Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155

Открыть новую тему     Написать ответ в эту тему

Guest

BANNED
Редактировать | Цитировать | Сообщить модератору
Предлагаю создать такую тему потому как есть масса вопросов при работе VPN, один из них заключается в том, что оно у меня постоянно падает и череаз несколько секунд восстанавливается. Что делать?
VPN

 
Собираем полезные линки, преимущественно на русском.
 
Настройка VPN под Windows 9x, 2000, XP  
Настройка VPN под Windows XP  
Настройка VPN под Windows 9x  
http://compnetworking.about.com/cs/vpn/  
http://www.corecom.com/html/vpn.html  (тут же есть и FAQ)  
http://www.iec.org/online/tutorials/vpn/
VPN и спутники
VPN соединение для Vista пошагово с картинками  
VPN соединение для XP пошагово с картинками  
Настройка VPN (PPPoE) для Windows Vista  
Конфигурация VPN в Windows 2000 (Соединяя Офисы)
Как создать VPN на базе протокола L2TP  
Сравнение характеристик существующих Open Source VPN решений для Linux
VPN соединение "подвисает", приходится переподключаться. Попробуйте изменить значение MTU на клиенте.  
 
VPN и IPSec на пальцах
Технологии используемые в IPSEC (ipsec vpn tunnel cisco)
 
Темы на форуме
  • VPN под Linux
     
     
     
    УВАЖАЕМЫЕ, если при создании VPN соединения у вас "вдруг" перестает работать интернет. надо найти настройки VPN соединения в них настройки TCP-IP там кнопку - advanced и сбросить галку "использовать основной шлюз в удаленной сети"!!!

  • Отправлено: 09:11 29-03-2002 | Исправлено: TheBarmaley TMP, 16:05 23-03-2016
    NEED



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    gyt
    Я настраивал у себя в конторе терминалку на модеме на плохой линии. Качество связи давало скорость 19200 (маловато, не так-ли?). Принтер HPLJ 1220. Первая страница при 600 DPI вылезала через 10 минут. Дальше все шло быстрее.

    Всего записей: 573 | Зарегистр. 17-10-2002 | Отправлено: 15:06 28-03-2005
    gyt

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    wchik
    немного поясню: пользователи в удаленной конторе работают в терминалке через впн-сетку, которая соеденина с основным офисом. работа в основном в 1с. необходимо будет печатать документы с терминалки на локальных принтерах ( это в удаленном офисе) , суть вопроса в том какая для этого нужна пропускная способность ?? либо как это все будет выглядеть если будут использоваться факсы????
     
    просто при печати по слабой линии документы будут печататься по 10 минут, а их нужно будет печатать по 100 листов: итого 1000 минут или 16 часов, что не есть гуд
     
    Добавлено:
    NEED
    очень очень очень медленно
    представь если магазин с общей базой 1с и нужно печатать документики

    Всего записей: 73 | Зарегистр. 05-03-2004 | Отправлено: 14:00 29-03-2005
    ColdSUN

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    У меня вот тоже есть вопросик. Есть две локальные сети. С одной стороны шлюзом стоит cisco secure pix 506e, с другой линуксовая машинка. Можно ли сделать так чтобы из одной локальной сети полностью было видно другую, и наоборот. Сервер-клиент, тоесть Pix в качестве сервера и cisco vpn client с другой стороны на виндовой машине, у меня работает.

    Всего записей: 64 | Зарегистр. 05-05-2004 | Отправлено: 13:45 30-03-2005
    merlkerry

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вопрос такой - как совместить LAN Manager authentification level = NTLMv2 (Refuse LM/NTLM) и VPN remote access для Windows Server 2003
     
    прошу прощения - клиент версии 2000 SP4

    ----------
    Вокруг одни враги.
    Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

    Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 22:08 31-03-2005 | Исправлено: merlkerry, 22:12 31-03-2005
    merlkerry

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    проблема решена правкой реестра согласно доки - http://support.microsoft.com/?kbid=893318, не смотря на то, что у меня нет IAS, чистый RRAS
     
    З.Ы. ясное дело, что предварительно установил на сервер SP1.

