой, ну или что то типа того. Кроче если не используется интернет соединение то меня через 5-10 мин отключает. На виндах то в данный момент ничего особо страшного, ярлычек по новой запустил и все, но факт в том что за этим постоянно нужно следить. Но я себе как представлю что будет если я поставлю все на FreeBSD то что если никто из пользователей не будет юзать инет то vpn соединение будет отваливаться, а это крайне неприятно, хоть обучай людей которые специально будут следить и запускать скрипт.  
Как мне решить эту проблему?

Всего записей: 100 | Зарегистр. 27-04-2004 | Отправлено: 20:33 08-11-2004
Ro



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Поднял poptop 1.1.4 (freebsd), всё работает как надо, VPN сервак 172.16.0.1 отдаёт клиентам адреса в диапазоне 172.16.02-172.16.255.254. Проблема заключается в том, что клиент не видит другого клиента через VPN сервер.  
При имеющейся схеме получается, что трафик с адресов (если они будут внешними) полетит к провайдеру и от него вернётся другому пользователю, получившему адрес на моём сервере. Мне же хочется, чтобы трафик между моими клиентами был локальным непосредственно через мой VPN сервер.  
Как этого добиться ?

Всего записей: 13 | Зарегистр. 04-07-2004 | Отправлено: 02:49 17-11-2004
Radic

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня ну совсем простой для спецов вопрос
Ситуация: есть одинокий сервак (w2ksrvsp4) смотрящий в инет (со статическим ip, локалки нет), предоставляющий сервисы pop, smtp, imap и т.п.
Цель: поднять VPN с целью защитить клиентов от сниффинга почты и пр. сервисов. Т.е., для того, чтобы получить почту, клиентам надо будет сначала установить vpn-соединение, получить адрес, например, вида 192.168.11.х. (планирутся использовать для этого DHCP-сервер), и, соответственно, общение сервер-клиент шло внутри этой сети 192.168.1.х.
Текущая ситуация:  
1. не совсем понятно какой адрес будет иметь в этом случае сам vpn-сервер.
2. после поднятия службы маршрутизации отваливается инет. Ну ладно, эту траблу с грехом пополам я обошел (как здесь уже говорилось, не надо было использовать визард "Настройка маршрутизации и удаленного доступа"), инет перестал отваливаться. Vpn-клиенты коннектяца, но не получают адрес вида 192.168.11.х, а получают 169.254.125.х. Соответственно, ни о каких пингах речи быть не может.
3. каким образом (и надо ли вообще) настраивать маршрутизацию для этого случая (желательно, step-by-step, или киньте в меня ссылками). Может имеет смысл воткнуть в сервак вторую сетевуху типа для локалки?
 
P.S.: дело осложняется еще наличием Kerio Winroute Firewall'а 6го, но с ним, теоретически, проблем быть не должно.

Всего записей: 8 | Зарегистр. 19-11-2003 | Отправлено: 15:58 17-11-2004
Richman



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну что я все с тем же вопросом, только уже с практическим. У меня FreeBSD 5.2.1 настроенный pptp клиент. но интернет у меня по радио, и свзь запросто может разрыватся до 5 раз в день. А дежурить за консолью ой как не хочеться, та и не всегда есть возможность. Внимание вопрос. Как сделать автоматическое переподключение при обрыве соединения? В ppp например есть ключик -ddial который за это отвечал, есть ли что либо аналогичное под pptp? Пробовал написать скрипт на perl который бы раз в 200 секунд пинговал бы 81.19.66.109 и при отсутствии сигнала делал /usr/local/etc/rc.d/vpn.sh restsrt но мои скудные знаия в области програмирования, даже с посторонней помощью не дали результатов. Что посоветуете? И кто как поборол данную граблю?

Всего записей: 100 | Зарегистр. 27-04-2004 | Отправлено: 02:08 21-11-2004
Yspex



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Интересует вопрос: Задача  стоит так, есть клиенты с машинами на Винде ХП, есть сервер FreeBSD 4.9 надо сделать так чтобы клиенты коннектились к серверу FreeBSD по VPNб что для этого надо, каки е лучше проги юзать и что более менее стабильно работает. Да что касается клиентов, то к ним протянута витая пара. Перепробовал много вариантов ничего не получилось толком, народ у кого нормально все работает выложите пожалуйста конфиги ну и если можно опишите что и как. Я пользовался poptop, mpd чем только не пользовался, не получаеться настроить. Очень буду Вам благодарен! если можно в аську 115784133

Всего записей: 21 | Зарегистр. 07-10-2004 | Отправлено: 20:14 24-11-2004
Loafer



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Richman
пример скрипта - который проверяет - есть ли в процессах http демон и в случае если его нет - отсылает письмо - на основании его сможешь сделать и свой

Цитата:
 
ps -C httpd &> /dev/null;
if [ $? != "0" ] ; then
    echo "" | mail -s "mail.ru: httpd is not start"  mail@mail.ru;
fi
 

 
Добавлено
а вот как проверить - шифруется ли трафик при соединении ?

----------
Никнейм зарегистрирован

Всего записей: 6340 | Зарегистр. 09-12-2001 | Отправлено: 10:53 29-11-2004
chiling

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насущный вопрос к общественности !
Переустановил недавно свой домашный виндоус, сделал xp sp2 rus vl.
Установил outpost, kav, последние виндоус-апдейты.
Дома через местную хоум-нетворк установлен интеренет через vpn.
Не могу понять с какого момента возникла проблема , собственно, при нажатии на кнопку "vpn" происходит соединение и сразу разрывается...  
Пробовал отключать аутпост и kav, перезагружаться, через раз помогает , и соединение устанавливается. Прямой зависимости не могу обнаружить.
Бывает (часто) будто бы сервер не "замечает" что я отключился и при последующем соединении выдает 629, либо 619 ошибки (подключение закрыто удаленным, либо логин недопустим в домене), либо просто все повторяется (вход и сразу разрыв).  
Кто нибудь знает как побороть?

Всего записей: 117 | Зарегистр. 01-12-2003 | Отправлено: 17:17 04-12-2004
chiling

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Видимо идей ни у кого нет ....

Всего записей: 117 | Зарегистр. 01-12-2003 | Отправлено: 20:08 08-12-2004
gpn

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет,
Подскажите, плз., Есть следующая ситуация. Строю VPN на основе двух w2k серверов. Один является DC второй пока простой сервер даже не входящий в домен, который я потом после построения канала хочу повысить до DC. Проблема заключается в том, что я смог поднять VPN, но не работает маршратизация хотя я настроил статические маршруты. Не может ли данная проблема быть связана с тем, что я использую различные аккаунты т.к. на AD нет локальных пользователей?

Всего записей: 1 | Зарегистр. 11-12-2004 | Отправлено: 15:43 11-12-2004
dosya



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
chiling
полагаю дело исключительно в настройках фаера.

Всего записей: 738 | Зарегистр. 27-02-2003 | Отправлено: 18:29 11-12-2004
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gpn
Роутинги нужно прописывать вручную.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 11:29 13-12-2004
chiling

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
dosya
Если интересно то вот чем предстало.
Поставил аутпоста в фоновый инвизибл, после этого впн перестал слетать каждые 5 минут.  
А то что впн сразу не восстанавливался, так тут дело скорее всего в настройках провайдера.  
Пробовал вырубить фаер полностью, ситуацию не изменило.  
Но когда подходишь через 10 мин и выставляешь соединение, то все окей !  
Видимо существует глюк аупоста с впн-ном, который у провайдера отмечается в логах и не пускаем следущие 5-10 минут...

Всего записей: 117 | Зарегистр. 01-12-2003 | Отправлено: 20:42 14-12-2004
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть проблема.
По воле судьбы сейчас дома стоит AMD K5-133, 48 Mb RAM, Win 98 SE со всеми апдейтами с МС. Задача - Через интернет подключиться по РРТР к серваку Win 2003. В интернет выхожу нормально. Как только врубаю подключение к VPN - комп виснет, но 3 кнопки слушается, то есть задачу дозвона снять можно. Может какие сторонние клиенты подскажете или проблема в чем-то другом? Фаером стоит Kaspersky Anti Hacker, настройки безопасности на Medium.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 10:45 15-12-2004
AlexUnder



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Настроил VPN сервер под Win2003, подключаюсь к нему, все работает. Не могу только разобраться, как настроить пользователей (username\password), которые смогут подключаться. Пока что получается подключиться только с такими данными:
username : administrator
password : **********
domain: SERVER-6 , т.е. имя сервера, который включен в домен.
 
Можно ли как-то связать с контроллером домена, чтобы я мог дать права на доступ к VPN серверу определенным аккаунтам (или еще лучше - группе) в домене?
Если нет, то как можно настроить любых других пользователей, к примеру одному человеку дать username1\password1 и так далее, потому что некрасиво давать им пароль администратора
 
При попытке подключиться с использованием других данных выдает вот такую ошибку (скриншот, 5 кБ) : http://www.under.com.ua/errors/vpn_error.gif

Всего записей: 80 | Зарегистр. 27-11-2003 | Отправлено: 16:37 30-12-2004 | Исправлено: AlexUnder, 18:18 30-12-2004
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexUnder
Правильно выдает. В свойствах учетной записи пользователя есть вкладка Dial-in. Там нужно поставить Allow Access и все у тебя получится. Если комп введен в домен, то тоже самое касается учетных записей домена.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 20:32 30-12-2004
AlexUnder



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос наполовину решился вот каким образом:
добавил на машине (которая в роли VPN сервера) локальных пользователей.
Может для кого-то это было очевидно, но я до этого перерыл чуть ли не все эти тонны методов аутентификации, во всех настройкаъ RRAS перелазил... В общем мне показалось все это немного нелогично!
 
А с пользователями домена пока-что связать не получается...
 
Добавлено
NEED
Пока писал последний пост - появился твой ответ! Спасибо, теперь все отлично работает!

Всего записей: 80 | Зарегистр. 27-11-2003 | Отправлено: 20:43 30-12-2004
KeinZ

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот появилось желание поднять впн от нашего локального провайдера  на своем серваке и завернув весь трафик, поднять там сквид, для чего такое извращение понадобилось не спрашивайте  
 
как и написано в how-to, ставлю ppptclient, пишу в ppp.conf:
vpn:
set authname <LOGIN>
set authkey <PASSWORD>
set timeout 0
set ifaddr 0 0
add default HISADDR
 
 
скриптиком пускаю ppp:
/sbin/route add -host ssd.tomica.ru <мой шлюз>
/usr/local/sbin/pptp ssd.tomica.ru vpn &
 
вроде поднимается tun0, но трафик через него не заворачивается, ifconfig говорит вот такое:
 
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1492
inet 83.172.3.250 --> 83.172.0.250 netmask 0xffffff00
Opened by PID 767
 
 
помогите чайнику, в какую сторону мне рыть, чтобы все работало?

Всего записей: 11 | Зарегистр. 27-08-2003 | Отправлено: 07:34 02-01-2005
CTZB6U

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
OpenVPN мучал кто?
Вопрос такой: отстроил конфиг для впн на своей тестовой локалке, перенес на реальный сервер. Openvpn отказывается поднимать соединение.
Из особенностей: на сервере стоит kerio winroute firewall 6.0.8, который отдает инет. RDP соединение с сервером происходит успешно. ОС: win2k sp4 eng.

Всего записей: 23 | Зарегистр. 17-06-2004 | Отправлено: 14:02 14-01-2005
SHVABRA

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ставил успешно POPTOP на  Linux Mandrake 8.2 (ядро самодельное 2,4,18)
Всё сделал как в инструкции к Поптоп. Авторизацией занимается PPPD.
Комп стоял как роутер (NAT) одной сетевухой в инете другой в локалке. Из самостоятельного творчества добавил только строки к конфигу файервола. Просто тупо разрешил PPP интерфейсу любой трафик и маршрутизацию, и разрешил доступ к портам VPN сервера из инета. Хочу заметить, что команду route лучше не трогать ни на клиенте не на сервере. если она автоматом ставится неправильно, думайте какие подсети использовать.  
   В результате я входил в локалку из интернета ,  подключался к любому компу в lan.
Всё отлично работало стандартными клиентами VPN из  win98 и win2k.  
Единственно доступ к сетевым папкам был через ip адреса, чтоб обзор сети работал нужно ставить wins прямо на Linux и прописывать его адрес на клиенте руками.

Всего записей: 3 | Зарегистр. 18-11-2004 | Отправлено: 13:38 18-01-2005
CoFFineR

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди, а кто-нибудь сталкивался с проблеммой мультилогина на Win 2003 ? Никак не могу побороть эту гадость...

Всего записей: 103 | Зарегистр. 14-10-2001 | Отправлено: 12:43 24-01-2005
rstar1979



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди добрые подскажите!!!
Стоят два сервака w2k с 2000 исой. между ними пров дал скорость 192 kbit.
что делаю: средствами исы создаю впн server-server по протоколу pptp все класс все работает. но время от времени канал отваливается, и на обоих серваках в интерфейсах пишется "connecting" , в евенте на одном ничего а на другом " The user XXXX connected from xxx.xxx.xxx.xxx but failed an authentication attempt due to the following reason: The specified user does not exist. " поотключаю интерфейсы, повключаю, и начинает работать.
так вот какого черта он сам не соеденяется...
 

Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 13:09 24-01-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
rstar1979
Была такая трабла.
Нужно для аутентификации пользователя включать домен учетной записи. Если его не включать, начинаются поиски уч. записи черти-где.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 15:12 24-01-2005
Fordel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здраси всем ...
 
тут всё про конект: Инет - контора, DSL -DSL, Контора - Контора.... и пр.
читать замучился ....
решил свой вопрос поставить ...
 
-
есть 2 компа, на 1 долбится в Инет через DSL (USB) ...
надо чтобы 2 комп выходил в Инет ... через 1 Комп. (прокси не предлагать.)
на 2 комп. Некоторые проги и игры не идут через прокси... ( а надо =) )
(Инет пока работает через Usergate...)
-
схема:  Инет---DSL (USB Bridge) --- 1 PC  --(Сеть.Карта - Сеть.Карта)-- 2 PC
1. Инет работает по протоколу Точка -Точка   IP динамический (на скока я понел ... ну спсна Стрим)
 
2. DSL (USB) TCP IP 192.168.0.1 ( ет такой стал когда я ехпереметировал с Общим Доступом) (был 12.13.14.15)(работает с любым адресом хз нафик ет ваще нада ) (хотя ет я так понел USB соединение Комп с Модемом ) DNS 111,112,113,114 и 211,212,213,214.
 
3. 1 комп IP  адреса могу менять как хочу ...  допустим 192,168,1,2
4. 2 комп IP  аннологично ...  доп. 192,168,1,3
 
-через что можно зделать выход в Инет 2-го компа ?? NAT ?? (чет ет такое и с чем ето едят ? - ну так примерно знаю ... типа че там с внутренними АЙПи.... ла ла ла.) VPN ?? (Если ВПН ... то где взять сервер ? ( и какой ? )) или ченить типа Шлюз  гдето нада чета написать ??  или Route  вощем я хз ...
 
Плизз раскажите поподробней ...
на 2 компе Вин2000пр    на 1 компе ХРюшкаПр
 
сорри если не в ту тему влезз ... пошлите ку тип нада ...( просто я незнаю че мне надо .. НАТ... ВПН ....Роутинг ...
 
ЗЫ. Трафф считать не обязательно ...  
ЗЫЫ... да и че такое Http тунелирование ??  мож оно мне надо ?? )
 
оч жду ответов ....  сенька алл ! :/

Всего записей: 29 | Зарегистр. 04-09-2004 | Отправлено: 16:17 24-01-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Включи IP Routing

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 17:34 24-01-2005
Fordel

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
БЛИН ПРОСИЛ ПОДРОБНЕЙ ....  
на каком компе?... .. как ???  для каких адресов ?? .... и пр.

Всего записей: 29 | Зарегистр. 04-09-2004 | Отправлено: 20:50 24-01-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Fordel
Это не та тема.
Тебе сюда:
http://forum.ru-board.com/forum.cgi?action=filter&forum=8&filterby=topictitle&word=%F0%EE%F3%F2%E8%ED%E3

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 20:55 24-01-2005 | Исправлено: NEED, 20:56 24-01-2005
rstar1979



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NEED а подскажи  
как правильно типа xxx.xxx.xxx.xxx\user
или типа  server\user

Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 19:53 25-01-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
rstar1979
Если учетную запись заводил в домене, тогда domain\username
если на сервере RAS, то server\username,
но, насколько я помню, в настройках подключающегося компав RASe должно быть отдельно поле для ввода домена (вроде пунктик Set Credential называется). Если ты учетную запись заводил на сервере RAS, тогда вместо имени домена пишешь имя RAS сервера. Если RAS сервер является контроллером домена (я допускаю и такую возможность) - тогда только имя домена.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 20:28 25-01-2005
skylined

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Уважаемые, заранее извиняюсь еси проблема обсуждалась, вощем суть такова при попытке приконнектится виндовым pptp-клиентом к виндовому ВПН-серверу, оный пишет "проверка имени и пароля" посе чего висит секунд 20 и выпадает с ошибкой 721. И GRE и PPTP протоколы енейблены и на FreeBSD и на ВинСервере
 
ЗЫ да забыл сказать что W2kS находится за БЗДей, и на ней стоит маппинг PPTP на W2KS, но я пробовал выставиить W2KS напрямую в инет и все равно при коннекте та же байда
 
В чем могет трабла быть? Может железный роутер устаревший какой-то, в смысле GRE не поддерживает...

Всего записей: 294 | Зарегистр. 27-06-2003 | Отправлено: 14:27 31-01-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Попробуй по L2TP. Должно получиться

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 18:00 31-01-2005
wwwSerg



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Такй вопрос,  
Нужно нескольких компов конэктить по VPN,  
как Можно сделать, чтобы на каждом компе не настраивать VPN, а например на одном сделать подключение к VPN, а остальные чтобы ходили через него(ну типа сервера)., на остальных ставлю основйной на комшлоз IP так называемого сервера, но не проходит,  
Подскажите, плз, как правильно это омжно осуществить,  
Зарание благодарен.

Всего записей: 63 | Зарегистр. 08-10-2004 | Отправлено: 17:38 14-02-2005
SooS



Пивняк
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет всем =)  
Есть проблемка - у меня написан cmd который кладет файл на ftp. На компах с обычными соединениями всё работает в шоколаде, а вот на компе с vpn скрипт соединяется с сервером, удаляет старый файл, а вместо нового кладет файл размером 0 =\ как решить?

Всего записей: 617 | Зарегистр. 05-08-2002 | Отправлено: 15:58 19-02-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SooS
Может на фаерволе нужно открыть порт 20 или пробовать ложить файл в пассивном режиме (PASV)

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 11:17 21-02-2005
SooS



Пивняк
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NEED
Как лить в пассивном режиме используя консоль виндоус? О каком фаерволде идет речь? если о том что на соединяющемся компе, то насколько я понимаю он это дело не блокирует

Всего записей: 617 | Зарегистр. 05-08-2002 | Отправлено: 17:24 22-02-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SooS

Цитата:
Как лить в пассивном режиме используя консоль виндоус?

Я же написал. Используя команду PASV
 

Цитата:
О каком фаерволде идет речь? если о том что на соединяющемся компе, то насколько я понимаю он это дело не блокирует

Смотря какой фаервол установлен... А на серваке, если не настроили, может порт быть закрытым.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 17:44 22-02-2005
SooS



Пивняк
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NEED
Я прекрасно понимаю что пасв это пассивный режим - но говорю же  
Цитата:
 используя консоль виндоус
. т.к. выполняет всё ЦМД

Всего записей: 617 | Зарегистр. 05-08-2002 | Отправлено: 20:59 22-02-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SooS
А она по-твоему где набирается. Это как раз для консоли команда. Точнее она через консоль передается фтп-серверу. Сам так делал.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 21:08 22-02-2005
SooS



Пивняк
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NEED
Список консольных команд фтп виндовс
!               delete          literal         prompt          send
?               debug           ls              put             status
append          dir             mdelete         pwd             trace
ascii           disconnect      mdir            quit            type
bell            get             mget            quote           user
binary          glob            mkdir           recv            verbose
bye             hash            mls             remotehelp
cd              help            mput            rename
close           lcd             open            rmdir

Всего записей: 617 | Зарегистр. 05-08-2002 | Отправлено: 21:11 22-02-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SooS
Угу. А теперь подключаемся к ФТП-серверу и набираем команду

remotehelp

и вуаля, видим команду PASV
и много других доступных нам команд.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 21:19 22-02-2005 | Исправлено: NEED, 21:21 22-02-2005
SooS



Пивняк
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NEED
Можешь объяснить доходчиво как это написать
соединяюсь следующим образом

o 195.128.***.***
log
pass
lcd Q:\inet
cd shadow
type binary
send ost.rar
quit

Всего записей: 617 | Зарегистр. 05-08-2002 | Отправлено: 17:32 24-02-2005
Golden Eagle



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А не подскажите, можно ли как-то заставить VPN клиент в Windows XP соединяться автоматически, а то как-то надоело в рукопашную подключаться!