    ----------
    Вокруг одни враги.
    Я испытываю естественный скептицизм по поводу чистоты человеческих намерений.

    Всего записей: 1521 | Зарегистр. 16-09-2002 | Отправлено: 16:56 01-04-2005
    Anar322

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здрасти!
     
    Есть маленькая проблема:
    В офисе навалом компьютеров, некоторые из которых должны подключаться через ВПН (VPN) к другой сети.
    Сегодня на каждом из них стоит отдельный диалАп.
    Вся сетка на АДСЛ-е в Интернете, раздается WinGate-том.
     
    КАК пустить ВПН сквозь интернетовский сервак через АДСЛ??????
    Вобще сквозь какие порты работает ВПН, через Default gateway или как ???
    Почему по умолчанию, для ВПН нужен отдельный коннект, и по умолчанию, он прикрывается для остальных пользователей сети?????
     
    Дайте хотябы приличные ссылки - три сутки ничего нормального найти не могу!!!
     
    Большое спасибо!

    Всего записей: 3 | Зарегистр. 05-04-2005 | Отправлено: 11:09 05-04-2005
    kibkalo



    Убью Билла
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Anar322
    VPN в зависимости от протокола может использовать следующие порты:
    IPSec - UDP 500
    L2TP -  UDP 1701
    PPTP -  TCP 1723
    NAT-T  UDP 4500
     
    Если задача соединения сетей не разовоя, то проще настроить Site-2-Site VPN с твоего сервера на их сервер и на серверах прописать маршрутизацию, чтобы клиенты ходили туда без установления собственных каналов. WinGate (ИМХО) с этим нормально не справится, а вот ISA 2004 Standart Edition - на ура

    Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 12:56 05-04-2005
    Anar322

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Многоувжаемый kibkalo, ставить ИСУ мы еще не намерены, хотя надо бы. ВПН у нас идет по L2TP, но обычный УДП маппинг на ВинГате не помогает:
    Я сожаю его на порт 1701 и перенаправляю на ИП-шку ВПН сервера, как и любой другой маппинг, но на клиенте, прописав вместо ИП ВПН сервера адрес нашего нетовского сервера - получаю 792 ошибку, ТаймАут. А в логах УДП все чисто - никто не коннектился, т.е. это дело не хляет.
     
    А 500 УДП и 1723 ТСП вообще отказываются запускаться на ВинГате!

    Всего записей: 3 | Зарегистр. 05-04-2005 | Отправлено: 17:51 05-04-2005
    kibkalo



    Убью Билла
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Anar322 - увы, ничем по вингейту помочь не могу. Не видел его в глаза и врядли когда увижу

    Всего записей: 2342 | Зарегистр. 10-04-2002 | Отправлено: 19:21 05-04-2005
    SaDFromSpb



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
      На ISA 2004 Настроил VPN (входящее через модем). Так же настроил RRAS, как Remote Access Server + router. Но дело в том, что модем никак не может брать трубку. Когда я настраивал обычный REmote Acces без VPN, модем брал трубку, даже если позвонить с обычного телефона. Вопрос: должен ли он поднимать трубку при звонке с обычного телефона (не с модема), если настроен VPN. Просто проверять с помощью удаленного компа сейчас нет возможности.

    Всего записей: 209 | Зарегистр. 22-06-2004 | Отправлено: 15:01 16-04-2005
    pridecom



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Сервак vpn 2003sp1  
    Прокся дебьян  
    ПроРедиректил уже так  
    $IPTABLES -t nat -A PREROUTING -p tcp -d 81.1.1.100 --dport 1723 -j DNAT --to 192.168.1.40:1723  
    $IPTABLES -t nat -A PREROUTING -p udp -d 81.1.1.100 --dport 1701 -j DNAT --to 192.168.1.40:1701  
    $IPTABLES -t nat -A PREROUTING -p udp -d 81.1.1.100 --dport 500 -j DNAT --to 192.168.1.40:500  
    Однако этого недостаточно  
    Еще нужны порты наверное какие-то ?  
    Не пускает из инета!  
    В локалке все нормально использую PPTP!

    Всего записей: 610 | Зарегистр. 22-11-2004 | Отправлено: 15:06 18-04-2005
    tankistua

    Gold Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    а что делать с исходящими пакетами от 192.168.1.40 ? ведь их тоже пробрасывать нужно.
     

    Код:
    # внешняя сетевуха
    INET_IP="81.1.1.100"
    # локальная сетевуха
    LAN_IP="192.168.1.2"
    # машина с впн-ом
    VPN_IP="192.168.1.40"
     
    iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP
    iptables -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP
    iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP

     

     
    не забудь , что цепочка INPUT находится за  PREROUTING. Поэтому правила блокирования работать не будут... в любом случае проверить не сложно
    могу ошибаться - не силен в iptables-ах
     
    Есть еще такая софта - называется simpleproxy , для тестов самое оно. Если с ней все заработает - тогда можно и к написаниям правил для iptables приступить
     
    Добавлено:
    pridecom

    Цитата:
    Прокся дебьян  

    респект
    У меня рабочая станция тоже деба, а вот на серваках стоит redhat или fedora. Гадость Но никуда не денешься

    Всего записей: 9569 | Зарегистр. 15-01-2002 | Отправлено: 13:56 20-04-2005 | Исправлено: tankistua, 14:07 20-04-2005
    pridecom



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
       $IPTABLES -t nat -A PREROUTING -p tcp -d 81.1.199.110 --dport 1723 -j DNAT --to 192.168.1.40:1723
        $IPTABLES -t nat -A PREROUTING -p udp -d 81.1.199.110 --dport 1701 -j DNAT --to 192.168.1.40:1701
        $IPTABLES -t nat -A PREROUTING -p udp -d 81.1.199.110 --dport 500 -j DNAT --to 192.168.1.40:500
        $iptables -t nat -A PREROUTING --dst 81.1.199.110 -p tcp --dport 1723 -j DNAT --to 192.168.1.40  
        $iptables -t nat -A POSTROUTING -p tcp --dst 192.168.1.40 --dport 1723 -j SNAT --to 192.168.1.1  
        $iptables -t nat -A OUTPUT     --dst 81.1.199.110 -p tcp --dport 1723 -j DNAT --to 192.168.1.40
    не пашет
    Помоги найти ошибку в нижних 3 строках

    Всего записей: 610 | Зарегистр. 22-11-2004 | Отправлено: 08:31 21-04-2005
    tankistua

    Gold Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    а порты ты зачем указываешь ? ведь это не обязательно как минимум.
     
    да и неправильно ты написал.
    Сделай с переменными. Да и поаккуратней надо быть с переменными, у тебя регистр прыгает , а это критично.
    З.Ы. я к переменным начал серьезно относиться, когда от корня на все файлы сделал chmod 777 :) Хороше хоть на своей машине.
     
    # внешняя сетевуха  
    INET_IP="81.1.1.100"  
    # локальная сетевуха  
    LAN_IP="192.168.1.2"  
    # машина с впн-ом  
    VPN_IP="192.168.1.40"  
     
    $IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP  
    $IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP  
    $IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP
     
    $IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP  
    $IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1701 -j SNAT --to-source $LAN_IP  
    $IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP
     
    $IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP  
    $IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 500 -j SNAT --to-source $LAN_IP  
    $IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP
     
    Это что касается вопроса о твоем скрипте.
     
    Теперь дальше.
    В любом случае надо смотреть каким образом проходит соединение между локальными машинами, какие порты открываются и прочее. Опять же как вариант - поставить VPN на гейте, и прописываешь на клиентах статик роут и они будут ходить в твою локалку. Вот это делается вообще с пол-тычка.
    http://www.opennet.ru/base/net/openvpn_setup.txt.html
    если все по инструкции делать - то все без проблем получается. У меня друг делал, при чем на винде. У него без проблем завелось.
     