Всего записей: 144 | Зарегистр. 08-09-2001 | Отправлено: 23:42 24-02-2005
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Golden Eagle
создать ярлык соединения и поместить его в Автозагрузку.

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 01:09 25-02-2005
Netrix



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Консольное приложение rasdial.exe

Всего записей: 77 | Зарегистр. 27-01-2004 | Отправлено: 10:20 25-02-2005
olsufr



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возможно ли и каким образом создать VPN сеть между двумя компьютерами соединенными через Wi-Fi, пользуясь лишь средствами Windows XP (SP2)?

Всего записей: 363 | Зарегистр. 07-08-2002 | Отправлено: 23:47 04-03-2005
Art77791



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мне необходимо поднять VPN сервера на windows 2003. Все что прочитал в этой теме, пока не очень понятно. Не нашел рускоязычных доков с картинками и описанием по 2003-ему. Может быть плохо искал?
Где бы найти подробное описание настройки RAS ?    

Всего записей: 34 | Зарегистр. 01-03-2005 | Отправлено: 18:13 08-03-2005 | Исправлено: Art77791, 18:16 08-03-2005
dadasads

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Почему у меня в xinXP сервере стоит скорость впн для клиента 28 кбит/с? Как её увеличить?

Всего записей: 6 | Зарегистр. 10-03-2005 | Отправлено: 21:53 11-03-2005
olehs



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Art77791
_http://www.smart-soft.ru/?page=rras
Глянь. Там есть как настроить RRAS

Всего записей: 15 | Зарегистр. 13-01-2005 | Отправлено: 00:40 13-03-2005 | Исправлено: olehs, 00:41 13-03-2005
skylined

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Прошу простить еси было...
Не подскажете че надо подправить в реестре, чтобы галка "с использованием удаленного доступа" в логиновом окошке по умолчанию всегда была установлена?
 
Заранее спасибо




нарушение пункта 3.2 Правил форума (отход от темы). Задай свой вопрос в отдельной теме в форуме Операционные системы
dg

Всего записей: 294 | Зарегистр. 27-06-2003 | Отправлено: 17:38 16-03-2005 | Исправлено: dg, 12:04 17-03-2005
Laurent

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть сервер 1 с белым айпишником.
Есть сервер 2 с белым айпишником.
Есть сервер 3 с серым айпишником.
 
Хочу подключиться с сервера 1 к серверу 3. Какие порты надо мапить на сервере 2, чтобы установить соединение с использованием PPTP? Достапточно ли замапить порт 1723 или что-то еще требуется?

Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 15:13 23-03-2005
merlkerry

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Хочу подключиться с сервера 1 к серверу 3. Какие порты надо мапить на сервере 2, чтобы установить соединение с использованием PPTP? Достапточно ли замапить порт 1723 или что-то еще требуется?  

 
присоединяюсь к вопросу -
моя ситуация - хочу чтобы весь траффик между двумя офисами инкапсулировался в PPTP, поэтому хочу прикрыть все не нужные порты на раутере. Но он не мой, а я могу только спросить ответственным лицам список портов которые оставить открытыми. Так что методом проб пойти не могу ...

----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 15:36 24-03-2005
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Laurent
merlkerry

Цитата:
Достаточно ли замапить порт 1723  

достаточно.

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 16:27 24-03-2005
merlkerry

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а другие порты не нужны на момент соединения? ну там чтобы с протоколом определиться, аутентифицироваться нормально?

----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 18:27 24-03-2005
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
merlkerry
протокол и метод аутентификации указывается в свойствах соединения.

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 18:40 24-03-2005
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
merlkerry
еще должен быть разрешен протокол GRE (№47) Это не порт!

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 18:43 24-03-2005
merlkerry

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
протокол и метод аутентификации указывается в свойствах соединения.

эт я понимаю -я и оставил тока MSCHAPv2 & EAP (кстати, зачем он мне, если у меня нет ни CA, ни смарт карт?).
 

Цитата:
еще должен быть разрешен протокол GRE (№47) Это не порт!

а это как проверить?  
 
собственно сейчас все у меня работает - все коннектится - но мне нужно представить список портов, которые я юзаю, и мне их будут пробрасывать с внешнего раутера, а остальные прикроют ...
 
а мне нужно связать DC в центральном офисе и DC в региональном. e меня Single Domain Forest - все живет на OU ...
 
 


----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 18:52 24-03-2005 | Исправлено: merlkerry, 18:55 24-03-2005
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
merlkerry
вот чего получается:
PPTP            1723 TCP Outbound
PPTP Server 1723 TCP Inbound
L2TP Client   1701 UDP Send Receive
L2TP Server 1701 UDP Receive Send

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 19:01 24-03-2005
Laurent

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
merlkerry  
вот чего получается:  
PPTP            1723 TCP Outbound  
PPTP Server 1723 TCP Inbound  

 
Проверено... работает ... На шлюзе стоит WinProxy 6.x  
Только мне не понятно, почему ISA 2000 не позволяет такие фокусы проделывать, как меня убеждали...
 
wchik
 
Админ арендодателей(вледельцев роутера) весьма удивился, когда я начал спрашивать его о GRE..? Поинтересовался, что же мне надо - GRE или PPTP?

Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 08:29 25-03-2005
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Laurent

Цитата:
почему ISA 2000 не позволяет такие фокусы проделывать

какие фокусы? почему не позволяет?

Цитата:
GRE или PPTP

как вариант:
Порты и протоколы на серверах под управлением операционных систем Microsoft Windows
Настройка подключения к виртуальной частной сети (VPN) в Windows XP

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 00:10 26-03-2005
gyt

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
привет.
есть вопросик, как я понял он очень насущный.
допустим есть две конторы, соеденненые vpn сетью, с пропускной способностью х,
стоит терминалка. как пользователям чужой сети печатать свои документы из под терминалки в локальной сети? имеется ввиду какая пропускная способность нужна или как это сделать проще? слышал о хитрых принтерах...

Всего записей: 73 | Зарегистр. 05-03-2004 | Отправлено: 12:37 26-03-2005
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Laurent

Цитата:
GRE или PPTP?

Ну так вопрос ставить нельзя, PPTP использует GRE для туннелирования, зачем отрывать одно от другого?
и самое главное: если шлюз не фильтрует траффик, то все будет работать
и возможно будет работать если пропускать на PPTP порты траффик типа ALL, а не только  TCP и UDP  
Просто надо понять, что фильтрация может происходить не только на уровне портов, а и на уровне протоколов, если у вас фильтруются только порты, то не беспокойтесь о GRE пакетах вполне возможно, что они будут спокойно ходить.
 
Добавлено:
gyt
не совсем ясен вопрос, дело в том, что ВПН соединение абсолютно прозрачно для приложений, потому если в терминалке настроен принтер, то все будет работать нормально при условии правильно настроенной маршрутизации и ДНС + WINS желательно

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 10:55 28-03-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gyt
Я настраивал у себя в конторе терминалку на модеме на плохой линии. Качество связи давало скорость 19200 (маловато, не так-ли?). Принтер HPLJ 1220. Первая страница при 600 DPI вылезала через 10 минут. Дальше все шло быстрее.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 15:06 28-03-2005
gyt

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik
немного поясню: пользователи в удаленной конторе работают в терминалке через впн-сетку, которая соеденина с основным офисом. работа в основном в 1с. необходимо будет печатать документы с терминалки на локальных принтерах ( это в удаленном офисе) , суть вопроса в том какая для этого нужна пропускная способность ?? либо как это все будет выглядеть если будут использоваться факсы????
 
просто при печати по слабой линии документы будут печататься по 10 минут, а их нужно будет печатать по 100 листов: итого 1000 минут или 16 часов, что не есть гуд
 
Добавлено:
NEED
очень очень очень медленно
представь если магазин с общей базой 1с и нужно печатать документики

Всего записей: 73 | Зарегистр. 05-03-2004 | Отправлено: 14:00 29-03-2005
ColdSUN

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
У меня вот тоже есть вопросик. Есть две локальные сети. С одной стороны шлюзом стоит cisco secure pix 506e, с другой линуксовая машинка. Можно ли сделать так чтобы из одной локальной сети полностью было видно другую, и наоборот. Сервер-клиент, тоесть Pix в качестве сервера и cisco vpn client с другой стороны на виндовой машине, у меня работает.

Всего записей: 64 | Зарегистр. 05-05-2004 | Отправлено: 13:45 30-03-2005
merlkerry

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вопрос такой - как совместить LAN Manager authentification level = NTLMv2 (Refuse LM/NTLM) и VPN remote access для Windows Server 2003
 
прошу прощения - клиент версии 2000 SP4

----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 22:08 31-03-2005 | Исправлено: merlkerry, 22:12 31-03-2005
merlkerry

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
проблема решена правкой реестра согласно доки - http://support.microsoft.com/?kbid=893318, не смотря на то, что у меня нет IAS, чистый RRAS
 
З.Ы. ясное дело, что предварительно установил на сервер SP1.

----------
Вокруг одни враги.
Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 16:56 01-04-2005
Anar322

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здрасти!
 
Есть маленькая проблема:
В офисе навалом компьютеров, некоторые из которых должны подключаться через ВПН (VPN) к другой сети.
Сегодня на каждом из них стоит отдельный диалАп.
Вся сетка на АДСЛ-е в Интернете, раздается WinGate-том.
 
КАК пустить ВПН сквозь интернетовский сервак через АДСЛ??????
Вобще сквозь какие порты работает ВПН, через Default gateway или как ???
Почему по умолчанию, для ВПН нужен отдельный коннект, и по умолчанию, он прикрывается для остальных пользователей сети?????
 
Дайте хотябы приличные ссылки - три сутки ничего нормального найти не могу!!!
 
Большое спасибо!

Всего записей: 3 | Зарегистр. 05-04-2005 | Отправлено: 11:09 05-04-2005
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anar322
VPN в зависимости от протокола может использовать следующие порты:
IPSec - UDP 500
L2TP -  UDP 1701
PPTP -  TCP 1723
NAT-T  UDP 4500
 
Если задача соединения сетей не разовоя, то проще настроить Site-2-Site VPN с твоего сервера на их сервер и на серверах прописать маршрутизацию, чтобы клиенты ходили туда без установления собственных каналов. WinGate (ИМХО) с этим нормально не справится, а вот ISA 2004 Standart Edition - на ура

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 12:56 05-04-2005
Anar322

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Многоувжаемый kibkalo, ставить ИСУ мы еще не намерены, хотя надо бы. ВПН у нас идет по L2TP, но обычный УДП маппинг на ВинГате не помогает:
Я сожаю его на порт 1701 и перенаправляю на ИП-шку ВПН сервера, как и любой другой маппинг, но на клиенте, прописав вместо ИП ВПН сервера адрес нашего нетовского сервера - получаю 792 ошибку, ТаймАут. А в логах УДП все чисто - никто не коннектился, т.е. это дело не хляет.
 
А 500 УДП и 1723 ТСП вообще отказываются запускаться на ВинГате!

Всего записей: 3 | Зарегистр. 05-04-2005 | Отправлено: 17:51 05-04-2005
kibkalo



Убью Билла
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Anar322 - увы, ничем по вингейту помочь не могу. Не видел его в глаза и врядли когда увижу

Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 19:21 05-04-2005
SaDFromSpb



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
  На ISA 2004 Настроил VPN (входящее через модем). Так же настроил RRAS, как Remote Access Server + router. Но дело в том, что модем никак не может брать трубку. Когда я настраивал обычный REmote Acces без VPN, модем брал трубку, даже если позвонить с обычного телефона. Вопрос: должен ли он поднимать трубку при звонке с обычного телефона (не с модема), если настроен VPN. Просто проверять с помощью удаленного компа сейчас нет возможности.

Всего записей: 209 | Зарегистр. 22-06-2004 | Отправлено: 15:01 16-04-2005
pridecom



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Сервак vpn 2003sp1  
Прокся дебьян  
ПроРедиректил уже так  
$IPTABLES -t nat -A PREROUTING -p tcp -d 81.1.1.100 --dport 1723 -j DNAT --to 192.168.1.40:1723  
$IPTABLES -t nat -A PREROUTING -p udp -d 81.1.1.100 --dport 1701 -j DNAT --to 192.168.1.40:1701  
$IPTABLES -t nat -A PREROUTING -p udp -d 81.1.1.100 --dport 500 -j DNAT --to 192.168.1.40:500  
Однако этого недостаточно  
Еще нужны порты наверное какие-то ?  
Не пускает из инета!  
В локалке все нормально использую PPTP!

Всего записей: 611 | Зарегистр. 22-11-2004 | Отправлено: 15:06 18-04-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а что делать с исходящими пакетами от 192.168.1.40 ? ведь их тоже пробрасывать нужно.
 

Код:
# внешняя сетевуха
INET_IP="81.1.1.100"
# локальная сетевуха
LAN_IP="192.168.1.2"
# машина с впн-ом
VPN_IP="192.168.1.40"
 
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP
iptables -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP

 

 
не забудь , что цепочка INPUT находится за  PREROUTING. Поэтому правила блокирования работать не будут... в любом случае проверить не сложно
могу ошибаться - не силен в iptables-ах
 
Есть еще такая софта - называется simpleproxy , для тестов самое оно. Если с ней все заработает - тогда можно и к написаниям правил для iptables приступить
 
Добавлено:
pridecom

Цитата:
Прокся дебьян  

респект
У меня рабочая станция тоже деба, а вот на серваках стоит redhat или fedora. Гадость Но никуда не денешься

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 13:56 20-04-2005 | Исправлено: tankistua, 14:07 20-04-2005
pridecom



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
   $IPTABLES -t nat -A PREROUTING -p tcp -d 81.1.199.110 --dport 1723 -j DNAT --to 192.168.1.40:1723
    $IPTABLES -t nat -A PREROUTING -p udp -d 81.1.199.110 --dport 1701 -j DNAT --to 192.168.1.40:1701
    $IPTABLES -t nat -A PREROUTING -p udp -d 81.1.199.110 --dport 500 -j DNAT --to 192.168.1.40:500
    $iptables -t nat -A PREROUTING --dst 81.1.199.110 -p tcp --dport 1723 -j DNAT --to 192.168.1.40  
    $iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.40 --dport 1723 -j SNAT --to 192.168.1.1  
    $iptables -t nat -A OUTPUT     --dst 81.1.199.110 -p tcp --dport 1723 -j DNAT --to 192.168.1.40
не пашет
Помоги найти ошибку в нижних 3 строках

Всего записей: 611 | Зарегистр. 22-11-2004 | Отправлено: 08:31 21-04-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а порты ты зачем указываешь ? ведь это не обязательно как минимум.
 
да и неправильно ты написал.
Сделай с переменными. Да и поаккуратней надо быть с переменными, у тебя регистр прыгает , а это критично.
З.Ы. я к переменным начал серьезно относиться, когда от корня на все файлы сделал chmod 777 :) Хороше хоть на своей машине.
 
# внешняя сетевуха  
INET_IP="81.1.1.100"  
# локальная сетевуха  
LAN_IP="192.168.1.2"  
# машина с впн-ом  
VPN_IP="192.168.1.40"  
 
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP  
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP  
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP
 
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP  
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1701 -j SNAT --to-source $LAN_IP  
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP
 
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP  
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 500 -j SNAT --to-source $LAN_IP  
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP
 
Это что касается вопроса о твоем скрипте.
 
Теперь дальше.
В любом случае надо смотреть каким образом проходит соединение между локальными машинами, какие порты открываются и прочее. Опять же как вариант - поставить VPN на гейте, и прописываешь на клиентах статик роут и они будут ходить в твою локалку. Вот это делается вообще с пол-тычка.
http://www.opennet.ru/base/net/openvpn_setup.txt.html
если все по инструкции делать - то все без проблем получается. У меня друг делал, при чем на винде. У него без проблем завелось.
 
А в айпитейблса я всетаки не силен :)
Если что-то надо читаю  
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
 

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 12:22 21-04-2005
pridecom



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
tankistua
Выполняю
testproxy:/etc/init.d# ./firewall.sh start
и получаю
./firewall.sh: -t: command not found
./firewall.sh: -t: command not found
./firewall.sh: -t: command not found
Кстати клиент начинаетпроверять имя пользователя и пароль.
Как узнать в каких строках косяк ?

Всего записей: 611 | Зарегистр. 22-11-2004 | Отправлено: 15:17 21-04-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну переменную ж нада определить.
 
IPTABLES="/sbin/iptables"
 
# внешняя сетевуха  
INET_IP="81.1.1.100"  
# локальная сетевуха  
LAN_IP="192.168.1.2"  
# машина с впн-ом  
VPN_IP="192.168.1.40"  
   
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP  
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP  
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP  
 
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP  
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1701 -j SNAT --to-source $LAN_IP  
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP  
 
$IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP  
$IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 500 -j SNAT --to-source $LAN_IP  
$IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 17:28 21-04-2005
pridecom



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
ну дык определена
 
IPTABLES=/usr/local/sbin/iptables

Всего записей: 611 | Зарегистр. 22-11-2004 | Отправлено: 12:40 22-04-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
IPTABLES=/usr/local/sbin/iptables

а кавычки ?:)
а у тебя точно дебиан ?  
а то у меня как бы в другом месте лежит
сделай whereis iptables, он тебе расскажет.
 
в дебиан такой путь: IPTABLES="/sbin/iptables"
 
в любом случаем можно из консоли попробовать
 
# /sbin/iptables  -t nat -A PREROUTING --dst 81.1.1.100 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.40
 
и т.д. - только внимательнее !!!!! :)

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 13:41 22-04-2005
LexxRT

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ALL
есть проблема.
 
сетка такая: на "сервере" стоит 2003 ентерпрайз. на нем 3 интрефейса, адсл к прову, двб-карта. + локалка. на шлюзе установлен Agnitum Outpost Firewall Pro 2.5.375.4822 (374)  
пока его установил настроек поковырял немеренно. уже даже не помню какие  
ип шлюза белый статический. при включенном фаервол. ни как не хочет конектится ВПН с машины внутри локальной сети.  
Помогите решить проблему и просветите заодно какие порты и/или протоколы использует ВПН.

Всего записей: 4 | Зарегистр. 05-04-2005 | Отправлено: 23:50 29-04-2005
skylined

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
LexxRT
 
Для PPTP я открывал TCP 1723 и IP 47 (GRE)
-------------------------------------------------------------------------
 
Пипл, подскажите плиз.  
Еси у клиента ВПН в инете - статический ИП, можно ли при подсоединении к серверу ВПН сделать машину невидимой в инете (шоб она не пинговалась, итд..) БЕЗ файрвола? Есть ли какие-то решения для этого?
 
ЗЫ спасибо

Всего записей: 294 | Зарегистр. 27-06-2003 | Отправлено: 11:50 05-05-2005
Mirus

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Работаю в сети, где в интернет есть выход только через прокси и сокс5.
Можно ли в данном случае как-нибудь подключиться к удаленному VPN серверу (тип VPN - L2TP)?
Пробовал создавать соединение и запускать его через rasdial запущенный через SocksCap - не получилось
Может есть VPN клиент умеющий работать через сокс?

Всего записей: 29 | Зарегистр. 10-01-2003 | Отправлено: 01:42 07-05-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
по всей вероятности напрямую нет, потому что L2TP работает поверх РРР
а сокс прокси поддерживает только TCP & UDP. Возможно , если сначала поднять PPPoE а потом уже строить подключение - тогда может и заработает.
Но я х.з. - помоему это изврат :)
 
Добавлено:
да и не знаю я можно ли такое построить вообще :)

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 23:59 08-05-2005
saa85

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нужен совет:
ситуация такая-имеется сетка в влане за файрволом,  куча сетевой инраструктуры(много организаций в одной сетке), все очень грамтоно и надолго реализовано. теперь руководство хочет удаленный доступ и вай фай.  
 
связы с чем переговорил с нашими спецами по сетям и пришли к выводу что наминее геморный способ для удаленного доступа  (и притом наилучший вариант в связы урезанностьи бюджета) это установка впн (ремоте акссес) сервера рядышком с файрволом который будет роутит в интранет.(планируется вин 2003 на ХП мл110)
 
теперь вопрос 1? впн в российских условиях через наты разных интернет провайдеров или наты домашних сетей будет работать?(на какие виды шифровки можно надеятся?) слышал ипсек с натом не дружит.
 
пункт2 безопасность. после долгих раздумий решил остановится на рекомендации майкрософта и поставить отдельный радиус сервер чтоб аутентификацией занимался.(+ еще аут ва фай-а тоже прикрутить).
 
теперь вопрос 2 насколько это оправдано? есть примеры имплментацый?  
 
спасибо

Всего записей: 61 | Зарегистр. 29-06-2003 | Отправлено: 00:10 13-05-2005
llir2002rik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А у меня такой вопрос.
 
Есть такая ситуация: я через впн(стандартное подключение  VPN в  XP) подключаюсь к серверу и так выхожу в инет. А теперь вопрос я поставил еще один VPN(Cisco VPN Client) и хочу подключится через него по инету через тунель к другой сети.
 
 
Возмоли ли такое???
 
 
 
Зарание спасибо!!!

Всего записей: 7 | Зарегистр. 26-08-2002 | Отправлено: 10:52 19-05-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
угу , статичские роуты проще всего прописать

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 13:59 19-05-2005
llir2002rik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
можно об этом по подробнее!!!
зарание спасибо

Всего записей: 7 | Зарегистр. 26-08-2002 | Отправлено: 17:36 19-05-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ууууууууу, подробно времени не хватит :)
 
http://www.protocols.ru/files/RFC/rfc1180.pdf
почитай , по русски и доходчиво , что непонятно - спрашивай. Азы знать будет не лишним.
 
в винде: пуск, выполнить. Пишешь cmd, потом route /?

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 11:04 20-05-2005
llir2002rik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот смотрите.
У меня ип(192.168.0.23) ->я подключаюсь к серверу(192.168.0.1) -> и так выхожу в инет. Потом запускаю Vpn Client и хочу по туннелю соединится с еще одной сетью. оно меня не пускает. (я думаю впн не могут между собой разобраться)
 
Вопрос что?? куда?? мне сделать роут???

Всего записей: 7 | Зарегистр. 26-08-2002 | Отправлено: 14:40 20-05-2005
AlexUnder



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возникла проблема:
Был раньше у меня в сети VPN сервер настроен средствами w2k3, к нему коннетились клиентские машины из удаленных офисов, для получения IP адреса из моей сети, что давало им доступ к SMTP и еще некоторым сервисам. Потом нужно было перенести VPN на другой сервер, win2000. Настроил по-новому, но появились проблеммы:  
 
1. При подключении к VPN моментально пропадает интернет (сразу же выключается icq, почта и т.д.), хотя VPN остается подключенным.
В настройках подключения клиента поменялся только IP, поетому думаю дело в настройках сервера.
-----------
Этот вопрос решился убиранием галки "использовать основной шлюз" в свойствах VPN соединения, как было написано в теме http://forum.ru-board.com/topic.cgi?forum=8&topic=10101#3. Прошу прощения, счел эту тему единственной по VPN, а остальные перед тем как писать, не читал, прочитал лишь потом, когда нашел ту тему через гугол
-----------
 
2. Раньше получалось подключаться с именем и паролем из домена в моей сети ,сейчас же получается подключиться только локальным пользователем VPN сервера.  
 
Подскажите, в какую сторону копать, а то я в сетевых вопросах очень "плаваю".
 
P.S. На сервере стоит фаервол Outpost, на старом не было, может ли в этом дело быть?

Всего записей: 80 | Зарегистр. 27-11-2003 | Отправлено: 15:49 27-05-2005 | Исправлено: AlexUnder, 16:23 27-05-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
llir2002rik

Цитата:
http://www.protocols.ru/files/RFC/rfc1180.pdf

 
прочитай РФЦ !!!!!!!
 
 

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 14:16 28-05-2005
Rastaman



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как настроить vpn, что бы все проги шли через их сервер. Инет у меня по Dial-up.
 
Я установил Kerio VPN Client, вписал: сервер, логин, пароль. Соединяется. Но все идет через провайдера. Вписал в Mozilla в прокси 10.100.0.1, IP изменился на ВПНовский.

Всего записей: 153 | Зарегистр. 18-09-2004 | Отправлено: 18:42 28-05-2005
skylined

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexUnder

Цитата:
При подключении к VPN моментально пропадает интернет

В настройках клиента сними галку "Использовать шлюз удаленной сети"
\сеть\свойства tcpip\дополнительно\

Всего записей: 294 | Зарегистр. 27-06-2003 | Отправлено: 22:56 28-05-2005 | Исправлено: skylined, 22:58 28-05-2005
llir2002rik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Единственное решение которое я смог найти это поставить виртуальную машину и впн клиен на неё только тогда оно начало нормально работать.
 
А два впн клиента на одной машине у меня не ужились!!!

Всего записей: 7 | Зарегистр. 26-08-2002 | Отправлено: 19:01 07-06-2005
teg



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не смогла найти подсказки для своей ситуации...
Рассказываю по порядку -  
 
Есть два офиса в разных городах. В обоих интернет по выделенке. В одном офисе стоит DI-804HV, в другом, к несчаcтью, просто DI-804 (каюсь просмотрела, когда заказывали, не настояла на том, чтобы и второй был хотябы V) Т.е. организовать VPN-Tunnel средством рутера никак (?)
 
Везде сервера - Win2003AS, подняты AD, DNS и DHCP.
Одна сетка - 192.168.0.0, вторая 192.168.1.0
 
Поднимаю RRAS. Поднимаю интерфейсы вызова по требованию. (соответственно маршруты). Прописываю внешние адреса рутеров, тип соединения - PPTP (хотя бы для начала), аккаунты, - соединяюсь.
Ура - тунель встает! Но! Маршруты к сеткам офисов естественно встают только на этих серверах. Т.к. Свойства IP у интерфейсов - "Получить автоматически", не могу прописать в DHCP эти сервера маршрутизаторами для ЛВС.  
Тем более там уже есть маршрут по умолчанию - железка DI-804
 
Руками я могу написать, например, у себя "rote add 192.168.1.0 mask 255.255.255.0 192.168.0.xx" где хх - адрес выданный второму серверу при установлении VPN. И все работает. Но хотелось бы, чтобы это делалалось автоматом для всех клиентов в обоих сетках.  
 
Я так понимаю, мне надо вместо динамических адресов на интерфейсах вызова по требованию, надо как то прописать статические и в DHCP обоих сеток прописать маршруты, так?
 
Или есть какие то другие способы?
 

Всего записей: 62 | Зарегистр. 28-02-2003 | Отправлено: 14:44 05-07-2005
Alan Mon

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Руками я могу написать, например, у себя "rote add 192.168.1.0 mask 255.255.255.0 192.168.0.xx" где хх - адрес выданный второму серверу при установлении VPN.

А если вместо адреса, выданного при установлении VPN, прописать локальный адрес этого сервера разве не будет работать?

Цитата:
и в DHCP обоих сеток прописать маршруты



----------
Ребята, давайте жить дружно. Кот Леопольд

Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 15:22 05-07-2005
teg



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А если вместо адреса, выданного при установлении VPN, прописать локальный адрес этого сервера разве не будет работать?  

надо попробовать...
 
что то затормозила... действительно... сейчас попробую

Всего записей: 62 | Зарегистр. 28-02-2003 | Отправлено: 16:24 05-07-2005 | Исправлено: teg, 18:15 05-07-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Есть два офиса в разных городах. В обоих интернет по выделенке.

Тут вся темя про PPTP, но в данной ситуации более практично будет воспользоваться OpenVPN: http://openvpn.net/ . Организуется Bridge и 2 сетки прозрачно соединены.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 16:32 05-07-2005
FreemanRU



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yaleks

Цитата:
Тут вся темя про PPTP, но в данной ситуации более практично будет воспользоваться OpenVPN

Не путайся сам и других не путай - PPTP - это протокол, а OpenVPN - это программа, которая в том числе может работать и по PPTP.

----------
Если не получается с первого раза - прочти инструкцию. (с)
"Откуда нам знать, что такое война, если мы не знаем мира..."(с)
Записки

Всего записей: 3772 | Зарегистр. 16-07-2004 | Отправлено: 17:21 05-07-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
OpenVPN - это программа, которая в том числе может работать и по PPTP

Читаем...
http://openvpn.net/

Цитата:
There are three major families of VPN implementations in wide usage today: SSL, IPSec, and PPTP. OpenVPN is an SSL VPN and as such is not compatible with IPSec, L2TP, or PPTP.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 18:05 05-07-2005 | Исправлено: yaleks, 18:07 05-07-2005
teg



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Тут вся темя про PPTP, но в данной ситуации более практично будет воспользоваться OpenVPN: http://openvpn.net/ . Организуется Bridge и 2 сетки прозрачно соединены

а зафига мне еще и этот OpenVPN? RRAS вполне прозрачно сетки объединил - мне лишь надо об этом клиентам "рассказать"

Всего записей: 62 | Зарегистр. 28-02-2003 | Отправлено: 18:18 05-07-2005 | Исправлено: teg, 18:20 05-07-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А, понятно в чём затык.
Тогда на DLink'ах прописать статический роут той удалённой сетки(IP сетей ведь не одиниковые?) на сервак, а на серваке поднять маршрутизацию тоже. И соотв. на другом конце аналогично.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 19:01 05-07-2005 | Исправлено: yaleks, 19:04 05-07-2005
teg



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Эт я просто протормозила - вредно ночью работать
Все получилось так как описано было выше - просто прописала в DHCP маршрутизатором по умолчанию для клиентов адрес сервера-маршрутизатора и все.
 
Теперь другая проблема - надо объединять AD но это уже в другую эху...

Всего записей: 62 | Зарегистр. 28-02-2003 | Отправлено: 07:57 06-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Люди добрые поможите, имею:
Win2k3 + KWF + RRAS (с двух сторон) поднимаю vpn между двумя офисами...
vpn (PPTP) поднялся туда и сюда, статический роут прописал.
идём дальше с любого из роутеров удалённая сеть пингуеться, а вот с сети на сеть пинги не идут (  
куда копать????

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 18:51 09-07-2005
MindKeeper



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
например если конфигурация такая:
 
(сеть 1) --- [шлюз1] --------   VPN   ------- [шлюз2] --- (сеть 2)
 
нужно прописать на компах в сети 1 роут на сеть 2 через шлюз 1, на шлюзе 1 роут на сеть 2 через шлюз 2, на компах в сети 2 роут на сеть 1 через шлюз 2, и на шлюзе 2 роут на сеть 1 через шлюз 1.

Всего записей: 224 | Зарегистр. 04-11-2003 | Отправлено: 21:02 09-07-2005 | Исправлено: MindKeeper, 21:04 09-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MindKeeper
 Дело в том что и шлюз1 и шлюз2 в сети шлюзы по умолчанию.
и усли делать tracert то видно что пакеты до шлюза доходят! а дальше болт

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 14:39 11-07-2005
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
BadBarmaley
Наверное настройки твоего KWF тогда копать надо, если ты настаиваешь, что маршрутизация правильно настроена.

Всего записей: 2896 | Зарегистр. 30-05-2002 | Отправлено: 14:56 11-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Я ужо ради теста посносил везде KWF к еЁЁЁЁ матери, всё тоже самое
 
Народ, а никто не даст сцылочку типа: "VPN между офисами для дебилов" и т.д. ????

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 20:55 13-07-2005
corona2632

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
НУжна помощь опытных системных администраторов.
Не могу соединиться по сети с интернет через VPN соединение. Сеть работатет нормально. Пишет, что пароль и логин недопустимы. Хотя в биллинг вхожу без проблем под этим же паролем и логином. А теперь, после общения с админом, вообще выдает ошибку 735. Админ говорит, что это на моей стороне. Я уже удалял и настраивал по-новому все соединения (сеть и интренет), IP адреса введены правильно. А соединиться не могу. БУду благодарен любой помощи.
С уважением
Александр

Всего записей: 2 | Зарегистр. 14-07-2005 | Отправлено: 17:21 14-07-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Народ, а никто не даст сцылочку типа: "VPN между офисами для дебилов" и т.д. ????

такая пойдёт - http://www.samag.ru/cgi-bin/go.pl?q=articles;n=08.2004;a=01 ?
 
Добавлено:
corona2632
У тебя там не WinXP случаем? Тогда  

Код:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NdisWan\Parameters\Protocols\0]
"ProtocolType"=dword:00000800
"PPPProtocolType"=dword:00000021
"ProtocolMTU"=dword:00000574


Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 13:05 16-07-2005
DreyX

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BadBarmaley
Вы пингуете кого и чего?

Всего записей: 1153 | Зарегистр. 16-06-2004 | Отправлено: 13:17 18-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Люди простите что так медленно отзываюсь, просто форум открываеться тока по выходным или до 9 утра и после 12 ночи что не очень способствует живому общению (
 
Так вот:
 
Сеть1 ---- Роутер1 ----VPN---- Роутер2 ---- Сеть 2
 
Сеть 1 - для теста накачена WinXP на VMWare
"Роутер1"- Win2K3 SP1 + RRAS + настроенное VPN подключение в RRAS
"Роутер2"- Win2K3 SP1 + RRAS + настроенное VPN подключение в RRAS
Сеть 2 - для теста накачена WinXP на VMWare
 
Роутер1 и Роутер2 - есть шлюзы по умолчанию.
 
Итак что пингуеться что нет
ping с Роутер1 на Роутер2 есть
ping с Роутер1 на сеть 2 есть
ping с Сеть1 на Сеть2 НЕТУ!!!
С другой стороны тоже самое.
 
tracert показывает что пакеты и с сеть1 и сеть2 идут на шлюзы, а дальше никуда...
 

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 09:40 19-07-2005
DreyX

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BadBarmaley
Вы не поняли.
Вы пробуете пинговать физические шлюзы или VPN соединения?
При соединении по VPN поменяются IP и шлюзы.

Всего записей: 1153 | Зарегистр. 16-06-2004 | Отправлено: 09:51 19-07-2005
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BadBarmaley
на одной из машин в каждой сети пропиши роутинг на другую сеть и проверь пинг.

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 10:06 19-07-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
DreyX
Должен не согласиться, так как при правильной настройке VPN, IP не меняется, а таблица роутинга дополняется правилами на подключаемые сети.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 10:45 19-07-2005
DreyX

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NEED
Может быть. Но это как организовать VPN.
Простой пример для данного случая.
 
Имеем:
 
Сеть1 ---- Роутер1 ----VPN--------VPN---- Роутер2 ---- Сеть 2
 
192.168.1.x-------------10.10.1.x----10.10.2.x-----------192.168.2.x
 
Где при подключении по VPN комп меняет IP c 192.168.1.х на 10.10.1.х
Если мы пингуем после подключения по VPN с 192.168.1.х на 192.168.2.х то фиг чего будет.
А вот если с 10.10.1.х на 10.10.2.х то будет.
Или я не прав?

Всего записей: 1153 | Зарегистр. 16-06-2004 | Отправлено: 11:20 19-07-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Где при подключении по VPN комп меняет IP c 192.168.1.х на 10.10.1.х

почему меняет ? никто ничего не меняет.  
 

Цитата:
Если мы пингуем после подключения по VPN с 192.168.1.х на 192.168.2.х то фиг чего будет.

а роуты ты прописал ? Откуда 192.168.1.х знает где расположена 192.168.2.х ?
 
Добавлено:
впн - это обычная сеть, просто добавляется виртуальный интерфейс. Вот и все.
Считай что на твоей машине стоит не одна сетевуха, а две. Соответственно и роутинг настраивать нужно

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 21:20 19-07-2005
DreyX

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tankistua

Цитата:
Цитата:Где при подключении по VPN комп меняет IP c 192.168.1.х на 10.10.1.х  
 
почему меняет ? никто ничего не меняет.  

 

Цитата:
впн - это обычная сеть, просто добавляется виртуальный интерфейс. Вот и все.  
Считай что на твоей машине стоит не одна сетевуха, а две. Соответственно и роутинг настраивать нужно

Вот вторая сетевуха их и получает....
 
Тоесть в VPNе комп имеет другой ИП, а значит и шлюзы и роуты.

Всего записей: 1153 | Зарегистр. 16-06-2004 | Отправлено: 09:04 20-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Люди всем спасибо, проблема решилась...
FreeBSD+OpenVPN )))
Оказываеться так проше

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 09:23 22-07-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DreyX

Цитата:
Тоесть в VPNе комп имеет другой ИП, а значит и шлюзы и роуты.

логично. Я это и хотел сказать
 
BadBarmaley

Цитата:
FreeBSD+OpenVPN )))  
Оказываеться так проше

под виндой эта фигня тоже заводиться легко.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 15:13 22-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
tankistua

Цитата:
[/q]под виндой эта фигня тоже заводиться легко.
[q]

ага...
Сами попробуйте поднять его под виндой с KWF и RRAS, заработает??? не думаю

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 17:12 23-07-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Сами попробуйте поднять его под виндой с KWF и RRAS, заработает???  

зачем тебе RRAS? Это в некотором роде аналог OpenVPN.  
KWF помехой быть не должен, т.к. работает даже через NAT.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 19:14 23-07-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Сами попробуйте поднять его под виндой с KWF и RRAS, заработает??? не думаю  

не матерись :)
 
не знаю что это за фигня такая - в первый раз слышу, из того что делалось - шифрование вдсл-канала. Получилось легко.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 19:17 23-07-2005
ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Сами попробуйте поднять его под виндой с KWF и RRAS, заработает??? не думаю  

зачем пробовать, если они несовместимы между собой и на сайте керио об этом сказано?

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 19:48 23-07-2005
defined

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ShriEkeR

Цитата:
они несовместимы между собой и на сайте керио об этом сказано?

А можно подробнее где про это сказано ? Нашел на http://www.kerio.com/kwf_vpn.html внизу страницы лишь "Kerio WinRoute Firewall also supports the RRAS facility included in server editions of Microsoft Windows operating systems."

Всего записей: 497 | Зарегистр. 04-09-2004 | Отправлено: 21:17 23-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всё несколько иначе Проблемы:
 
1. KWF режет DHCP, тоесть если DHCP в локалке, тогда всё пучком а вот если заставить получать настройки с localhost, то KWF это дело сразу порежет и не будет никому счастья(
2. Если установлен RRAS (пусть он установлен для DialUp), то OpenVPN не сможет добавить нужный записи в таблицу маршрутизации.
 
Решения
1. Либо качать новую beta версию (2.1), либо добавить в конфиг
tap-sleep 10
ip-win32 netsh
Это команды для получения IP другим способом
 
2. redirect-gateway
    route-method exe
На форуме openvpn.net народу это помогло, а у меня пока так и не зажило...
 
ЗЫ: Кому интересно могу потом отписать чем дело кончилось...

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 19:10 25-07-2005
defined

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
сообщение удалено

Всего записей: 497 | Зарегистр. 04-09-2004 | Отправлено: 20:43 25-07-2005 | Исправлено: defined, 23:01 26-07-2005
L_S_V



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как дать юзерам по ВПН статические IP -адрес?

Всего записей: 602 | Зарегистр. 31-03-2005 | Отправлено: 02:32 26-07-2005
BadBarmaley



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
defined
 
Поставь FWF последний и разреши трафик Firewall БЕЗ NAT!
У меня стояло и даже работало
 
Добавлено:
L_S_V
А чем ты раздаешь VPN ?

Всего записей: 77 | Зарегистр. 20-12-2003 | Отправлено: 13:09 26-07-2005
WarlockNT



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
помогите плиз
дело в следующем
есть два сервака Windows 2003 Server
между ними поднят VPN
все чудесно работает, точнее почти все
пинги ходят без проблем
файлы копируются
проблемы в следуюущем:
RDP клиент не может зацепится
и еще пробовал пинг длиной пакета 65000 не идет
 
т.е. длинные пакеты не идут
где править ?

Всего записей: 210 | Зарегистр. 20-01-2003 | Отправлено: 08:16 27-07-2005 | Исправлено: WarlockNT, 13:25 27-07-2005
L_S_V



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А чем ты раздаешь VPN ?

ISA2004

Всего записей: 602 | Зарегистр. 31-03-2005 | Отправлено: 16:35 27-07-2005
L_S_V



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кароче я смотрю свойства пользователя...
дальше AD Users and Computers
потом  Dial-In
Там нужно поставить галочку Assign a Static IP Address
Но у меня она не доступна, возможно это из-за контролера домена, т.к. учётки то в нём лежат. Для локальных учёток - не подходит, радиус-сервер- тоже не улыбается.
 
Как поставить галочку Assign a Static IP Address?

Всего записей: 602 | Зарегистр. 31-03-2005 | Отправлено: 16:42 06-08-2005
defined

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
L_S_V
Контроллер домена в каком режиме ? в смешанном (который "пред-windows 2000") режиме эта возможность недоступна, нужно перевести в основной режим (если в домене нет контроллеров на NT).

Всего записей: 497 | Зарегистр. 04-09-2004 | Отправлено: 20:14 06-08-2005 | Исправлено: defined, 20:15 06-08-2005
L_S_V



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А где и как это сделать?
Может политики поковырять, только где?
 
У меня контролер на 2003 Энтерпрайс!

Всего записей: 602 | Зарегистр. 31-03-2005 | Отправлено: 14:40 08-08-2005 | Исправлено: L_S_V, 16:09 08-08-2005
defined

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
L_S_V
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/5084a49d-20bd-43f0-815d-88052c9e2d46.mspx :
===
Чтобы изменить режим работы домена
1. Откройте оснастку «Active Directory — домены и доверие».  
 
2. В дереве консоли щелкните правой кнопкой мыши домен, режим работы которого необходимо изменить и выберите Изменение режима работы домена.
 
3. В поле Выберите режим работы домена выполните одно из следующих действий.
 
• Чтобы изменить режим работы домена на основной режим Windows 2000, выберите Windows 2000 (основной режим) и нажмите кнопку Изменить.
===

Всего записей: 497 | Зарегистр. 04-09-2004 | Отправлено: 19:07 08-08-2005
MageV



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть два девайса ZyXEL P-2602HW (802.11g, ADSL, Firewall, VoIP). Есть два удаленных офиса. Какой лучше VPN поднять: аппаратный,программный (2 сервера w2k3, используя RRAS)? У кого какие мысли? Аргументированно plz.

Всего записей: 61 | Зарегистр. 15-06-2002 | Отправлено: 15:54 10-08-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Зачем нагружать серваки, если этим ZyXEL'ям нечего будет делать  
Тем более, что при использовании NAT будут проблемы с RRAS.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 18:28 10-08-2005 | Исправлено: yaleks, 18:29 10-08-2005
MageV



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну а недостатки у аппаратного решения есть?

Всего записей: 61 | Зарегистр. 15-06-2002 | Отправлено: 21:55 10-08-2005
Unlike

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
L2TP кто-нибудь завел под Win Vista? В XP SP2 все замечательно работает, под вистой никак не хочет, хотя настройки абсолютно идентичные...

Всего записей: 665 | Зарегистр. 11-05-2004 | Отправлено: 20:50 11-08-2005
2h00021C

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
прочитал весь топик так и не нашёл ответа ..
1) Можно ли поднят VPN сервер на вин 2003 стандарт с одним NIC (запускал роли требует 2 сетевые карточки)
2) Реально ли VPN использовать взамен RDP (достали сниферы)

Всего записей: 145 | Зарегистр. 16-06-2004 | Отправлено: 03:21 25-08-2005 | Исправлено: 2h00021C, 03:22 25-08-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
2) Реально ли VPN использовать взамен RDP

нет это разные вещи и в RDP есть и так шифрование трафика.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 13:08 25-08-2005
2h00021C

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Код:
нет  это разные вещи и в RDP есть и так шифрование трафика

вот тут-то и вся муть тогда с какого ля такая организация как oracle по-вырубала у всех своих работников которые раньше пользовались RDP и на данный момент все на VPN.

Всего записей: 145 | Зарегистр. 16-06-2004 | Отправлено: 20:39 25-08-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
с какого ля такая организация как oracle по-вырубала у всех своих работников которые раньше пользовались RDP и на данный момент все на VPN

скорее всего они боятся голым задом Windows сервер в сеть выставлять(тем более, что есть уязвимость RDP службы, правда и патч есть) и VPN сервер работает под другой ОС.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 12:36 26-08-2005 | Исправлено: yaleks, 12:37 26-08-2005
HUB107



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А есть ли альтернатива стандартной VPN звонилке в windows? Желательно чтоб могла сама при загрузке устанавливала соединение и инет через NAT раздавала

Всего записей: 322 | Зарегистр. 15-02-2005 | Отправлено: 14:00 26-08-2005
Africa2004



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что-то все линки тут дохлые ....
 
В офисе имеется циска, через которую он подключен к интернету.
 
Хочу VPN-иться в офисную сеть и работать в ней.
Нужен ли дома VPN - адаптер (рутер итд) или можно настроить циску, чтобы к ней коннектился VPN - клиент с Windows XP ?

Всего записей: 115 | Зарегистр. 28-02-2005 | Отправлено: 11:09 27-08-2005
billyBontz

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет. Перечитал все посты здесь, вопрос поднимался не раз, но, к сожалению, ответа не было..
 
Мой пров. дает инет через впн, соединяюсь. Дальше запускаю cisco vpnclient коннекчусь на работу. После этого установки второго vnp соединения теряется собственно инет. Через 20-30 секунд ppp0 интерфейс отваливается.  
 
Чувство такое как-будто что-то не в порядке с таблицей маршрутов, но я не уверен... Реально ли вообще поднять одно впн соединение внутри другого?
 
Какие конфиги/логи я мог бы запостить чтобы облегчить локализацию проблемы?
 
Спасибо!
 
п.с. Федора4, vpnclient4.6.03 от циски.

Всего записей: 2 | Зарегистр. 27-08-2005 | Отправлено: 19:09 27-08-2005
Loginboy

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди, помогите кто чем может.  
Предистория: Есть сетка с сервером 2000, в сетке интернет через АДСЛ модем. Раньше стоял Winroute 4.2.5 – проблем не было. Теперь поставил Winroute 6.0.9 и возникла след. проблема: не могу подключиться стандартными средствами Windows к удалённому VPN серверу (подключить клиента). Фильтры пакетов настроил след образом: разрешил GDE и PPTP из локалки на ADSL с NAT преобразованием. Может быть где какую галочку забываю поставить?  
Да, если это важно-на моём серваке тоже есть RRAS, но к нему я подключаюсь без проблем.

Всего записей: 1 | Зарегистр. 28-08-2005 | Отправлено: 18:19 28-08-2005
Teo



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Реально ли вообще поднять одно впн соединение внутри другого?

конечно, только надо указать маршрут для второго сервера через первый vpn интерфейс
 

Цитата:
Фильтры пакетов настроил след образом: разрешил GDE и PPTP из локалки на ADSL с NAT преобразованием. Может быть где какую галочку забываю поставить?  

 
ещё надо разрешить соединение tcp на порт 1723 vpn-сервера
 

Цитата:
А есть ли альтернатива стандартной VPN звонилке в windows? Желательно чтоб могла сама при загрузке устанавливала соединение и инет через NAT раздавала

а чем не устраивает стандартная?
просто добавь её в автозагрузку, а в свойствах укажи раздавать всем (ICS)
или RRAS->NAT->on-demand
но здесь подробнее не расскажу - не силён в виндовской реализации

Всего записей: 737 | Зарегистр. 21-04-2003 | Отправлено: 11:20 29-08-2005
yob



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Судя по тому, что вышеизложенное я пытался понять и мне это не удалось - я чайник в данном вопросе
 
Объясните пожалуйста мне в двух словах: можно ли организовать сеть между 5 компами с вин98 через интернет, который осуществлен через GPRS?
 
Спасибо!

Всего записей: 74 | Зарегистр. 27-03-2004 | Отправлено: 21:49 20-09-2005
rstar1979



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yob
я думаю нет тебе ведь для создания VPN необходимо иметь реальные (или серые друг другу известные)   Ip адреса  

Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 10:13 21-09-2005
yob



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rstar1979
Так вроде постоянный IP организуется например через www.dyndns.org
 

Всего записей: 74 | Зарегистр. 27-03-2004 | Отправлено: 11:15 22-09-2005 | Исправлено: yob, 11:16 22-09-2005
rstar1979



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yob
Насколько я понимаю если ты можешь пропинговать  с одной точки  другую, то почему нет... но GPRS и соответсвенно провайдер телефонной связи... и они могут спокойно резать нужные порты...
а вообще пробуй и нам напиши...

Всего записей: 243 | Зарегистр. 08-12-2004 | Отправлено: 10:10 23-09-2005
yob



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rstar1979
Пробую, только сложно разбираться с www.dyndns.org
 
Вообще-то все сложновато, когда об этом мало представления
 
Добавлено:
ping проходит, хотя GPRS с постоянным ip был лишь с одной стороны, с другой - обычный dialup.
 
Среднее время приема-передачи = 144 мсек
 
А что дальше делать?

Всего записей: 74 | Зарегистр. 27-03-2004 | Отправлено: 14:30 25-09-2005 | Исправлено: yob, 15:56 25-09-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А что дальше делать?

зарегистрировать 2 хоста в dyndns.org и ставить прогу для автообновления информации об IP.
Коннект производить по зарегистрированному доменному имени.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 16:49 26-09-2005
korv



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
я думаю нет тебе ведь для создания VPN необходимо иметь реальные (или серые друг другу известные)   Ip адреса  

Это почему это? Если шлюз имеет хоть какое-то доменное имя - вполне да. Многие бесплатные ДНС-сервера предоставляют динамический резолв.  
Кроме того, банально пишется софтина, который публикует адрес на чем-то типа narod.ru/
Считывай да подключайся.

Всего записей: 85 | Зарегистр. 15-07-2004 | Отправлено: 13:35 27-09-2005
dneprcomp



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сами мы не местные, не админы . Програмисты мы. Но образовалась проблемка. Хочу разобраться, кто виноват и что делать.
Клиент на WinXP или Win2К соединяется по VPN с сервером(предположительно Win2К). Линия клиента DSL 300/128. Проблем с Интернетом нет. Программа цепляется к базе данных(Access 2000) и к папкам на промапленном через VPN драйве. Соединение стабильное. Скорость работы самой программы во время обращения к удаленным рессурсам невозможно падает. При том, что об'ем данных ничтожен. Точно так же подмерзает и просто система при попытке обратиться к папке. Пробовали подсоединяться с разных DSL линий - эффект тот же.
Подскажите, чем такое поведение может быть вызвано.
Дать более подробную информацию о сервере и о службах пока не могу. Там свой админ и на данный момент не хотелося бы ни его ни себя ставить в двусмысленное положение ненужными вопросами. Знаю, что там стоит ни одна машина и не один сервер. Держат вебсайт, мейлсервер, достаточно большой интранет.
Я ищу не решения, а просто хотелося бы понять, где и за счет чего может происходить задержка данных.

Всего записей: 3919 | Зарегистр. 31-03-2002 | Отправлено: 00:28 29-09-2005 | Исправлено: dneprcomp, 03:37 29-09-2005
yob



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yaleks

Цитата:
зарегистрировать 2 хоста в dyndns.org и ставить прогу для автообновления информации об IP.

Это я понял.

Цитата:
Коннект производить по зарегистрированному доменному имени.

А вот здесь не понял как, ну чайник я

Всего записей: 74 | Зарегистр. 27-03-2004 | Отправлено: 13:42 29-09-2005
smbsmb

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Windows XP Rus SP1.
Если зайти локальным админом - то если сделать новое VPN-соединение,
Windows даже не предлагает варианта "только для меня"
- делает "для всех".
 
А если включаена в домен, и зайти доменным юзером в правами админа,
то предлагает выбор.
 
Как добиться, чтобы и локальному админу давала "только для меня"?
 

Всего записей: 410 | Зарегистр. 24-09-2002 | Отправлено: 23:18 29-09-2005 | Исправлено: smbsmb, 23:20 29-09-2005
Cooller76

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сам я только начинающий системный администратор, но вот есть задачка которая пока не требует немедленной реализации поэтому есть время подумать и поспрашать.
 
Вообщем есть сервер, в локальной сети, Win2003 с интерфейсом смотрящим в Интернет и имеющим реальный айпи, есть удаленные пользователи с нотебуками(WinXP prof) и сотоывми в качесте GPRS модемов. Надо как то предоставить им доступ к ресурсам внутренней сети (почта, шаринги на других серверах и т.д.). Думал смотреть в сторону VPN но тут так и не нашел ничего похожего на мою ситуацию. Решается это с помощью VPN или надо смотреть в другую сторону. Принимаются любые предложения, потому как бюджет под эту задачу могут дать очеь большой.

Всего записей: 3 | Зарегистр. 03-03-2005 | Отправлено: 16:57 05-10-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Решается это с помощью VPN или надо смотреть в другую сторону.

решается 100%.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 18:59 05-10-2005
Cooller76

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yaleks
А где бы найти доки как настроить Виндовый VPN сервер под подобные задачи

Всего записей: 3 | Зарегистр. 03-03-2005 | Отправлено: 06:05 06-10-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
доки как настроить Виндовый VPN

ну хотя-бы для начала сайт Микрсофт посмотреть

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 20:03 06-10-2005 | Исправлено: yaleks, 20:04 06-10-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Cooller76
 
Я об этом уже месяца 3 думаю. Новся трабла в том, что при подключении через GPRS GRE протокол оказывается обрезаным. Cуществуют нестандартные проэкты, типа OpenVPN. но я русских доков не нашел и подзабил

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 15:40 07-10-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
нестандартные проэкты, типа OpenVPN. но я русских доков не нашел

А _http://www.opennet.ru/opennews/art.shtml?num=4945 смотреть не пробовали?

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 20:42 07-10-2005
yob



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Может все же кто знает, как можно дополнительно поставить VPN на Windows 2000 ?

Всего записей: 74 | Зарегистр. 27-03-2004 | Отправлено: 21:36 10-10-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
как можно дополнительно поставить VPN на Windows 2000

какой VPN? их несколько разновидностей.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 18:26 11-10-2005
yob



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yaleks
Такой, чтоб через GPRS-ный интернет W2k выступала в роли сервера.

Всего записей: 74 | Зарегистр. 27-03-2004 | Отправлено: 23:25 13-10-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
OpenVPN

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 17:16 15-10-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Кто нить, ткните слепого котенка в нормальные доки по настройке OpenVPN под виндами.
 
Везде *nix, аж обидно за мягтотелых становится.....

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 01:45 16-10-2005
Felix



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SergDobudko
http://openvpn.net/INSTALL-win32.html


----------
In My Opinion!

Всего записей: 965 | Зарегистр. 20-01-2002 | Отправлено: 01:51 16-10-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Felix
Спасибо, конечно, а по русски ничего нет ???  А то вся проблема в том, что ленивый очень )  Хотя сам уже понял что надо начинать так разбираться.

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 11:57 16-10-2005
Felix



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
SergDobudko
На вскидку, вроде нет. Хотя посмотри в поисковиках и на Opennet'e.

----------
In My Opinion!

Всего записей: 965 | Зарегистр. 20-01-2002 | Отправлено: 12:30 16-10-2005
Sercam

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ. Подскажите пожалуйста.  
 
После установки SP1 на Win2k3 перестал работать VPN.  
 
В RRAS было настроено соединение - больше подключаться не хочет.  
Безопасность заработала? Всё зарезает?!  
Что и где сделать ?!

Всего записей: 116 | Зарегистр. 04-06-2003 | Отправлено: 09:38 18-10-2005
Shurick11

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, вопрос по VPN под Win2k3. Можно ли как-нибудь статически задать ip-адрес, под которым сервер будет фигурировать в VPN-соединениях? А то он выбирает непонятно какой адрес из static scoupe или DHCP...

Всего записей: 30 | Зарегистр. 17-08-2003 | Отправлено: 15:50 18-10-2005
Sercam

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
народ, ну помогите мне

Всего записей: 116 | Зарегистр. 04-06-2003 | Отправлено: 09:00 19-10-2005
anthony_v



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
я знаю VPN от Google:
_https://vpn.google.com/getpass/
 
там дают айпишник, ник и пасс для настроек.
 
только не понятно, что такое VPN и с чем его едят?

Всего записей: 211 | Зарегистр. 08-10-2004 | Отправлено: 12:04 19-10-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
anthony_v
 
И что дальше делать ??? для чего этот сервис от google ???

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 13:56 19-10-2005
Sercam

Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
короче снёс на фиг SP1, ибо не смог настроить...
Если будет решение проблемы - поставлю обратно.
Кто-нить подскажет решение проблемы?

Всего записей: 116 | Зарегистр. 04-06-2003 | Отправлено: 15:23 19-10-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А кстати, по поводу вопроса yob
 

Цитата:
Такой, чтоб через GPRS-ный интернет W2k выступала в роли сервера.

 Как подключиться к тачке, подключенной к инету через GPRS ? у неё же нет прямого IP. как тогда к ней пробиться ???

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 16:02 19-10-2005
yob



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SergDobudko
На счет прямого не знаю, но вот постоянный я организовывал через www.dyndns.org

Всего записей: 74 | Зарегистр. 27-03-2004 | Отправлено: 14:15 22-10-2005
XZNIK



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот появился у меня вопросик!
Сервак! Интернет-спутниковый! Исходящий по ДСЛ, входящий по тарэлкэ)
поднимаю на серваке ВПН сервер, и когда конекчу с сервака ВПН провайдера то связи нэма! В чем баг?

Всего записей: 31 | Зарегистр. 09-10-2005 | Отправлено: 06:43 01-11-2005
vipip

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добавлю и свой вопрос
 
Есть 1й сервер с 2мя интерфейсами 1 - локалка с адресами 10.10.10.0 и второй для подключения DSL.
Инет этот сервер получает от провайдера через VPN.
 
Есть ещё 2й сервер с 2мя интерфейсами  1 - локалка 10.10.10.0 и второй карта для спутникого инета.
для настройки инета через спутник нужно VPN подключение.
а для VPN подключения нужен инет
 
вопрос в следующем:
как мне настроить, чтобы подключится по vpn со второго сервера.
 
вобщем как мне дать прямой досуп в инет второму серверу или как пустить vpn через первый сервер ?
 
вариант - все на одном компе не предлогать

Всего записей: 64 | Зарегистр. 27-03-2004 | Отправлено: 10:58 01-11-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
XZNIK
 
Я мне кажется для связи с сервером прова тебе нужно поднимать клиента, а не сервер, или объясняй проблему более подробно

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 12:17 01-11-2005
XZNIK



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Расказываю!
Сервак!
На нем Спутниковый интернет подключаеться по ВПН!
Исходящий траф по ДСЛ(ДСЛ не имеет подключениия, включил и он в интернете)
Мне надо сделать чтобы у клиентов был интернет! Как? чем?
Но мне неохото ставить простую проксю и настраивать всем проги для подключения через неё! Поентому хочу ВПН сделать! Чтобы клиент подлючались к серваку по ВПН и лазали в интернет! + билинг!
 
 
это с дургого раздела
Значиться так, рассказываю!  
У меня сервак Виндовоз 2003 сервер, стоит спутниковый интернет! Входящий трафик по тареке исходящий по ДСЛ!  
ДСЛ не имеет подключсения!(включил ДСЛ и он в интернете)  
Спутник по ВПН поднимаеться!  
Задача такова: Раздать интернет клиентам сети желательно по впн!  
Как сделать!?  
Я делал так: Поднимаю ВПН сервер на винде, ставлю ТИ как по инструкции в ТИ ЧаВо!  
И что я имею: Когда сервак подключен к интернету по ДСЛ то инет есть а когда по ВПН интернету то нет!  
Что надо сделать!?

Всего записей: 31 | Зарегистр. 09-10-2005 | Отправлено: 12:56 01-11-2005 | Исправлено: XZNIK, 12:59 01-11-2005
WhiteSonar

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток!
В офисе есть такая конфигурация Win2k3 server SP1 контроллер домена + ADSL модем подключенный в Хаб. На сервере настроено PPPoE соединение.
Необходимо настроить VPN сервер для возможности подключения удаленных пользователей к LAN, с возможностью печати на принтерах в офисе и выхода в Инет. То есть хочу принимать входящие подключения.
Столкнулся с проблемой при поднятии сервиса: Не обнаруживается виртуальный сетевой интерфейс PPPoE, ну и похоже из-за этого служба не работает.
Пробовал подключаться удаленно под админом домена, - безрезультатно.
Через Radmin все работает.

Всего записей: 7 | Зарегистр. 22-03-2005 | Отправлено: 13:22 01-11-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
XZNIK
довольно сложно определить что у тебя не работает и почему, хочешь пиши в асю, чем смогу помогу. Большое подозрение что ты либо ТИ некорректно настроил, либо что то с маршрутизацией.

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 13:39 01-11-2005
vipip

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А мне чегонить посоветуете?

Всего записей: 64 | Зарегистр. 27-03-2004 | Отправлено: 04:14 02-11-2005
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
vipip
 
Хитро запутанно. Я так полагаю, что на первом сервере нужно настроить NAT, так чтоб он перенаправлял пакеты со второго сервера на VPN провайдера. Или настроить службу маршрутизации чтоб пакеты бежали куда надо.

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 09:42 02-11-2005
LunJin



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Всем привет !
 
Ребят, оцените ситуацию:
 
г. Санкт-петербург, сетка с доменом на Win2k3 Server (головной офис). На ЭТОМ серваке крутиться БД (Inotec).  
 
г. Москва, сетка с доменом на Win2k Server (дочерний офис). Отсюда народ по RDP лазит на питерский серак и работает с базой.  
 
База не на SQL.
 
Работает всё это медлено и не удобно.
 
Решил прокинуть VPN-туннель - купил 2 D-Link DI-804HV  - один в Питер, один - в Москву.
 
Собсно вопрос: хотелось бы сделать в Москве вторичный контроллер Питерского домена так чтобы Питерская подсетка была видна из Московской.  
 
На сколько это возможно и сталкивался ли кто-нибудь с подобной ситуацией.
 
Буду рад любой информации.
 
Спасибо !

Всего записей: 26 | Зарегистр. 07-04-2005 | Отправлено: 17:13 02-11-2005
ChVL



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Создано внешнее VPN соединение. При попытке загрузить любую страницу через 2-5 сек оно неизбежно рвётся. Если загрузку не делать - соединение остаётся надолго. К местному провайдеру претензий нет: прямое соединение с и-нет работает нормально. Как промониторить соединение, чтобы понять, в каком именно месте происходит разрыв?

Всего записей: 1731 | Зарегистр. 18-06-2003 | Отправлено: 17:27 02-11-2005
LunJin



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ещё скажу.  
 
Проблема в том, что физически подключение выглядит так:  
 
LAN(msk)->Switch->Server.msk->DI-804 HV-> Internet ->DI-804 HV->Server.spb->Switch->LAN(spb)
 
вопрос в том, как должна выглядить маршрутизация от внутренней сетки в Москве до внутренней сетке в Питрер ?

Всего записей: 26 | Зарегистр. 07-04-2005 | Отправлено: 17:27 02-11-2005
Intel83



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет
 
кто знает как решить проблему, кароче ксть комп сеть в оффисе и комп дома в локалке
 
я настроил ВПН сервер в ффисе + клиента дома, все ок
 
как теперь завтавить подключаться ВПН автоматически? и жедательно еше до ввода пасворда , системв у меня ХР

Всего записей: 114 | Зарегистр. 19-10-2003 | Отправлено: 23:03 03-11-2005 | Исправлено: Intel83, 23:05 03-11-2005
vav1107



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет! Прошу совета у знающих.
 
Есть необходимость соединить головной офис с несколькими удаленными железячными VPN. Решение на линуксовых серваках не всегда подходит в силу определенных причин.
 
В головной приглядел серию Cisco PIX Firewall Series, в удаленные центры хочу ставить что-то типа Linksys BEFSX41 EtherFast® Cable/DSL Firewall Router with 4-Port Switch/VPN Endpoint
 
Кто использовал что-то подобное и/или может посоветовать может что-то более приемлемое в моей ситуации.
 
Заранее спасибо за ответ

Всего записей: 195 | Зарегистр. 12-07-2004 | Отправлено: 07:03 11-11-2005 | Исправлено: vav1107, 07:51 11-11-2005
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vav1107
в центр рекомендовал бы не пикс а router, 1841 или из 28-й серии с AIM
Если и делать то всё на cisco.

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 22:02 14-11-2005
vav1107



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Master_Alex
Да только цена кусается. Но спасибо за совет.
 
А не подскажешь - что такое AIM?

Всего записей: 195 | Зарегистр. 12-07-2004 | Отправлено: 06:28 15-11-2005 | Исправлено: vav1107, 07:31 15-11-2005
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vav1107
AIM vpn модуль, например
_http://www.cisco.com/en/US/products/ps5854/prod_eol_notice0900aecd802d3d0b.html
если дорого то делай на фре, ну уж никак не на отстое типа Linksys или Dlink и пр. подобному.

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 23:24 15-11-2005
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Master_Alex
Если уж рекомендуешь оборудование (вариан -- софт), юзаешь его, любишь его, то чего стесняться и маскировать ссылки? не понимал этого никогда...
 

Цитата:
Если и делать то всё на cisco.

и

Цитата:
ну уж никак не на отстое типа Linksys  

 
Linksys -- это подразделение Cisco. это так, к сведению.

Всего записей: 2896 | Зарегистр. 30-05-2002 | Отправлено: 01:17 16-11-2005
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну наверно надо было написать ИМХО.
Asrosk допустим тоже подразделение ASUS но недумаю что по качеству кто то будет утверждать что они одинаковы.
 
Маскировка, это наверно плохая привычка от варезника

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 01:33 16-11-2005
vav1107



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Master_Alex Спасибо за ссылку. Более-менее понятно.
 

Цитата:
Asrosk допустим тоже подразделение ASUS но недумаю что по качеству кто то будет утверждать что они одинаковы.  

Ну позвольте вставить свои пять копеек.  Может ошибаюсь, но как я понимаю ASRock был создал для продвижения бюджетных решений Asus. При всем при этом вряд ли можно назвать продукцию Liknsys бюджетной по сравнению с самой Cisco - некорпоративный сектор, SOHO - это да. Скажем по надежности, качеству (и ценам) она намного выше того же Dlink и иже с ними. И слова типа "отстой" тут врядли применимы. IMHO.  
 

Цитата:
если дорого то делай на фре, ну уж никак не на отстое типа Linksys или Dlink и пр. подобному.

Ну я не на фре, на линуксе сижу, да только в некоторых офисах не всегда целесообразно держать сервак. Хочу даже избавиться от них в какой-то мере, потому и стал в сторону железа глядеть.

Всего записей: 195 | Зарегистр. 12-07-2004 | Отправлено: 06:33 16-11-2005
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Насчёт  Liknsys, убедили беру свои слова назад

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 13:14 16-11-2005
sandmex



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, подскажите реально-ли к Windows XP SP2 подключить нескольких клментов?  
если возможно подскажите плз как...

Всего записей: 39 | Зарегистр. 07-05-2004 | Отправлено: 14:28 17-11-2005 | Исправлено: sandmex, 14:29 17-11-2005
PIL123



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть два офиса к которым возможно подключиться по VPN. Так вот есть такая проблема: если я подключаюсь из дома, то подключение к одному из офисов не возможно. На этапе проверки имени пользователя и пароля комп долго думает, а потом пишет, что подключение установить не удалось бла-бла-бла. Ко второму офису подключаюсь нормально. Поэтому приходится, что бы подключиться к первому офису надо сначала приVPNиться ко второму офису, зайти на сервер и оттудова уже VPNиться к первому. Подскажите, пожалуйста в чём может быть проблема?

Всего записей: 817 | Зарегистр. 25-06-2003 | Отправлено: 15:07 27-11-2005
exMIB



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Один маленький вопрос, чтобы было VPN, надо чтобы все устройства на его линии умели с ним работать, т.е. ОС сервера, сетевая карта сервера, коммутатор (свитч), хаб, сетевая карта клиента, ОС клиента ?
Не все ведь старые сетевые карты могут поддерживать VPN и старые 10 Мбит хабы тоже.
 
Добавлено:
И насколько хорошо VPN поддерживают Win98 и Win98SE ?

Всего записей: 3186 | Зарегистр. 27-09-2001 | Отправлено: 17:18 27-11-2005
ooptimum



Silver Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
exMIB

Цитата:
чтобы было VPN, надо чтобы все устройства на его линии умели с ним работать

ты путаешь VPN и VLAN. для поддержки VPN поддержка со стороны железа не требуется, за исключением поддержки GRE маршрутизаторами и брандмауэрами, но это только в случае использования IPsec VPN.
 

Цитата:
И насколько хорошо VPN поддерживают Win98 и Win98SE ?

Из нативных Windows только PPTP. А так, что угодно можно водрузить, IMHO.

Всего записей: 2896 | Зарегистр. 30-05-2002 | Отправлено: 17:43 27-11-2005
exMIB



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ooptimum

Цитата:
ты путаешь VPN и VLAN.  

Опа, что-то не понял.
А где почитать можно ?
 
Добавлено:
Вообщем надо бухгалтерии дать доступ в Инет и в локальную сеть и защитить её внутреннюю сеть от внешних воздействий.
Куда копать ?
VPN или VLAN ?
 
Добавлено:
ooptimum

Цитата:
Из нативных Windows только PPTP.  

А можно эту фразу на русский перевести, пожалуйста ?

Всего записей: 3186 | Зарегистр. 27-09-2001 | Отправлено: 18:57 27-11-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Опа, что-то не понял.  
А где почитать можно ?  

в интернет :)
VLAN - виртуальная сеть, сеть - разделенная на сегменты. Можно управлять доступом между сегментами.
VPN - защищенное соединение.
 

Цитата:
А можно эту фразу на русский перевести, пожалуйста ?  

те которые винда умеет сама без сторонней помщи.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 19:21 27-11-2005
Markes



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть 2 небольшие Ethernet-сети (около 15 машин в каждой). Необходимо их соеденить витой парой. Расстояние <100 м. Нужно защитить канал от возможного вторжения.
 
В принципе можно сделать примерно так, как описано здесь.
 
Но я подумал: может мне поднять vpn-сервер (виндовый, W2K3). Подключить всех клиентов (W2K/XP) к нему и тогда мне эти железки не понадобятся. Все буду подключены через vpn, PPTP например,  и пусть "злоумышленник" в канал м/у подсетями подключается - ничего не увидит интересного, я правильно мыслю?.. Шифруется ли в данном случае трафик или же трафик всё равно можно будет "заснифить"?

Всего записей: 1403 | Зарегистр. 13-09-2004 | Отправлено: 13:25 06-12-2005
lorus

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Маршрутизация в windows 2003 vpn? требуется помощь ! ! !
Имеется сервер на Windows 2003, на нём VPN-сервер, проблема заключается, в том что когда клиент из сети или интернет по vpn подключается, то он не может использовать ИНТЕРНЕТ. Вот сзема как выглядет расположение сети.
Мне требуется помощь в решении данной проблемы.  
1. Настроить  сервер чтобы по vpn клиенты могли использовать мой интернет.
 
 
http://lopen.psiline.ru/serv.jpg

Всего записей: 1 | Зарегистр. 08-12-2005 | Отправлено: 22:10 10-12-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Markes

Цитата:
Шифруется ли в данном случае трафик или же трафик всё равно можно будет "заснифить"?

В PPTP есть MPPE шифрование и MPPC компрессия трафика, Win2k3 это вроде умеет.
 
 
 
Добавлено:
lorus
Такую подробную схему, для сети на win.... твой "сервер" долго не протянет...
 
Добавлено:
PIL123
Типы серверов, с какой ОС подключаешься?

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 12:07 11-12-2005
Labutin



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Дано.
Сеть на работе. Сервер Fedora Core 3 подключен к интернету.
Домашний компьютер Windows XP. Подключен к интернету через провайдера, который пускает в интернет через NAT. Т.е. у домашнего компа IP-адрес 192.168.x.x, но само собой я могу из-за NAT'а пойти в инет куда угодно. В том числе могу добраться и до сервера.
Теперь что я хочу.
А хочу я завернуть ВЕСЬ свой трафик на рабочий сервер.
Т.е. если делаю tracert www.ru, то должно быть примерно следующее:
...
nat сервер провайдера
...
сервер на работе
...
www.ru
В этом случае сервер на работе становится чем-то вроде второго NAT'а на пути пакетов.
Кажется я видел подобное у наших гостей, которые будучи подключенными в нашу локальную сеть, запускали какой-то клиент и входили в свою сеть, после чего их компьютеры, имели доступ к ресурсам их сети (даже внутренним).
Как я понял - они запускали VPN клиент (но я могу и ошибаться).
 
Я правильно решил копать в сторону VPN, для достежения моих целей? Если да, то кто-нибудь может помочь мне подсказать, какой софт необходим, как его настроить?

Всего записей: 935 | Зарегистр. 31-07-2001 | Отправлено: 17:19 14-12-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Я правильно решил копать в сторону VPN, для достежения моих целей? Если да, то кто-нибудь может помочь мне подсказать, какой софт необходим, как его настроить?

Да, нужен VPN.  
1) спросить  провайдера будет ли работать GPE туннель, тогда делать PPTP сервер - http://www.poptop.org/
2) openVPN - http://openvpn.net/

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 18:23 14-12-2005
Laurent

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не работают RDP и ICA-клиенты.  
 
Имеется роутер FreeBSD 4.11, vpn-сервер mpd, доступ в интернет провайдер предоставляет по протоколу PPTP. При установлении PPTP-соединения с сервером провайдера запускается демон natd, вешающийся на интерфейс ng0, который создается mpd. Все протоколы чисто визуально работают нормально - pop3, smtp, http, ftp, все работает. При попытке подсоединиться к удаленному терминальному серверу в другом филиале по RDP и ICA телнетом ответ есть.. проблема в том, что клиентами к удаленному филиалу подсоединиться не удается... а если быть точнее, клиент как-бы цепляется, и замирает в тот момент, когда должно выскочить окошко авторизации, а по прошествии определенного времени отваливаются по таймауту.
 
Сейчас стоит роутер на Win2003 + ISA2000, с ним проблем нет. MS ISA Firewall Client не при чем - на тестовом ноутбуке он не установлен.
 
Какие есть мысли на этот счет?

Всего записей: 94 | Зарегистр. 04-06-2004 | Отправлено: 12:43 15-12-2005
Labutin



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yaleks

Цитата:
2) openVPN - http://openvpn.net/

Заработало!!! Спасибо.
Такой вопрос - при работе через VPN трафик намного больше, чем при коннекте напрямую?

Всего записей: 935 | Зарегистр. 31-07-2001 | Отправлено: 22:46 15-12-2005
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
логично, процентов на 20-30 - смотря какой ключ

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 00:36 16-12-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Такой вопрос - при работе через VPN трафик намного больше, чем при коннекте напрямую?

В шапке "Сравнение характеристик существующих Open Source VPN решений для Linux "

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 09:13 16-12-2005
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
http://interguide.com.ua/ven/network1.gif
Вот такое дело.
Маленькую часть я уже реализовал:
1. Сделал на 3-ей машине VPN сервер средствами ОС.
2. Подключился с 1-ой машины на 3-ю VPN-ом.
3. Настроил на 3-ей машине Proxy сервер.
4. Прописал в браузере адрес прокси в настройках VPN соединения на 1-ом компе.
Результат: 1-й комп может пользоваться интернетом 3-го компа.
 
Теперь, как я понимаю, надо на 1-ом компе:
1. Сделать VPN сервер, к которому потом подключаться 4-м компом.
2. Прописать маршрут, который  будет пускать 4-й комп в тот VPN, который 1-й комп поднял на 3-й комп.
 
На 3-ем (исправляюсь - на 4-ом) компе надо:
1. Поднять VPN на 1-й комп
2. Прописать в браузере тот же самый адрес прокси, который прописывал на 1-ом компе.
 
Как результат - получим инет на двух компах - на 4-ом и на 1-ом.
 
Если что-то не так - исправьте меня пожалуйста.
У меня есть сомнения по поводу этого пункта:  

Цитата:
2. Прописать маршрут, который  будет пускать 4-й комп в тот VPN, который 1-й комп поднял на 3-й комп.
Потому как я подумал, что при едином адресном пространстве у VPN'ов, никакой маршрут не понадобится, так как это все будет единая "виртуальная частная сеть" с единым адресным пространством.
 
Если я тут ничего особо не напортачил, то дайте пожалуйста линк где описано как сделать на 1-ом компе (на win 2003 server) VPN сервер так, чтобы подключенные к нему клиенты не видели никаких других интерфейсов кроме VPN'а поднятого на 3-й комп.
Спасибо.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 11:39 17-12-2005 | Исправлено: Venchik, 19:31 17-12-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik
Сделать напрямую туннель с 4-ой до 1-ой никак что-ли(OpenVPN)?
На 1-ой сделать proxy каскадированием на proxy-3 (ну или VPN между ними если хочется).

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 19:26 17-12-2005
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
yaleks, я ошибся когда писал...сорри..уже исправил. Читай красный текст

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 19:32 17-12-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На 2-ой(там же Linux) машине сделать NAT (iptables и вперед)для 4-ой(только для VPN соединения), а 2 и 1 как я понимаю доступны напрямую.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 09:55 18-12-2005
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
На 2-ом давно работает NAT и 4-й видит 1-й.
В данный момент сделал так:
4-й комп подключается к 1-му VPN'ом, в состоянии соединения на 4-ом компе:
сервер 10.0.254.3
клиент: 10.0.254.4
 
1-й подключается к 3-му VPN'ом, в состоянии соединения на 1-ом компе:
сервер: 10.0.254.1
клиент: 10.0.254.2
 
Если на 1-ом компе в браузере прописать для VPN соед-я в качестве прокси 10.0.254.1, то 1-й комп получает доступ к инету. Так и должно быть.
 
Но вот почему-то 4-й комп не может пропинговать 10.0.254.1. Я думал, что если адресное пр-во единое, то должен пинговать. Инет на нем конечно же не работает.
 
Куда копать?

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 15:01 18-12-2005 | Исправлено: Venchik, 15:07 18-12-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Но вот почему-то 4-й комп не может пропинговать 10.0.254.1. Я думал, что если адресное пр-во единое, то должен пинговать.

а tracert на 4 что выдает для 10.0.254.3, 10.10.0.117, 10.0.2.36 и наконец... Черт, а как 1 подключается к 3? Какая вообще реализация VPN используется?

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 17:27 18-12-2005 | Исправлено: yaleks, 17:34 18-12-2005
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Все, кроме прокси сделано ср-вами ОС.
 
Если на 4-ом сделать tracert 10.0.254.1 (как на наиболее желаемый узел), то получаем:
Код:
C:\Documents and Settings\Олег>tracert 10.0.254.1
 
Трассировка маршрута к 10.0.254.1 с максимальным числом прыжков 30
 
  1     3 ms     2 ms     1 ms  10.0.254.3
  2     *

 
На 10.0.254.3 ессно нормально идет с одним единственным хопом.
На 10.0.2.36 тоже нормально с одним хопом. Я думал что должно быть два, но там один
 
Из приведенного кода я делаю вывод, что на 1-ом надо сделать маршрут, который будет направлять пакеты идущие на 10.0.254.1 на интерфейс с адресом 10.0.254.2, то есть на тот VPN, который 1-й комп поднял на 3-й.
В данный момент не могу проверь, к сожалению.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 19:07 18-12-2005
cracklover



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Половина ссылок в шапке битые!

----------
Когда-то я вёл авторскую музыкальную передачу на радио. Можно послушать!

Всего записей: 6562 | Зарегистр. 04-10-2004 | Отправлено: 15:02 24-12-2005
moto1407

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
win 2003, настроен встроенный впн сервер, для подключения к серверу пользователей из локальной сети. Все хорошо, но винда позволяет открывать более 1 впн соединения на одного пользователя. И плевать она хотела, что для данного пользователя указан статический ip адрес, она берет и назначает первый свободый ip из пула. Такая ситуация меня абсолютно не устраивает.
Вопрос: можно ли запретить открытие более 1 впн сесии на каждого юзера? если нет, то может есть софт какой-нить типа "впн сервак под винду".

Всего записей: 1 | Зарегистр. 26-12-2005 | Отправлено: 11:39 26-12-2005
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
-

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 13:00 26-12-2005 | Исправлено: yaleks, 13:01 26-12-2005
MaximGR

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
---
 
Добавлено:
Народ помогите.
Излагаю проблему:
На одной стороне win2003 - он же VPN сервер(коннект постоянный ADSL, статический адрес).
На другой стороне несколько машинок под win98 в одном свиче - к нему подключен и ADSL модем. Одна машина коннектиться нормально. Пытаюсь зайти со второй говорит не могу подключиться к удаленному серверу. Разъединяюсь на первой - пытаюсь опять зайти на второй - эффект тот же. Перегружаю ADSL модем. Коннекчусь сначала на второй - все ок !!! Но теперь первая не коннектиться.
 
СПАСИТЕ !!! ОЧЕНЬ НАДО.

Всего записей: 23 | Зарегистр. 27-03-2002 | Отправлено: 17:55 27-12-2005
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
moto1407
не греши на винду коль руки не стоят
Политики RRAS и св-ва юзера - можно настроить каждому ТОЛЬКО свой адрес + только один логон
рой в сторону запрета мульти-линк подключений

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 18:10 27-12-2005
RussianNeuroMancer



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cracklover
А это значит, что у тебя есть шанс отличиться и преподнести постояльцам топика новогодний подарок

Всего записей: 9403 | Зарегистр. 30-04-2005 | Отправлено: 18:15 27-12-2005
warmaz



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Люди помогите
Есть два компа.
комп1:  
 1-я сетевуха ip 192.168.100.84 маска 255.255.255.0 шлюз и днс 192.168.100.8 смотрит в инет.
есть 2-я сетевуха ip 192.168.0.1 маска 255.255.255.0  подключенная кросскабелем ко второму компу.
есть vpn через который хожу в инет.
 
комп2:
ip 192.168.0.2 маска 255.255.255.0 шлюз 192.168.0.1 днс 192.168.100.8
 
на первом компе поставил на vpn общий доступ, делал ярлык к vpn и скинул на второй комп. со второго компа через ярлык запускается vpn на первом, но в инет почемуто не пускает. Как сделать чтобы со второго можно было ходить в интернет?
 
 

Всего записей: 19 | Зарегистр. 23-11-2005 | Отправлено: 18:48 27-12-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
warmaz
На первом компе сделай следующее:
 
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IPEnableRouter"=dword:00000001
 
 
Добавлено:
MaximGR
Роутинг настраивайте. VPN подразумевает 1 логин - 1 подключение. Класика создания туннеля: 2 подсети, в каждой по 1 VPN-серваку, которые коннектятся между собой. Они же являются роутерами для этих сетей. На рабочих станциях обоих сетей соответствующим образом настраивается таблица маршрутизации.
 
Можно поступить проще. Купить железки, которые будут сами строить канал и роутить пакеты.

----------
__________________________________________________
Чиню форточки, меняю окна, заделываю щели.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 10:45 28-12-2005
MaximGR

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
to NEED  
Я просто не админ - а нужно срочно сделать.  
Посоветуйте лучше с помощью ISA сделать VPN сервера или нет?
Еще если у меня будет на роутере два стат. адреса - можно ли будет делать два коннекта с другой стороны или это не поможет?

Всего записей: 23 | Зарегистр. 27-03-2002 | Отправлено: 11:30 28-12-2005 | Исправлено: MaximGR, 11:31 28-12-2005
warmaz



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо NEED и MaximGR попробую сделать так как Вы написали но наверное уже после нового года.
Ту ещё одна проблемка, я узнал что у провайдера  к каждому vpn соединению жестко привязан MAC адрес на его роутере или серваке (точно не знаю) прокатит ли это или может проще поставить что нибудь типа Winroute?

Всего записей: 19 | Зарегистр. 23-11-2005 | Отправлено: 14:14 28-12-2005
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
MaximGR
Можно. Но для каждого подключения свой логин в AD

----------
__________________________________________________
Чиню форточки, меняю окна, заделываю щели.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 12:58 29-12-2005
Xanter

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
MaximGR
Роутинг настраивайте. VPN подразумевает 1 логин - 1 подключение. Класика создания туннеля: 2 подсети, в каждой по 1 VPN-серваку, которые коннектятся между собой. Они же являются роутерами для этих сетей. На рабочих станциях обоих сетей соответствующим образом настраивается таблица маршрутизации.

 
Подскажите, пожалуйста, у меня подобная проблема, но в WinXP. Есть радио (WiFi) сеть и стационарный компьютер (шлюз в Интернет) с точкой доступа, хсчется зашифровать трафик в WLANе средствами VPNа. Т.е. создать n'е колличество шифрованных соединений со стационарным компьютером. Одно соединение получается, но уже второе не хочет конектится, хотя пользователь, как положено, заведён. А возможно ли это вообще средствами самой ОС? Спасибо.

Всего записей: 35 | Зарегистр. 16-12-2005 | Отправлено: 05:15 05-01-2006
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Xanter

Цитата:
VPN подразумевает 1 логин - 1 подключение

Для каждого логина может быть одновременно только 1 подключение. Если тебе нужно одновременно 3 подключения - делай 3 логина, если 5 - то 5.

----------
__________________________________________________
Чиню форточки, меняю окна, заделываю щели.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 10:45 06-01-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
XP Pro.
Кто-нибудь знает как отследить поднялось ли VPN соединение?
 
Мне надо сделать так, чтобы если не поднялось 1-ое, то поднималось бы 2-ое.
Если не поднялось 2-ое, то поднять 1-ое.
И так, до тех, пор, пока какое-то из этих двух поднимется.
А потом, если устатновленное соединение обрывается, то нужно попробовать установить другое.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 12:45 06-01-2006
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Venchik
вот тебе текст батника
 
:rasdial1
set errorlevel 0
rasdial VPNName1 username1 password1
if errorlevel 600 goto rasdial2
goto end
:rasdial2
set errorlevel 0
rasdial VPNName2 username2 password2
if errorlevel 600 goto rasdial1
:end


----------
__________________________________________________
Чиню форточки, меняю окна, заделываю щели.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 12:50 06-01-2006 | Исправлено: NEED, 12:52 06-01-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
NEED, супер!!!
А откуда ты взял этот errorlevel?
 
Добавлено:
Уже понял, но надо было не 600, а не 800.
Я сделал вот так:
 
:rasdial1
set errorlevel 0
rasdial se test 1
if not errorlevel 0 goto rasdial2
goto end
:rasdial2
set errorlevel 0
rasdial 2 side BanDer3!
if not errorlevel 0 goto rasdial1
:end
 
Добавлено:
Жаль только, что вот это не получилось пока что реализовать:

Цитата:
А потом, если устатновленное соединение обрывается, то нужно попробовать установить другое.

 
Добавлено:

Код:
:rasdial1
if exist ras2. del ras2.
set errorlevel 0
rasdial VPN1 User1 Password1
if errorlevel 800 goto rasdial2
echo file>ras1
goto end
 
:rasdial2
if exist ras1. del ras1.
set errorlevel 0
rasdial VPN2 User2 Password2
if errorlevel 800 goto rasdial1
echo file2>ras2
 
:end

Этот батник будет запускаться у меня при старте системы и при обрыве VPNа. Как запустить скрипт при старте системы, думаю, всем понятно...А вот отслеживание обрыва VPNа я доверил nncron'у (http://www.nncron.ru/). В дальнейшем, может быть, придумаю что-то лучше!
Спасибо NEED'у!
 
Если кто-то знает как отследить обрыв VPN'a средствами ОС, сообщите пожалуйста.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 13:11 06-01-2006 | Исправлено: Venchik, 14:14 06-01-2006
Xanter

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NEED

Цитата:
Для каждого логина может быть одновременно только 1 подключение. Если тебе нужно одновременно 3 подключения - делай 3 логина, если 5 - то 5.

Завёл 2го пользователя в системе, даже в другую группу его определил, всё равно конектится либо тот, либо этот, вместе никак... А завести 2 значка в группе соединения  не даёт, редактирует существующее.
 
P.S. Кому нужно настроить VPN _сервер_ в WinXP, то нашёл замечательное описание этого процесса (англ.) с картинками:
http://www.windowsnetworking.com/j_helmig/xpvpnsrv.htm

Всего записей: 35 | Зарегистр. 16-12-2005 | Отправлено: 18:14 06-01-2006 | Исправлено: Xanter, 02:18 10-01-2006
genius233

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста.
ОС: FreeBSD (хотя можно и сменить)
 
Нужно сделать VPN Сервер с доступом к интернету который подключен к этому же серверу через VPN клиент
 
т.е. попробую нарисовать схемку:
 
INTERNET -> ПРОВАЙДЕРСКИЙ VPN -> МОЙ СЕРВЕР VPN -> VPN клиент
 
Сразу напрашивается реализация данной системы с помощью двух серверов:
один VPN клиент и шлюз а второй юхает инет через шлюз и выпускает через VPN сервер,
 
вот тольк машина под сервер одна а очень хотся...

Всего записей: 1 | Зарегистр. 09-01-2006 | Отправлено: 23:44 09-01-2006
141215

Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ребят, у кого есть полномочия и куча желания, поправьте пожалуйста ссылки в шапке. Из 7 ссылок - 2 живые :(

Всего записей: 240 | Зарегистр. 12-06-2005 | Отправлено: 09:05 10-01-2006
NEED



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Xanter
Посмотри настройки RRAS. Может у тебя только 1 ВПН порт открыт. Вот оно одного только и пускает.

----------
__________________________________________________
Чиню форточки, меняю окна, заделываю щели.

Всего записей: 576 | Зарегистр. 17-10-2002 | Отправлено: 11:50 10-01-2006
Kucher2

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопрос такой.
У одного товарища делал когда-то ПК. Мне показалось странным, что в ихней районной локальной сети не требуется указание IP машины да и вообще каких-либо настроек локалки. Просто создаётся VPN-соединение.. и всё. Ну, поудивлялся и забыл...
 
Начал изучать FreeBSD. А именно - делать на ней сервак - шлюз в инет для небольшой сети. И наткнулся на такую фичу в настройках демона mpd, когда через любой сервер FreeBSD создаётся то самое VPN...
 
И тут меня осенило: народ видит друг друга через это VPN как в обычной локалке.
 
Т.е., если вы знакомы с проблемами неуплаты за локальный трафик например или вообще с проблемой отключения "нашалившего" юзера от сети района или раздачей рессурсов несколькими людьми (интернет, файловые сервера) в пределах одной сети - вы меня поймёте.
 
Тут вам - не надо управляемых свичей, потому как сервер строит саму локалку и при  программном отключении - юзер просто не может в неё зайти.
 
Вы скажете, что более-менее соображающий юзер сможет назначить машине друга и себе - локальный адрес и ходить через его подключение в сеть?
Согласен, но
во первых - это гемор для этого юзера и его друга (комп-шлюз должен быть включён постоянно);
во вторых - это будет неорганизовано и народ станет на грабли по поводу конфликта адресов (следить же за этим надо);
в третьих - большая часть "законопослушных" всё равно будет сидеть в сети через VPN а следовательно связь между ними и нарушителями будет отсутствовать.
 
Интересует ваше мнение, а так же надёжность сего  - в частности как скажется такое решение на сетевых играх, просмотре фильмов и т.д. Где тут краеугольный камень?

Всего записей: 288 | Зарегистр. 10-11-2004 | Отправлено: 22:32 11-01-2006 | Исправлено: Kucher2, 22:34 11-01-2006
Kucher2

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Разговор был начат здесь: http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=9832&start=20#lt
Дискуссия по поводу демона mpd во FreeBSD и надёжности построения локальной сети на основе VPN (мой вопрос выше).
 
Sadok

Цитата:
Оба утверждения верны. Вырубится - пропадет интерфейс - отвалится сеть и никто не сможет подключиться.  

если это так, то почему тогда это:

Цитата:
У тебя сервер может быть воткнут в свитч, в который воткнуты клиенты. Тогда трафик - мимо сервера.  

 
Выходит - трафик всё же льётся через сервер? Или этот так называемый интерфейс - просто служит чем-то вроде указателя?
 
Сколько может быть таких интерфейсов (пользователей)?
Вы бы стали создавать сеть таким образом, через VPN, опираясь на демон mpd ОС FreeBSD? Почему?

Всего записей: 288 | Зарегистр. 10-11-2004 | Отправлено: 17:52 12-01-2006 | Исправлено: Kucher2, 17:54 12-01-2006
Sadok

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Kucher2

Цитата:
 Выходит - трафик всё же льётся через сервер? Или этот так называемый интерфейс - просто служит чем-то вроде указателя?  

У тебя интерфейс пропадет. Как-будто кабель выдернули. Куда пакеты бегать будут?

Цитата:
 Сколько может быть таких интерфейсов (пользователей)?

Я думаю, что тут только ОС накладывЮт ограничения. Сколько ифейсов может быть у Фри - даже не знаю Явно много

Цитата:
 Вы бы стали создавать сеть таким образом, через VPN, опираясь на демон mpd ОС FreeBSD? Почему?
 

Угу. Надежность, проверенная временем А еще mpd4 появился в портах, но я его не щупал.

Всего записей: 1338 | Зарегистр. 04-01-2003 | Отправлено: 17:59 12-01-2006
Kucher2

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sadok Спасибо, мил человек.
Прошу по этому поводу - всех сюда: http://forum.ru-board.com/topic.cgi?forum=8&topic=13653 - а то как-то вроде тоже не к этой теме...

Всего записей: 288 | Зарегистр. 10-11-2004 | Отправлено: 18:12 12-01-2006
Xanter

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Посмотри настройки RRAS. Может у тебя только 1 ВПН порт открыт. Вот оно одного только и пускает.

Да, похоже всё на это указывает. Знать бы где эти настройки находятся в XP... В самих настройках VPNа установлено 11 адресов для выделения в будующей VPN сети, сервер честно берёт первое. Никак не найти мне в Интернете про RRAS в XP, везде про 2003, а там он в администрировании есть... Подскажите, пожалуйста, кто знает где его настройки в WinXP?

Всего записей: 35 | Зарегистр. 16-12-2005 | Отправлено: 02:33 15-01-2006
uggp

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Подскажите, пожалуйста, кто знает где его настройки в WinXP?

Поддерживаю! Поделитесь, где настраивать RRAS в WinXP? У меня такая же проблема - принимается только 1 соединение, остальные вылетают с ошибкой 937 (входящие подключения не могут принимать ваши запросы на подключение, поскольку используется другое подключение такого же типа).

Всего записей: 9 | Зарегистр. 16-11-2004 | Отправлено: 17:29 19-01-2006
Lodeon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VPN и роутинг
 
Есть головной офис с Kerio Winroute Firewall и VPN сервером
реальный IP у сервера и локальная подсеть 192.168.93.x
 
все без проблем у клиентов, у которых PPPoE соединение (или аналог) устанавливается непосредственно на компьютере.
 
Сейчас приехал в филиал в командировку (поэтому важна оперативность ответов!!!), привез с собой ADSL роутер с 4 портами, PPPoE устанавливается его силами, интернет раздается натом. РОутеру через PPPoE выдается реальный IP, серый 192.168.1.1, локальная подсеть 192.168.93.x шлюзом по умолчанию прописан роутер 192.168.1.1.
 
vpn соединение устанавливается, но IP адреса головного офиса не пингуются, что-то с роутингом
 
после установления VPN соединения смотрим выданные ему настройки
 
IP 172.16.1.2 (IP VPN сервера в головном офисе 172.16.1.1)
 
маска 255.255.255.0
 
смотрим детали, вот тут непонятно
 
IP 169.254.127.1 что это за IP откуда он берется, tracert до него первым узлом он и является
маска 255.255.0.0
 
Протокол VPN клиента:
 
26/01/2006 13:29:52] GUI: connecting to 'xxx.xxxxx.ru'
[26/01/2006 13:29:52] D[VPN client] VPNClient[0004] - connecting to xxxx.xxxxxx.ru:4090, username XXXX
[26/01/2006 13:29:53] D[VPN client] VPNClient[0004] - server name resolved - 62.5.xxx.xxx
[26/01/2006 13:29:53] D[VPN client] VPNClient[0004] - route to server added, gw = 192.168.1.1 (adapter 0x2)
[26/01/2006 13:29:53] D[VPN client] VPNClient[0004] - local TCP address = 192.168.1.183
[26/01/2006 13:29:53] D[VPN client] VPNClient[0004] - SSL connection successfully established
 
...........
 
[26/01/2006 13:29:56] D[VPN client] VPNClient[0004] - received R_IPCONFIG message, IP = 172.16.1.2/255.255.255.0, CEP = 3600 s.
 
 
ping 172.16.1.1 Не идет - VPN сервер не пингуется
 
 
D:\Documents and Settings\formed>ipconfig /all
 
Настройка протокола IP для Windows
 
        Имя компьютера  . . . . . . . . . : formed1
        Основной DNS-суффикс  . . . . . . :
        Тип узла. . . . . . . . . . . . . : неизвестный
        IP-маршрутизация включена . . . . : нет
        WINS-прокси включен . . . . . . . : нет
 
Подключение по локальной сети - Ethernet адаптер:
 
        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Realtek RTL8139/810X Family PCI Fast
 Ethernet NIC
        Физический адрес. . . . . . . . . : 00-20-ED-75-81-F0
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 192.168.1.183
        Маска подсети . . . . . . . . . . : 255.255.255.0
        Основной шлюз . . . . . . . . . . : 192.168.1.1
        DNS-серверы . . . . . . . . . . . : 83.151.0.8
                                            83.151.0.12
 
Kerio VPN - Ethernet адаптер:
 
        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : Kerio VPN adapter
        Физический адрес. . . . . . . . . : 44-45-53-54-27-38
        Dhcp включен. . . . . . . . . . . : да
        Автонастройка включена  . . . . . : да
        IP-адрес  . . . . . . . . . . . . : 172.16.1.2
        Маска подсети . . . . . . . . . . : 255.255.255.0
        IP-адрес автонастройки. . . . . . : 169.254.127.1
        Маска подсети . . . . . . . . . . : 255.255.0.0
        Основной шлюз . . . . . . . . . . :
        NetBIOS через TCP/IP. . . . . . . : отключен
 
D:\Documents and Settings\formed>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 20 ed 75 81 f0 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - &#9568;
шэшяюЁЄ яырэшЁют&#8729;шър яръхЄют
0x10004 ...44 45 53 54 27 38 ...... Kerio VPN adapter
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1   192.168.1.183       20
     62.5.xxx.xxx (это роутер в головном офисе c VPN)  255.255.255.255      192.168.1.1   192.168.1.183       1  
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0    169.254.127.1   169.254.127.1       20
    169.254.127.1  255.255.255.255        127.0.0.1       127.0.0.1       20
  169.254.255.255  255.255.255.255    169.254.127.1   169.254.127.1       20
       172.16.1.0    255.255.255.0       172.16.1.2   169.254.127.1       20
       172.16.1.2  255.255.255.255        127.0.0.1       127.0.0.1       20
   172.16.255.255  255.255.255.255    169.254.127.1   169.254.127.1       20
      192.168.1.0    255.255.255.0    192.168.1.183   192.168.1.183       20
    192.168.1.183  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255    192.168.1.183   192.168.1.183       20
     192.168.93.0    255.255.255.0       172.16.1.1   169.254.127.1       1
    213.234.250.0 (Не понятно что)    255.255.255.0       172.16.1.1   169.254.127.1       1
        224.0.0.0  (Не понятно что)      240.0.0.0    169.254.127.1   169.254.127.1       20
        224.0.0.0        240.0.0.0    192.168.1.183   192.168.1.183       20
  255.255.255.255  255.255.255.255    169.254.127.1   169.254.127.1       1
  255.255.255.255  255.255.255.255    192.168.1.183   192.168.1.183       1
Основной шлюз:         192.168.1.1
===========================================================================
Постоянные маршруты:
  Отсутствует
 
 
 
ПОСЛЕ отключения VPN
 
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1   192.168.1.183       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0    169.254.127.1   169.254.127.1       20
    169.254.127.1  255.255.255.255        127.0.0.1       127.0.0.1       20
  169.254.255.255  255.255.255.255    169.254.127.1   169.254.127.1       20
      192.168.1.0    255.255.255.0    192.168.1.183   192.168.1.183       20
    192.168.1.183  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255    192.168.1.183   192.168.1.183       20
        224.0.0.0        240.0.0.0    169.254.127.1   169.254.127.1       20
        224.0.0.0        240.0.0.0    192.168.1.183   192.168.1.183       20
  255.255.255.255  255.255.255.255    169.254.127.1   169.254.127.1       1
  255.255.255.255  255.255.255.255    192.168.1.183   192.168.1.183       1
Основной шлюз:         192.168.1.1
 
ЧТО прописать в роутинг, чтобы он через VPN посылал пакеты адресованные головному офису?
 

Всего записей: 48 | Зарегистр. 10-01-2004 | Отправлено: 13:46 26-01-2006
yaleks



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ЧТО прописать в роутинг, чтобы он через VPN посылал пакеты адресованные головному офису?

1) как название роутера?  
2) у таких устройств обычно образуется 2 интерфейса?: "VPN" и "lan" и соотв. нужно знать их параметры (с VPN интерфейсом вроде ясно). "lan"  интерфейс нужно настроить самому(обычно есть web-интерфейс, дефолтовый адрес написан в manual) и DHCP, NAT видимо тоже. Тогда gateway для компов станет "lan" интерфейс роутера.

Всего записей: 178 | Зарегистр. 08-05-2005 | Отправлено: 10:05 27-01-2006
Lodeon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
yaleks
 
 
Интернет через роутер Zyxel 660H работает замечательно, VPN же нужен для доступа к сети головного офиса. А пакеты внуть VPNа не идут!!!!!!!!

Всего записей: 48 | Зарегистр. 10-01-2004 | Отправлено: 13:17 27-01-2006
zzzolegzzz



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попытался настроить VPN между двумя устройствами. Выдает такой лог:
 
6 Send:[NOTFY:NO_PROP_CHOSEN] 80.204.227.219 80.204.227.220 IKE  
5 !! No proposal chosen 80.204.227.220 80.204.227.219 IKE  
4 Rule [1] Phase 1 key group mismatch 80.204.227.220 80.204.227.219 IKE  
3 Recv:[SA][VID][VID][VID] 80.204.227.220 80.204.227.219 IKE  
2 Recv Main Mode request from [80.204.227.220] 80.204.227.220 80.204.227.219 IKE  
1 Rule [1] Receiving IKE request 80.204.227.220 80.204.227.219 IKE  
 
Этот лог выдал мне Zyxel 662H, на другой стороне стоит за Zyxel 660H (NAT всё перенаправляет на фаерволл) Netscreen 5GT, он выдает следующее:
 
2 info IKE<80.204.227.219> Phase 1: Retransmission limit has been reached.  
1 info IKE<192.168.4.1> >> <80.204.227.219> Phase 1: Initiated negotiations in main mode.  
 
Что это всё по хорошему означает ?
 
И еще вопрос - как на 662Н прописать маршрутизацию VPN ?

Всего записей: 973 | Зарегистр. 15-05-2002 | Отправлено: 09:10 07-02-2006 | Исправлено: zzzolegzzz, 09:29 07-02-2006
Lodeon



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zzzolegzzz
 
маловато информации, а вообще у зайксель очень неплохой саппорт, позвони подскажут. Я просто нат поднял, он VPN и ретранслирует.

Всего записей: 48 | Зарегистр. 10-01-2004 | Отправлено: 10:09 07-02-2006
MrWoot

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ситуация такая  
провайдер предоставляет доступ в инет через VPN соединение .  
следовательно когда я хочу войти на свой рабочий сервер (тож VPN) получается  VPN в VPN.соеденяеться но ничаго не работает  
ни пинг не проходит? ничаго .  
в тех потд. мне ответ очень понравился .  
Всё работает . у нас половино клиентов так работает но мы не знаем как делать .  
только можем сказать что нужно включить какуюто службу  
я в восторге .  

Всего записей: 6 | Зарегистр. 08-02-2006 | Отправлено: 13:03 08-02-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
MrWoot
молодец исправился
а теперь давай уточним, какой тип ВПН используется? стоит ли на гейте у тебя файрвол, есть ли файрвол у них, можно ли попробовать альтернативные клиенты впн типа Опен ВПН он не использует никаких спец протоколов типа GRE которые могут резаться или конфликтовать
 
 
Добавлено:
какие системы на гейтах у тебя и у прова? используется ли штатный впн клиент, если это виндовс

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 15:05 08-02-2006
MrWoot

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik
до провайдера стоит обычный штатный клиент .
без шифрования . всё открыто .  
мой сервак поднять на 2003. пробовал от соседа у него обычный стРим, с него лезет и рабочую подсеть всю видит. принёс домой ноут . залез в инет через момед , тожа лезет. с домашней сети лезет,тоесть конектиться к серваку но с рабочей подсетью работать нехочеть .  
 
думаю в ХР есть какаято фича какое VPN считать рабочим или что то типо таго (((

Всего записей: 6 | Зарегистр. 08-02-2006 | Отправлено: 17:01 08-02-2006 | Исправлено: MrWoot, 17:04 08-02-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подожди нарисуй схему что где работает
если я правильно понимаю у тебя ДОМА коннект к инету через ВПН
На работе гейтом стоит 2003? и коннект к инету прямой
Если ты коннектишься с любой машины через ВПН к 2003 то можешь видеть рабочую сеть
Если коннектишься с домашней, то соединение устанавливается, но рабочую сеть ты не видишь?
А ресурсы сервака? папки там?
 
Если все так как я понял то, причем тут ВПН? соединение установлено? - установлено, ВПН работает
то что ты не видишь рабочую сеть проблемы маршрутизации, а не ВПН.
А для того чтобы решить проблему с маршрутизацией
для начала попробуй поставить в настройках ВПН соединения в твоей домашней тачке в адвансед настройках галочку использовать шлюз по умолчанию.
 
опс, вот она у тебя уже стоит такая галка в твоем соединении с провом, а две одновременно ты поставить не можешь , а у прова ее снимать нельзя!
при создании нового ВПН соединения эта галка обычно стоит по умолчанию, потому ты легко коннектился с машин где ВПН не стоял, а у тебя второе соединение потому оно создавалось без галки два шлюза по умолчанию быть не может.
 
значит придется учить команду route
route.exe add 192.168.0.0 mask 255.255.255.0 192.168.1.2
где 192.168.0.0 твоя рабочая сеть
mask 255.255.255.0 маска в твоей рабочей сети  
192.168.1.2 - ип адрес выданный тебе ТВОИМ ВПН сервером (не прововским)
у небя адреса конечно могут отличаться.

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 12:21 09-02-2006
MrWoot

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Подожди нарисуй схему что где работает  
если я правильно понимаю у тебя ДОМА коннект к инету через ВПН  
На работе гейтом стоит 2003? и коннект к инету прямой  
Если ты коннектишься с любой машины через ВПН к 2003 то можешь видеть рабочую сеть  
Если коннектишься с домашней, то соединение устанавливается, но рабочую сеть ты не видишь?
 
Это всё верно  

Цитата:
А ресурсы сервака? папки там?

а вот этого и нету совсем
 
ща попробую отпишусь

Всего записей: 6 | Зарегистр. 08-02-2006 | Отправлено: 11:56 11-02-2006
artdeveloper

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
OpenVPN 2:
Здравствуйте! Мне необходимо соединить две локальные сети с одинаковым адресным пространством (типа 192.168.0.0 255.255.255.0) vpn туннелем. Возможно не меняя адресного пространства одной из сетей настроить туннель таким образом, чтобы для каждой из сетей друга была видна с другим адресным пространством (например комп с адресом 192.168.0.10, из другой сети был виден под адресом 192.168.1.10)? Возможно это реализовать или нет?

Всего записей: 1 | Зарегистр. 19-10-2005 | Отправлено: 15:01 13-02-2006
Xrobak

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VPN поднят на линуксовом серваке, на том же серваке поднят и проксик. Есть 2 логина для подключения к VPN (айпи выдается на логин).
 
Проблема: оба логина не могут попасть на некоторые сайты в интернете (microsoft.com, forum.ru-board.com и т.д.), но на большинство попадают.
 
Рассмотрим детальнее:
1) Пользователь А сидит на компе с ОС виндовс 2003 Ентерпрайз (рус) со встроенным СП1. Настраивает на себе клиента VPN, подключение проходит успешно, в интернет выход есть, но на некоторые сайты не может попасть.
2) Пользователь Б сидит на компе с ОС виндовс ХР (рус). Ситуация аналогичная с пользователем А.
 
Заходим на любой другой компьютер в сети, например с ОС виндовс 2000 сервер с СП4, настраиваем VPN-подключение и вуаля, на все сайты есть доступ, в том числе и на microsoft.com.
 
Думал может проблема в ОС, мол разные протоколы у ХРю и 2003, в отличие от 2000; законектился терминалом на другой комп, где установлена винда 2003 ентерпрайз (англ), настраиваю на ней VPN-подключение - и тут тоже все работает прекрасно, и пускает на все сайты.
 
Через ipconfig /all сравниваю сетевые настройки на этих компьютерах - настройки идентичны, разница только в ИП компьютера, за которым работаешь, что и должно быть.
 
Показывает админ настройки VPN-подключений для логинов -  я в линуксе не шарю, но строчки для всех юзеров одинаковые, разница только в айпишка, к-рые выдаются тому, кто подключается к VPN, т.е. это вроде тоже нормально...
 
Так что же тогда не так? Куда смотреть? Админ кричит что это проблемы с вашими компьютерами, а я логически ему доказываю, что это не так. Почему? А вот почему:
- как я уже говорил, VPN и прокса находится на одном и том же сервере, если я отключаю VPN-соединение и включаю проксу, то я могу через нее попадать на те сайты, на которые не могу со своей же машины попасть через VPN. Значит, если бы проблема была с моей машиной, то я бы не смог попасть и через проксу на те сайты, ведь логично же?
 
Может это VPN криво настроен, или VPN глючит под этими ОС, или может какую службу нужно остановить, а?

Всего записей: 934 | Зарегистр. 16-08-2004 | Отправлено: 21:15 20-02-2006
SergDobudko



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А может у админа какие фильтры есть, про которые он забыл ?

Всего записей: 448 | Зарегистр. 24-05-2005 | Отправлено: 22:14 20-02-2006
Xanter

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Xrobak
Попробуй команду tracert microsoft.com
и т.п., это трассировка маршрута до сервера, может показать где происходит затык... Может что то со службой DNS не так?
Что она говорит на VPN под 2000 и VPN под XP?

Всего записей: 35 | Зарегистр. 16-12-2005 | Отправлено: 22:42 20-02-2006
Xrobak

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
А может у админа какие фильтры есть, про которые он забыл ?

все может быть, только как я ему скажу? Может у вас фильтры какие есть, на что он сразу заорет у меня все нормально, это проблемы с твоей машиной... Проще общаться, когда хоть знаешь что и как называется, тогда из тебя будет не так просто сделать идиота...

Цитата:
Попробуй команду tracert microsoft.com

на данный момент могу сделать трасерт только на вин2003, завтра смогу и на вин хрю, вот результаты на вин2003 (начало урезал, ибо там все ок, привожу кусок трасерта, где подходим ближе к майкрософту):

Цитата:
 10   271 ms   280 ms   276 ms  62.153.203.62
 11   281 ms   285 ms   306 ms  ten7-1.pax-76cb-1a.ntwk.msn.net [207.46.34.98]
 12   270 ms   237 ms   283 ms  pos6-2.tuk-76cb-1a.ntwk.msn.net [207.46.34.173]
 13   271 ms   294 ms   298 ms  pos1-0.iuskixcpxc1202.ntwk.msn.net [207.46.36.146]
 14   251 ms   286 ms   384 ms  pos1-0.cpk-12ix-1b.ntwk.msn.net [207.46.155.37]
 15   297 ms   303 ms   289 ms  pos4-0.tke-12ix-2b.ntwk.msn.net [207.46.155.29]
 16   302 ms   273 ms   302 ms  pos0-0.wst-12ix-1b.ntwk.msn.net [207.46.155.14]
 17   314 ms   292 ms   298 ms  pos1-0.iuscixwstc1202.ntwk.msn.net [207.46.155.21]
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.
 
Трассировка завершена.

Всего записей: 934 | Зарегистр. 16-08-2004 | Отправлено: 23:01 20-02-2006 | Исправлено: Xrobak, 23:02 20-02-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Win 2000 Pro+Kerio Winroute Firewall
Есть потребность в VPN сервере. Чем его можно сделать кроме как сами Kerio Winroute Firewall?
Мне всего лишь одного клиента надо пустить через этот VPN сервер без всякой статистики. Простой NAT+пару портов мапить в обратку к клиенту - чтоб был High ID в eMule.  
 
Добавлено:
Нашел встроенный в ОС VPN сервер. Такой же как в XP.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 03:02 01-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть проблема:
Есть сервер Win2003 на нем VPN
есть 2 клиента подключаемые к серверу
они подключаются но пинги между ними не идут ?
Если поставить Kerio Winroute то все работает,  
но таблица маршрутизации не как не изменяется,
как сделать так, что бы не использовать Kerio ?

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 11:16 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lloyd
Вот чудак - человек, а то как у тебя подключены клиенты мы догадываться должны? какие ИП у них какие у сервера? и тд. подробности нужны, подробности...


----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 11:46 01-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да,бывает  
 
у клиентов 10.0.0.2
у второго 10.0.0.6
у сервера 10.0.0.1

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 12:01 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
читаем внимательно и тд
спрашиваю дальше, клещи что-ли применить
маска подсети у клиентов и сервера?
роутер по умолчанию ?
оси на всех машинах?
включен ли фаер хоть на одной?
на каком шаге умирает трасерт, сервак всех пинговать может, а они сервак?


----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 12:07 01-03-2006
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lloyd
wchik
А это ничего, что все машины в одной подсети... или я чегото не понимаю

Всего записей: 563 | Зарегистр. 11-03-2003 | Отправлено: 12:57 01-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VPN тестовой из локалки
 
WinXp Sp2
у первого vpn 10.0.0.2
внутренний 192.168.0.100  
маска 255.255.255.0  
WinXp Sp2
 
у второго vpn 10.0.0.6  
внутренний 192.168.0.102
маска 255.255.255.0  
Win2003 Sp1
 
у сервера 10.0.0.1
внутренний 192.168.0.205
маска 255.255.255.0
шлюза нет  
везде нет FireWall
 
все подключения по MS-CHAP2  и PPTP
 
Добавлено:
у клиентов в VPN  
снята галочка "использовать основной  шлюз в удаленной сети"
 
 
Добавлено:
на сервак пинг идет, севак их тоже видит

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 13:26 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yourbill
Не-а не понимаешь, он не сказал что они в одной подсети
а даже если в одной по адресации, то физически (с т.з. протокола ИП) надо подумать...  
у меня например все клиенты имеют маску /32 (255.255.255.255 по вашему )
и все работает потому как шлюзом служит ВПН сервер
lloyd
Мне триста лет не нужна маска внутреннего ИП!!!!
мне нужна маска 10.0.0.6 например!!!!!!!!!!!
Смотри ты используешь протокол поинт-ту-поинт, правильно?  
по идее маска должна быть 255.255.255.255 (точно не помню тачка с впн далеко)
вывод: он думает, что в его подсети только ДВЕ точки, он и сервак
теперь чтобы работала связь между двумя машинами и серваком надо подумать в сторону марштутизации
например на машине с 10.0.0.2
route.exe add 10.0.0.6 mask 255.255.255.255 10.0.0.2


----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 14:37 01-03-2006
sayae1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите подобрать решение?
Есть выход в интернет через dsl модем, который подцеплен к fairwall- у на FreeBSD. Нужно аппаратное (программно аппаратное решение) чтобы пустить через интернет пользователя внутрь корпаративной сети. т.е. организовать VPN тунель с шифрованием.
Я так понимаю что нужно поставить маршрутизатор с поддержкой VPN. А на клиента ключик на смарт-карте или USB. Cisco не подходит масштабы не те.

Всего записей: 5 | Зарегистр. 16-11-2005 | Отправлено: 15:01 01-03-2006
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik

Цитата:
Не-а не понимаешь, он не сказал что они в одной подсети  

После моего сообщения он это подтвердил;) Я конечно не телепат, но так получилось
 

Цитата:
например на машине с 10.0.0.2  
route.exe add 10.0.0.6 mask 255.255.255.255 10.0.0.2  

А почему шлюзом для 10.0.0.6 будет 10.0.0.2, если оба клиента подключаются к серверу у которого адрес 10.0.0.1?
Я бы поставил для обеих клиентов шлюзом 10.0.0.1...
 
lloyd
Кинь таблицу маршрутов с сервера и с клиента (комманда - route print)

Всего записей: 563 | Зарегистр. 11-03-2003 | Отправлено: 15:05 01-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
маски для VPN 255.255.255.255
такая строка итак есть в таб-це маршрутизации
10.0.0.6 255.255.255.255 10.0.0.2
 
Добавлено:
tracert доходит до сервера и все
 
Добавлено:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.0.250    192.168.0.206     10
         10.0.0.0    255.255.255.0         10.0.0.6         10.0.0.1      1
         10.0.0.1  255.255.255.255        127.0.0.1        127.0.0.1     50
         10.0.0.5  255.255.255.255         10.0.0.1         10.0.0.1      1
         10.0.0.6  255.255.255.255         10.0.0.1         10.0.0.1      1
         10.0.0.7  255.255.255.255         10.0.0.1         10.0.0.1      1
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
     169.254.83.0    255.255.255.0   169.254.83.245   169.254.83.245     20
   169.254.83.245  255.255.255.255        127.0.0.1        127.0.0.1     20
  169.254.255.255  255.255.255.255   169.254.83.245   169.254.83.245     20
      192.168.0.0    255.255.255.0    192.168.0.206    192.168.0.206     10
    192.168.0.100  255.255.255.255    192.168.0.206    192.168.0.206     10
    192.168.0.102  255.255.255.255    192.168.0.206    192.168.0.206     10
    192.168.0.206  255.255.255.255        127.0.0.1        127.0.0.1     10
    192.168.0.255  255.255.255.255    192.168.0.206    192.168.0.206     10
        224.0.0.0        240.0.0.0   169.254.83.245   169.254.83.245     20
        224.0.0.0        240.0.0.0    192.168.0.206    192.168.0.206     10
  255.255.255.255  255.255.255.255   169.254.83.245   169.254.83.245      1
  255.255.255.255  255.255.255.255    192.168.0.206    192.168.0.206      1
Основной шлюз:       192.168.0.250

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 15:29 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yourbill

Цитата:
После моего сообщения он это подтвердил;) Я конечно не телепат, но так получилось  

кажись не подтвердил , точно не телепат

Цитата:
маски для VPN 255.255.255.255

в сеть с такой маской входит ровно ОДНА машина потому и гейтом указывается собственный ИП, а не ИП сервера (сервер уже в другой подсети, а гейт должен быть в своей), а дальше работает поинт-ту-поинт
lloyd

Цитата:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
         10.0.0.6  255.255.255.255         10.0.0.1         10.0.0.1      1  

укажите мне непутевому где тут  

Цитата:
такая строка итак есть в таб-це маршрутизации
10.0.0.6 255.255.255.255 10.0.0.2  

а, подожди, это ты там таблицу с сервера давал?
а с клиента если дать?
 


----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 16:18 01-03-2006 | Исправлено: wchik, 16:19 01-03-2006
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Попробуй
lloyd

Цитата:
такая строка итак есть в таб-це маршрутизации  
10.0.0.6 255.255.255.255 10.0.0.2  

Ты пишешь суперинформативно
Попробую догадаться
Тебе нужно прописать для клиентов основным шлюзом свой сервер на котором поднят ВПН. Я так понял у тебя это 10.0.0.1
Удали маршрут на клиенте
route delete 10.0.0.0 mask 255.0.0.0 10.0.0.6 или route delete 10.0.0.0 mask 255.0.0.0 10.0.0.2
и добавь
route add 10.0.0.0 mask 255.0.0.0 10.0.0.1 IF 0x40005
0x40005 - это у меня такой интефейс ты должен указать свой.
А проще всего в свойствах впн соединения укать маршрут по умолчанию и не парить мозги в консоли...
 
Добавлено:
Писал это все не видя таблицы маршрутизации и поста надо мной, сейчас почитаю
 
Добавлено:
wchik

Цитата:
кажись не подтвердил , точно не телепат  

я говорил, о том что все клиенты имеют одно подсеть судя из IP адресов

Цитата:
1-й
внутренний 192.168.0.100  
маска 255.255.255.0  
 
2-й
внутренний 192.168.0.102  
маска 255.255.255.0  
 
сервер
внутренний 192.168.0.205  
маска 255.255.255.0

 
При таких раскладах если после каждого клиента есть еще машины, то такую маршрутизацию, что бы все машины из каждой физической подсети видели друг друга  - замучаешься настраивать... Разве не проще сразу сделать:

Цитата:
1-й
внутренний 192.168.1.1  
маска 255.255.255.0  
 
2-й
внутренний 192.168.2.1  
маска 255.255.255.0  
 
сервер
внутренний 192.168.0.205  
маска 255.255.255.0

Зачем самого себя запутывать Так и информативней и понятно... imho

Всего записей: 563 | Зарегистр. 11-03-2003 | Отправлено: 16:18 01-03-2006 | Исправлено: Yourbill, 16:23 01-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
пакет от клиента точно доходит до сервера, но сервер не хочет его передовать другому VPN клиенту, есть подозрение что winroute автоматически дублирует пакеты приходящие с одного интерфейса на все остальные, как это сделать в ручном режиме?

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 16:33 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yourbill

Цитата:
А проще всего в свойствах впн соединения укать маршрут по умолчанию и не парить мозги в консоли...

неправильно простой пример я хожу в нет через одного прова здесь деньги считаются  
теперь я впн делаю на работу и кроме того что мне надо (обменяться инфой) я еще и инет буду юзать через рабочий гейт
что имеем я плачу прову через которого хожу да и на работе тоже плачу за траф  

Цитата:
route add 10.0.0.0 mask 255.0.0.0 10.0.0.1 IF 0x40005  

по поводу гейта 10.0.0.1 я уже писал почему неправильно
 
 
Добавлено:

Цитата:
я говорил, о том что все клиенты имеют одно подсеть судя из IP адресов
 
Цитата:
1-й
внутренний 192.168.0.100  
маска 255.255.255.0  
 
2-й
внутренний 192.168.0.102  
маска 255.255.255.0  
 
сервер
внутренний 192.168.0.205  
маска 255.255.255.0

Внутренние адреса и маски не имеет отношения к впн он вообще мог написать

Цитата:
 
1-й
внутренний 192.168.0.1
маска 255.255.255.0  
 
2-й
внутренний 192.168.0.1
маска 255.255.255.0  
 
сервер
внутренний 192.168.0.1
маска 255.255.255.0

и был бы прав это возможно потому как мы работаем с ВПН
соединение установлено? установлено, разбираемся с маршрутизацией и фаерами если есть
потому я и писал что меня не волнуют маски для 192.168 они тут не причем
 
Добавлено:
lloyd
сделай трассировку с клиента на клиент и кинь сюда

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 16:34 01-03-2006
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik

Цитата:
неправильно простой пример я хожу в нет через одного прова здесь деньги считаются  
теперь я впн делаю на работу и кроме того что мне надо (обменяться инфой) я еще и инет буду юзать через рабочий гейт  
что имеем я плачу прову через которого хожу да и на работе тоже плачу за траф  

Это у тебя так, а у lloyd возможно все намного проще...  

Цитата:
по поводу гейта 10.0.0.1 я уже писал почему неправильно

Почему неправильно, повтори плиз, не совсем понял. Разве не 10.0.0.1  знает куда слать пакеты для 0.2, 0.6 и всех остальных клиентов.

Цитата:
потому я и писал что меня не волнуют маски для 192.168 они тут не причем  

Согласен, просто для меня удобней было бы внутренние  IP назначить более информативно, что бы самому было легче
lloyd

Цитата:
есть подозрение что winroute автоматически дублирует пакеты приходящие с одного интерфейса на все остальные, как это сделать в ручном режиме?

А это как?

Всего записей: 563 | Зарегистр. 11-03-2003 | Отправлено: 16:59 01-03-2006 | Исправлено: Yourbill, 17:05 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yourbill

Цитата:
Почему неправильно, повтори плиз, не совсем понял. Разве не 10.0.0.1  знает куда слать пакеты для 0.2, 0.6 и всех остальных клиентов.  

смотри маска сети 255.255.255.255  
маска указывает на число машин в сети  
при такой маске в сети только одна машина
(тут пока все ясно, надеюсь)
дальше что такое шлюз, это машина которая имеет 1 ИП в нашей сети и знает как попасть в другую сеть
но в нашей сети ТОЛЬКО 1 ИП!!! следовательно этот адрес и будет шлюзом для протокола ИП,
потому что более низкоуровневый протокол РРР знает, что при попадении Пакета на этот ИП, он его должен переслать серверу который там уже разбирается что с ним дальше делать.
Примерно понятно?
 
Добавлено:

Цитата:
Это у тебя так, а у lloyd возможно все намного проще..

Может у него и проще тогда пусть поставит галку использовать шлюз в удаленной сети ине парится должно работать
кстати если не заработает то виноват сервак легче копать

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 17:06 01-03-2006
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wchik

Цитата:
сделай трассировку с клиента на клиент и кинь сюда

lloyd - вроде писал, что трасерт дохнет на сервере ...
 
 
Добавлено:
wchik

Цитата:
смотри маска сети 255.255.255.255  
маска указывает на число машин в сети    
при такой маске в сети только одна машина  
(тут пока все ясно, надеюсь)  
дальше что такое шлюз, это машина которая имеет 1 ИП в нашей сети и знает как попасть в другую сеть  
но в нашей сети ТОЛЬКО 1 ИП!!! следовательно этот адрес и будет шлюзом для протокола ИП,  
потому что более низкоуровневый протокол РРР знает, что при попадении Пакета на этот ИП, он его должен переслать серверу который там уже разбирается что с ним дальше делать.  
Примерно понятно?  

Спасибо, теперь все ясно
 
 
Добавлено:
lloyd
Может ты все таки кинешь для полной картины таблицу маршрутов хотя бы с одного из клиентов...

Всего записей: 563 | Зарегистр. 11-03-2003 | Отправлено: 17:09 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Yourbill

Цитата:
lloyd - вроде писал, что трасерт дохнет на сервере ...

Он по разному дохнуть может хочется глянуть.
Предупреждая вопросы "как это?"
например человек говорит, что трасировка дохнет на сервере имея ввиду, что сервак пингуется
а клиент за серваком нет.
Этож логично сервак пингуется вроде значит и трасерт там умрет
хорошо запускаем трасерт, а ответ от сервака не приходит! или приходит только не от сервака, а от гейта по умолчанию.
Я на форуме не первый день а по тому как развернуто lloyd отвечает на вопросы хочу на трасерт посмотреть

 
Добавлено:

Цитата:
lloyd
Может ты все таки кинешь для полной картины таблицу маршрутов хотя бы с одного из клиентов...

да кстати и об этом я просил тоже
все завязываю а то мы тут Yourbill разбираемся в проблеме не имея исходных условий, шаманы блин


----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 17:17 01-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
0x3 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
0x4 ...00 e0 18 d4 51 cc ...... ASUSTeK/Broadcom 440x 10/100 Integrated Controller - &#9568;шэшяюЁЄ яырэшЁют&#8729;шър яръхЄют
0x10006 ...44 45 53 54 b6 e0 ...... Kerio VPN adapter
0x10007 ...00 09 dd 10 48 54 ...... Bluetooth Device (Personal Area Network) #5
0x240008 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0    192.168.0.250   192.168.0.100   1
         10.0.0.0        255.0.0.0       10.0.0.100      10.0.0.100   1
       10.0.0.100  255.255.255.255        127.0.0.1       127.0.0.1   50
   10.255.255.255  255.255.255.255       10.0.0.100      10.0.0.100   50
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1   1
     169.254.45.0    255.255.255.0   169.254.45.223  169.254.45.223   20
   169.254.45.223  255.255.255.255        127.0.0.1       127.0.0.1   20
  169.254.255.255  255.255.255.255   169.254.45.223  169.254.45.223   20
      192.168.0.0    255.255.255.0    192.168.0.100   192.168.0.100   20
    192.168.0.100  255.255.255.255        127.0.0.1       127.0.0.1   20
    192.168.0.206  255.255.255.255    192.168.0.100   192.168.0.100   20
    192.168.0.255  255.255.255.255    192.168.0.100   192.168.0.100   20
     192.168.11.0    255.255.255.0     192.168.11.1    192.168.11.1   20
     192.168.11.1  255.255.255.255        127.0.0.1       127.0.0.1   20
   192.168.11.255  255.255.255.255     192.168.11.1    192.168.11.1   20
     192.168.72.0    255.255.255.0     192.168.72.1    192.168.72.1   20
     192.168.72.1  255.255.255.255        127.0.0.1       127.0.0.1   20
   192.168.72.255  255.255.255.255     192.168.72.1    192.168.72.1   20
        224.0.0.0        240.0.0.0       10.0.0.100      10.0.0.100   50
        224.0.0.0        240.0.0.0   169.254.45.223  169.254.45.223   20
        224.0.0.0        240.0.0.0    192.168.0.100   192.168.0.100   20
        224.0.0.0        240.0.0.0     192.168.11.1    192.168.11.1   20
        224.0.0.0        240.0.0.0     192.168.72.1    192.168.72.1   20
  255.255.255.255  255.255.255.255       10.0.0.100      10.0.0.100   1
  255.255.255.255  255.255.255.255   169.254.45.223  169.254.45.223   1
  255.255.255.255  255.255.255.255    192.168.0.100   192.168.0.100   1
  255.255.255.255  255.255.255.255     192.168.11.1    192.168.11.1   1
  255.255.255.255  255.255.255.255     192.168.72.1    192.168.72.1   1
  255.255.255.255  255.255.255.255     192.168.72.1           10007   1
Основной шлюз:       192.168.0.250

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 17:33 01-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Думаю оснавная проблема у тебя с этим, ты керио просто остановил, а надо было деинсталить

Цитата:
10.0.0.0        255.0.0.0       10.0.0.100      10.0.0.100   1
       10.0.0.100  255.255.255.255        127.0.0.1       127.0.0.1   50  

у тебя лишний адаптер висит который на себя все тянет соответственно ничего не пашеть
ты реши ты с керио настраиваешь или без вот а потом смотреть будем дальше

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 17:47 01-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
без него вообще не чего не работало, так же,
нужно настроить конечно, без керио

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 09:20 02-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как это вообще не работало?
сноси керио с концами перегружай машину
давай вывод команд  
ipconfig
netstat -rn


----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 10:02 02-03-2006
Yourbill



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lloyd
А ты службу remoteaccess - настраивал? Сноси керио, настраивай виндовую службу и говори что получилось. Из шапки почитай линки как правильно настроить ВПН под виндой.

Всего записей: 563 | Зарегистр. 11-03-2003 | Отправлено: 10:16 02-03-2006
spider09555

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите как ограничить 1 подключением pptp для пользователя на win2003

Всего записей: 6 | Зарегистр. 01-03-2006 | Отправлено: 13:43 02-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да спасибо большое, Вам Wchik и Yuorbill, все решилось просто удалением Kerio.
 
Добавлено:
Yourbill, извини

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 09:38 03-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возникла еще одна проблема, перенес VPN сервер в DMZ
перестали подсоединяться клиенты, в политиках прописано что из DMZ в local запрет на все подключения.
Ошибка 619
Вопрос  - для подключения нужно открывать порты двухнаправленно ?

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 11:27 06-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lloyd
Впн - это возможность войти ВО ВНУТРЕННЮЮ сеть, ДМЗ - это вынос потенциально опасных сервисов ЗА пределы внутренней сети. Таким образом не ясно зачем это делать.
Т.Е. Если будет взломан ВПН (тебе ведь всеравно надо разрешить как ты и говорил доступ из ДМЗ во внутреннюю) попадут в сеть.  
НО теперь давай посмотрит, что будет если взломан какой-то другой сервис который крутится в ДМЗ, правильно взломав его и разобравшись, что на этом же сервере стоит ВПН сервер, любой скрипт киддис поймет как этим воспользоваться и войти в твою сетку.
Таким образом вынос ВПН в ДМЗ наоборот уменьшает защищенность сети.
 
Но если ты вынес тогда правильно, порты надо открывать двунаправленно, и весь смысл ДМЗ теряется.

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 12:01 06-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну тогда да DMZ бессмысленно.
а насчет портов
двунаправленно нужно для любого вида шифрования или даже без шифрования ?
и только 47 сервис 1723

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 12:28 06-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
lloyd

Цитата:
двунаправленно нужно для любого вида шифрования или даже без шифрования ?
и только 47 сервис 1723

Ты о чем? ВПН поверх ВПН?
т.е.  клиент взодит в ВПН который в ДМЗ, а потом коннектится к еще одному ВПН? внутри сети? для этого 47 протокол и 1723 порт? ты имеешь ввиду что разрешить между ДМЗ и внутренней сетью?
или между миром и ДМЗ? я запутался.
 
Если хочешь оставить ВПН в дмз то надо  
1. Разрешить коннектиться на 1723 порт из мира +47 протокол разумеется плюс обратка.
2. Разрешить из ДМЗ коннектиться на службы которые хочешь предоставить во внутренней сети 135 445 и тд порты.
3. Разрешить из внутренней сети коннетиться к сети которая находится в дмз а потом через впн на твоем клиенте для возможности клиетам сети пользоваться ресурсами машин подключенных через ВПН.

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 12:42 06-03-2006
lloyd

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Нет это было зделано для того что бы изолировать VPN сеть
к серверу VPN подлючаюсь я и клиент из филиала и между нами сеть.

Всего записей: 212 | Зарегистр. 26-11-2003 | Отправлено: 14:26 06-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ага  
1. Есть внутренняя сеть
2. Есть ВПН сеть состоящая из 3-х машин (сервера в ДМЗ тебя и еще одного клиента), доступ во внутреннюю сеть не нужен
Тогда правильно что в ДМЗ.
тогда надо выполнить только пункт 1 из того, что я написал и все заработает.
естесственно изнутри ты должен иметь устанавливать соединение по этим портам и протоколам
З.Ы. учись описывать ситуации максимально подробно и однозначно (например по пунктам), это сэкономит время и тебе и другим.

----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 17:06 06-03-2006
kleric



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят подскажите.
На win2003 есть pppoe соединение с провайдором требуеться рашарить это соединение для компов внутреней сети, делаю настройку маршрутизацию и нат проблема в том что когда это pppoe запускаешь вручную он работает но рашарить его не удаеться, пробую в маршрутизаторе создать соединение вызова по требованию у казываю что это pppoe у казываю логин и пароль пробую поднять соединение, а но мне в ответ ошибка не могу подсоединиться (интерфейс вызова по требованию), хотя в ручную созданное соединение соединяется без проблем.  
Вчем может быть косяк при поднятии интерфейса вызова по требованию.

Всего записей: 56 | Зарегистр. 01-11-2005 | Отправлено: 19:18 07-03-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Народ, посоветуйте пожалуйста VPN серверы кроме Kerio VPN и встроенного в Windows'ы.
Надо чтоб работал под Win XP SP2 RU.
Спасибо!

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 22:39 11-03-2006
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik
OpenVPN - работает отлично

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 03:52 12-03-2006
aha



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VPN-звонилка, поддерживающая неограниченное количество попыток дозвона. Ведет Лог и статистику, автоматически поднимает VPN-соединение. Идеально подходит для небольших Web-серверов. Поддерживает так-же и другие типы соединений, например модемные, но работает только с одним номером телефона.
_ftp://ftp.isety.net/web/VPNDialerSet.exe

Всего записей: 860 | Зарегистр. 13-03-2004 | Отправлено: 14:13 12-03-2006
Nimnul



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Парни привет. Ниид хелп.
Есть две сетки, удаленны географически на пару десятков километров.
Ввиду юр. проблем, доп. линии поставить невозможно. Есть два ADSL подключения, у обоих статический адрес. Краем уха слышал про VPN, опыта настройки нет.
Вижу что в XP можно создать подключение ожидающее вход. подключения. А также реально создать подключение на другой стороне, для входа в эту сеть. Теперь вопросы:
1. Реально ли сделать это только на ХР? В обеих сетях небольше 5 компов. (но объеденить нужно, т.е. ограничение в ХР до 10 коннектов вроде помешать не должно)
2. Второе вход в обе сетки друг в друга хочется сделать без авторизации. (нужно выбрать проксю с НАТ которая встанет на ХР, что можете посоветовать, понимаю что не в тему, но если не трудно)

Всего записей: 1072 | Зарегистр. 05-02-2003 | Отправлено: 18:49 13-03-2006
BAHA777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть два офиса, связанных через ВПН иса сервер 2004 site-to-site. Они друг - друга видят, с самих серверов могу подключиться к локалке этого офиса или иного. ПРОБЛЕМА: Не могу даже пропинговать с локальной машины одного офиса локальные машины другого офиса и наоборот....ребята если кто знает HELP. это срочно нужно...что делать?...где искать?

Всего записей: 3 | Зарегистр. 02-03-2006 | Отправлено: 13:43 14-03-2006
wchik



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
гейтами по умолчанию для локалок являются сервера исы?
сколько говорить можно, описывайте проблему МАКСИМАЛЬНО подробно, с ПОЛНЫМ описанием топологии сети!


----------
- Не надо, как лучше, надо, как положено
"Руки - это уникальный девайс. Они могут расти откуда угодно." (c) не знаю кто

Всего записей: 518 | Зарегистр. 05-03-2002 | Отправлено: 13:56 14-03-2006
Dalexus

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, подскажите кто с таким сталкивался.
Компутер подключается к локалке, использующей для соединения VPN. Так вот после установки Pinnacle studio либо карточки WiFi IEEE1394 настройки VPN становятся неактивными, т.е. сеть не настроить .
При настроенной сети, вставлением карточки WiFi IEEE1394 также вроде пропадает доступ к VPN  . Удаление pinnacle или извлечение карты с забиванием драйверов - ничего не даёт. Похоже занимается чем-то порт. Так вот, как его освободить и какой порт? ОС WindowsXP SP1
 
Срочно!!! Помогите решить проблему.. (((  
 
 
 
Всё разобрался сам ))))))))))))))  Службу отключил случайно )

Всего записей: 1 | Зарегистр. 14-03-2006 | Отправлено: 23:02 14-03-2006 | Исправлено: Dalexus, 23:19 14-03-2006
kolt

Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Такая проблема! с терминала не могу достучаться до принтера vpn клиентов. машинку видет принтер тоже но при попытке подключиться пишет типа принтер не найден или подключение утеряно! Подскажите  что сделать?  ICQ 270859597

Всего записей: 14 | Зарегистр. 02-03-2006 | Отправлено: 23:33 14-03-2006
bytilka

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А у меня почему то не отвечает удаленный компьютер. Провайдер мне выдал IP и шлюз. Я из дома по модему хочу законнектиться к сетке на работе. Протокол PPTP. Все врорде делаю правильно,конекчусь к шлюзу ,а у меня удаленный комп не отвечает, НО пингуется. Никто не сталкивался?

Всего записей: 19 | Зарегистр. 24-02-2006 | Отправлено: 08:49 17-03-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bytilka, слишком мало информации, но если я правильно понял, то ошибка в том, что в качестве VPN сервера, должен быть указан не адреса шлюз првоайдера, а адрес VPN сервера Вашей офисной сети...только внешний IP, конечно.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 09:39 17-03-2006
bytilka

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ситуация следующая: фирма закупила файервол под названием Watchguard. Я его установил с айпи ***. Его когда регишь там предоставляется 5 впн туннелей. ТО есть он и является впн сервером. Я пытаюсь к нему коннектиться и нихрена не выходит. Он даже не пингуется из инета. По-этому я пытался коннектиться к шлюзу,кот дал провайддер. Но все равно, опять 25, пишет что удаленный компютер не отвечает.

Всего записей: 19 | Зарегистр. 24-02-2006 | Отправлено: 11:04 17-03-2006
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
попробуй подконнектиться на microsoft.com , ну если не получится - то тогда можно и на yahoo.com попробовать. А если не получится ни туда ни туда - попробуй на мой http-сервер подцепиться - www.gu.net
 
 
P.S. документацию почитай сначала на свой железный фаервол

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 12:13 17-03-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Скорей всего, на "фаерволе-впн сервере" закрыт порт 1723 (PPTP).

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 12:39 17-03-2006
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik
скорее закрыт GRE чем TCP-1723

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 02:17 18-03-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Master_Alex, а да, кстати, расскажите плиз что есть GRE. У меня на компе VPN сервер (встроенный в XP), но я в фаерволе открыл только 1723.
Спасибо.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 10:48 18-03-2006
bytilka

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо за ответы! Мужики теперь такая фигня: Клиент коннектиться-все ок,но почему то сетку не видит =( Даже пинговаться не хочет. Не подскажете что это может быть?

Всего записей: 19 | Зарегистр. 24-02-2006 | Отправлено: 16:04 18-03-2006
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik
Ну протокол такой, как и все остальные. Портов у него нет. Протокол GRE номер 47.
Напр. протокол TCP - это номер 6.

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 15:02 19-03-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Master_Alex, а можете кратко рассказать что есть GRE и как он связан с VPN?

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 00:02 20-03-2006 | Исправлено: Venchik, 00:03 20-03-2006
bytilka

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Так мужики никто не знает в чем дело,если клиент коннектиться а сети не видит? Странная чепуха =)

Всего записей: 19 | Зарегистр. 24-02-2006 | Отправлено: 08:24 20-03-2006
Venchik

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bytilka, возможно, не прописаны правила, которые дают VPN клиентам возможность пинговать машины, стоящие за роутером.

Всего записей: 808 | Зарегистр. 24-08-2005 | Отправлено: 09:50 20-03-2006
Master_Alex



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Venchik

это чистой воды RTFM, предлагаю для начала прочесть всё что есть в шапке этой темы.

Всего записей: 520 | Зарегистр. 11-09-2003 | Отправлено: 10:53 20-03-2006 | Исправлено: Master_Alex, 10:54 20-03-2006
JWH1

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На сервере 2003 настроен ВПН серевер раньше клиенты спокойно подключались
Теперь установил контроллер домена, все вроде заработало.
Но в настройках пользователей на вкладке "Входящие звонки" написано "не удается инициализировать страницу входящего звонка", а именно здесь должно настраиваться можноли пользователю удаленный доступ и с какими правилами.
Может кто нибудь сталкивался.

Всего записей: 12 | Зарегистр. 28-02-2006 | Отправлено: 12:40 22-03-2006
Palza



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно ли как-нибудь различить компьютер, который вошел в сеть в офисе, от того, который по VPN через тнтернет(это необходимо для DHCP, чтобы MS ISA мог отнести этот компьюткр либо к клиетам VPN, либо к internal)

Всего записей: 136 | Зарегистр. 23-07-2005 | Отправлено: 21:33 29-03-2006
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здорова, отцы!
Имеем:
ISA Server 2004 Std ( он же VPN сервер)
Контроллер домена с установленным  CA
Удаленный компутер.
 
По PPTP все работает без проблем, но при попытке прикрутить сертификаты и завести L2TP в логах VPN сервера наблюдаем следующее:
 

Код:
 The user administrator@mydomain.ru connected from xxx.xxx.xxx.xxx but failed an authentication attempt due to the following reason: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.  
 

Не проходит аутентификация
Все необходимые  сертификаты находятся на своих местах, т.е. пользовательский и сертификат центра сертификации в трастовых сертификатах.
Ломаю голову второй день: где меня разводят ?))

----------
Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 14:07 30-03-2006 | Исправлено: Lamerok, 14:08 30-03-2006
Leecher



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Palza
VPN как раздает адреса? Статически?
Тогда исключить этот диапазон из scope основного DHCP

Всего записей: 539 | Зарегистр. 18-10-2003 | Отправлено: 16:30 30-03-2006
vii



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прочитал первую страницу и несколько последних. Для своей задачи ответа не нашел. Так что, сильно не бейте, если было уже.
Есть ВПН-девайс (конкретно Citrix Access Gateway, хотя мне кажется, что это не важно). Он стоит в удаленной сети. Я с ним соединяюсь (с пом. клиента) и получается типа point-site. Т.е. все отлично: вся удаленная сетка видна, как на ладони.
Как мне это чудо превратить в site-site? Т.е. хочу, чтобы вся моя локалка ходила в удаленную сетку.
Сейчас все машины в локалке соединяются с интренетом через раутер, т.е., как я понимаю, просто прописать им меня шлюзом не получится.
Локальные адреса подсетей разные (типа 192.168.1.0 и 192.168.2.0).
В принципе, есть возможность запустить ВПН клиента на машине с 2-мя сетевухами, но я не уверен, что это поможет.
Буду рад любым мыслям.

Всего записей: 444 | Зарегистр. 21-10-2004 | Отправлено: 07:52 01-04-2006
Mobil84



Junio