    А в айпитейблса я всетаки не силен :)
    Если что-то надо читаю  
    http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
     

    Всего записей: 9569 | Зарегистр. 15-01-2002 | Отправлено: 12:22 21-04-2005
    pridecom



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    tankistua
    Выполняю
    testproxy:/etc/init.d# ./firewall.sh start
    и получаю
    ./firewall.sh: -t: command not found
    ./firewall.sh: -t: command not found
    ./firewall.sh: -t: command not found
    Кстати клиент начинаетпроверять имя пользователя и пароль.
    Как узнать в каких строках косяк ?

    Всего записей: 610 | Зарегистр. 22-11-2004 | Отправлено: 15:17 21-04-2005
    tankistua

    Gold Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ну переменную ж нада определить.
     
    IPTABLES="/sbin/iptables"
     
    # внешняя сетевуха  
    INET_IP="81.1.1.100"  
    # локальная сетевуха  
    LAN_IP="192.168.1.2"  
    # машина с впн-ом  
    VPN_IP="192.168.1.40"  
       
    $IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP  
    $IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1723 -j SNAT --to-source $LAN_IP  
    $IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1723 -j DNAT --to-destination $VPN_IP  
     
    $IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP  
    $IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 1701 -j SNAT --to-source $LAN_IP  
    $IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 1701 -j DNAT --to-destination $VPN_IP  
     
    $IPTABLES -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP  
    $IPTABLES -t nat -A POSTROUTING -p tcp --dst $VPN_IP --dport 500 -j SNAT --to-source $LAN_IP  
    $IPTABLES -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 500 -j DNAT --to-destination $VPN_IP

    Всего записей: 9569 | Зарегистр. 15-01-2002 | Отправлено: 17:28 21-04-2005
    pridecom



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ну дык определена
     
    IPTABLES=/usr/local/sbin/iptables

    Всего записей: 610 | Зарегистр. 22-11-2004 | Отправлено: 12:40 22-04-2005
    tankistua

    Gold Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    IPTABLES=/usr/local/sbin/iptables

    а кавычки ?:)
    а у тебя точно дебиан ?  
    а то у меня как бы в другом месте лежит
    сделай whereis iptables, он тебе расскажет.
     
    в дебиан такой путь: IPTABLES="/sbin/iptables"
     
    в любом случаем можно из консоли попробовать
     
    # /sbin/iptables  -t nat -A PREROUTING --dst 81.1.1.100 -p tcp --dport 1723 -j DNAT --to-destination 192.168.1.40
     
    и т.д. - только внимательнее !!!!! :)

    Всего записей: 9569 | Зарегистр. 15-01-2002 | Отправлено: 13:41 22-04-2005
    LexxRT

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ALL
    есть проблема.
     
    сетка такая: на "сервере" стоит 2003 ентерпрайз. на нем 3 интрефейса, адсл к прову, двб-карта. + локалка. на шлюзе установлен Agnitum Outpost Firewall Pro 2.5.375.4822 (374)  
    пока его установил настроек поковырял немеренно. уже даже не помню какие  
    ип шлюза белый статический. при включенном фаервол. ни как не хочет конектится ВПН с машины внутри локальной сети.  
    Помогите решить проблему и просветите заодно какие порты и/или протоколы использует ВПН.

    Всего записей: 4 | Зарегистр. 05-04-2005 | Отправлено: 23:50 29-04-2005
    skylined

    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    LexxRT
     
    Для PPTP я открывал TCP 1723 и IP 47 (GRE)
    -------------------------------------------------------------------------
     
    Пипл, подскажите плиз.  
    Еси у клиента ВПН в инете - статический ИП, можно ли при подсоединении к серверу ВПН сделать машину невидимой в инете (шоб она не пинговалась, итд..) БЕЗ файрвола? Есть ли какие-то решения для этого?
     
    ЗЫ спасибо

    Всего записей: 294 | Зарегистр. 27-06-2003 | Отправлено: 11:50 05-05-2005
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru