Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160

Открыть новую тему     Написать ответ в эту тему

Guest

BANNED
Редактировать | Цитировать | Сообщить модератору
VPN

 
Собираем полезные линки, преимущественно на русском.
 
Настройка VPN под Windows 9x, 2000, XP  
Настройка VPN под Windows XP  
Настройка VPN под Windows 9x  
http://compnetworking.about.com/cs/vpn/  
http://www.corecom.com/html/vpn.html
http://www.iec.org/online/tutorials/vpn/
VPN и спутники
VPN соединение для Vista пошагово с картинками  
VPN соединение для XP пошагово с картинками  
Настройка VPN (PPPoE) для Windows Vista  
Конфигурация VPN в Windows 2000 (Соединяя Офисы)
Как создать VPN на базе протокола L2TP  
Сравнение характеристик существующих Open Source VPN решений для Linux
VPN соединение "подвисает", приходится переподключаться. Попробуйте изменить значение MTU на клиенте.  
 
VPN и IPSec на пальцах
Технологии используемые в IPSEC (ipsec vpn tunnel cisco)
 
Темы на форуме
VPN под Linux
 
Если при создании VPN соединения у вас "вдруг" перестает работать интернет, надо найти настройки VPN соединения в них настройки TCP-IP там кнопку advanced и сбросить галку "использовать основной шлюз в удаленной сети".

Отправлено: 09:11 29-03-2002 | Исправлено: Xant1k, 14:57 09-07-2020
Vania

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
98SEUser, Есть клиенты для подключения к VPN. Может поможет, настроек там много ......
 
NCP Secure Client Entry http://www.ncp-e.com/en/downloads/download-vpn-client.html
http://forum.ru-board.com/topic.cgi?forum=35&topic=36512&start=40
 
 
TheGreenBow VPN Client http://www.thegreenbow.com/vpn/vpn.html
http://forum.ru-board.com/topic.cgi?forum=35&topic=29392&start=40
 
Бесплатный
Shrew Soft VPN Client https://www.shrew.net/software
http://forum.ru-board.com/topic.cgi?forum=5&topic=38665

Всего записей: 1941 | Зарегистр. 30-12-2005 | Отправлено: 00:40 23-03-2014 | Исправлено: Vania, 00:41 23-03-2014
ellviss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги просьба помочь с выбором
 
есть шлюз на win2008 на нем поднят pptp сервер и l2tp dial-in  
 
с другой стороны стоит allied telesys 415s и строит vpn к 2008 по l2tp
 
сложность в том что железка 415s более 2000 транков внутри тунеля не тянет.
 
случается печаль при сильной загрузки когда 2000 просто не хватает, поэтому появилась идея перевести всё это на линукс роутеры ( компы с debian дистрами)
 
собственно есть возможность сделать паралельный (по 2 ip внешних с каждой стороны)  канал и постепенно перевести туда клиентов.  
 
попытка с openvpn получилась , но при этом машины видны только по ip а по dns  не видны
где копать маршруты так как это с обоих сторон ?
и может стоит попробовать пробросить с линукса l2tp или ipsec на винду - просто не нашёл нормального мануала на это дело ...
 
 
пробрасывать pptp на винду не вижу смысла так как надо соеденить сети
 
 

Всего записей: 22 | Зарегистр. 23-09-2009 | Отправлено: 16:22 25-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ellviss
Цитата:
попытка с openvpn получилась , но при этом машины видны только по ip а по dns  не видны  
где копать маршруты так как это с обоих сторон ?  
При чем тут маршруты, если проблема явно с ДНС?
У вас должен быть внутри настроен один сервер (возможно со слейв в удаленной сети),
который будет знать все о ваших внутренних ресурсах.
А если вы пользуетесь ДНС прова или гугловским, то естественно что по именам ничего не видите.  
Мужики-то (Гугл, провайдер) не знают! (с)


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 16:38 25-03-2014
SalaVilaVat



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть вопрос по VPN следующего плана.
Имеется несколько VPN серверов софтовые  и железные с различными настройками при подключении к ним с XP встроенным клиентом соединение устанавливается с маской подсети 255.255.255.255 и дополнительно (если в настройках VPN соединения снята галочка "использовать шлюз по умолчанию в удалённой сети") прописывается маршрут с маской 255.255.255.0 к подсети из которой выдан IP клиента.
 
Но на самом деле маска сети удалённой сети например 255.255.254.0 или 255.255.255.224 или вообще 255.255.0.0. Сам решаю проблему с помощью батника который прописывает маршрут 192.168.0.0 MASK 255.255.0.0 за IP полученный от VPN сервера. Просто несколько строк со всеми возможными IP нужная строчка срабатывает , остальные выдают ошибку, всё работает.
Но для простых работников работающих удалённо хочется избежать этой процедуры.
Какие есть варианты кроме использования Kerio и OpenVPN клиентов и соответствующих серверов? Хотелось бы использовать встроенные средства XP/W7.

Всего записей: 78 | Зарегистр. 24-01-2003 | Отправлено: 18:11 25-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Какие есть варианты кроме использования Kerio и OpenVPN клиентов и соответствующих серверов?
Есть, например, SoftEther VPN . Ставишь на винду сервер, клиент обычный встроенный в XP/W8 L2TP/IPSec
Все, что нужно клиентам (IP, маску, шлюз, ДНС, роутинг) будет выдавать DHCP сервер локалки.

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 18:29 25-03-2014
ellviss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
При чем тут маршруты, если проблема явно с ДНС?  
У вас должен быть внутри настроен один сервер (возможно со слейв в удаленной сети),  
который будет знать все о ваших внутренних ресурсах.  

 
вроде починил спасибо
 
ещё один вопрос тогда : если подключаемся через сервер, который заодно и шлюз , то машины которые подключены к другому шлюзу но в том же домене не будут видны ?

Всего записей: 22 | Зарегистр. 23-09-2009 | Отправлено: 15:11 26-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ellviss
Цитата:
машины которые подключены к другому шлюзу но в том же домене не будут видны ?
Понятие "видны" крайне неоднозначное, вплоть до визуальной видимости.
Если речь идет о видимости в оснастке "Сетевое окружение", то скорее всего нет.
Если речь идет о видимости в смысле возможности взаимно получать и отправлять сетевые
 пакеты, то в случае правильно настроенного роутинга, скорее всего да.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 16:48 26-03-2014
DaviDovish

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
В принципе разобрался с  SoftEther VPN.  
Вопрос обывателям как сделать статический айпишник пользователям? (с английским плохо)
И еще. Как создать ФТП сервер и прикрутить его к ВПну. Да и еще такой вопрос а без клиента от  SoftEther VPN нельзя ли виндовскими методами подрубиться к ВПН серваку от того же  SoftEther VPN.  
Заранее благодарен)

Всего записей: 23 | Зарегистр. 02-01-2011 | Отправлено: 23:53 27-03-2014
ellviss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Понятие "видны" крайне неоднозначное, вплоть до визуальной видимости.  
Если речь идет о видимости в оснастке "Сетевое окружение", то скорее всего нет.  
Если речь идет о видимости в смысле возможности взаимно получать и отправлять сетевые  
 пакеты, то в случае правильно настроенного роутинга, скорее всего да.  

 
вы правы имеенно через сетевую шару (smb)
 
суть такова  
 
сеть 1
 
192.168.1.0/24 gw 192.168.1.1 dns 192.168.1.1
 
также есть шлюз 192.168.1.100
 
сеть 2
 
192.168.2.0/24 gw 192.168.2.1 dns 192.168.2.1
 
и шлюз  192.168.2.100
 
между 1.100 и 2.100 висит vpn  
 
собственно те кто соеденены через шлюзы 100 видят друг друга, а надо прописать маршрут для того чтобы был доступ к компам сидящим через шлюзы .1
 
(шлюзы на linux)
 
сейчас пинги идут в обе стороны , но rdp не работает - то есть если у машин разные шлюзы то достучаться не получается. собственно я так понимаю что проблема в маршрутах , сразу поменять у всех машин шлюз нельзя ( свои соображения) , так что помог бы совет как сделать 2 шлюза

Всего записей: 22 | Зарегистр. 23-09-2009 | Отправлено: 14:44 31-03-2014
98SEUser

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Продолжаются мои хождения по мукам: после углублённого прочтения всяких текнотов от MS пришёл к однозначному выводу: на Windows 7 получить IKEv2 без сертификатов нельзя, поэтому срочненько почитал про strongSwan, генерацию сертификатов, подключился к облачному серверу и, что самое странное в моей истории, получил нечто рабочее (не валяю дурака ни разу, я ДЕЙСТВИТЕЛЬНО не сисадмин и даже не программер (!), так что можете себе представить, как это мне далось). Однако, хватит лирики:
Чего хотел добиться: ходить разными дорожными хулиганами (смарты и ноутбук) с облачного сервера через VPN в интернет с облачным IP-адресом (кажется, он называется "белый"?) Это дело вполне удалось с таким конфигом (напоминаю, strongSwan):
 
config setup
    strictcrlpolicy=no
 
conn %default
   ikelifetime=24h
   keylife=24h
   keyexchange=ikev2
   dpdaction=clear
   dpdtimeout=3600s
   dpddelay=3600s
   compress=yes
   #esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096
   #ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096
 
conn smart
   rekey=no
   left=%any
   leftsubnet=0.0.0.0/0,::/0
   leftauth=psk
   leftid=ServerPubIP
   right=%any
   rightsourceip=192.168.2.100/29
   rightauth=eap-mschapv2
   rightsendcert=never
   eap_identity=%any
   auto=add
 
conn Win7
   left=%any
   leftauth=pubkey
   leftcert=serverCert.pem
   leftid=ServerPubIP
   leftsubnet=0.0.0.0/0,::/0
   right=%any
   rightsourceip=192.168.2.100/29
   rightauth=pubkey
   rightcert=clientCert.pem
   rightsendcert=never
   rekey=no
   auto=add
 
Конфигурация самого strongSwana:
 
charon {
   threads = 16
   dns1 = 208.67.222.222
   dns2 = 208.67.220.220
}
 
pluto {
}
 
libstrongswan {
}
 
Собственно, первоначальная задача выполнена, но попутно встала вторая: появилась необходимость общаться смартам с Windows в сетевом окружении Windows. Естественно, этого не наблюдается (даже я понимаю, что нужно как-то работать с сетевыми именами, а у меня только внешние DNS в strongswan.config). Так вот, как это сделать оказалось совершенно выше моего разумения. Люди добрые, поможите, чем сможете, а то сами мы не местные, отстали от поезда
P.S. пинги от Win к смартам бегают, назад не знаю, потому что не имею представления как задать команду ping в смартфоне. Но думаю, что раз "туда" бегут, так и "оттуда" тоже: коннекты, по сути, идентичные.

Всего записей: 15 | Зарегистр. 20-10-2010 | Отправлено: 22:52 31-03-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ellviss
Цитата:
сейчас пинги идут в обе стороны , но rdp не работает  
Возможно, проста фаервол винды или кашпировский или типа не дают доступ из "чужой" сети.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 09:35 01-04-2014
ellviss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Возможно, проста фаервол винды или кашпировский или типа не дают доступ из "чужой" сети.  

 
это было проверено сразу же - если шлюзы писать одинаковые то заходит на ура, если шлюзы разные ( с одной стороны 1.1 с другой 2.10 то нет rdp )
 
тут проблема как я понимаю с тем ,что  
 
машина 192.168.1.100 с шлюзом 192.168.1.1 использует маршруты 1.1
а если изменить шлюз на 1.10 то маршруты 1.10 , но так как vpn между 1.1 и 2.10 нет то  
подсеть 192.168.1.Х не видит подсеть 192.168.2.Х  так как для 1.Х шлюз 1.1 а для 2.Х шлюз 1.10

Всего записей: 22 | Зарегистр. 23-09-2009 | Отправлено: 16:03 01-04-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ellviss
Цитата:
подсеть 192.168.1.Х не видит подсеть 192.168.2.Х  
Естественно.
В сети 192.168.1.0 нужно всем хостам прописать маршрут к сети 192.168.2.0 через 192.168.1.100
В сети 192.168.2.0 нужно всем хостам прописать маршрут к сети 192.168.1.0 через 192.168.2.100
Либо прописать эти маршруты на шлюзах  192.168.1.1 и 192.168.2.1 соответственно.
Второй вариант удлиннит путь хождения пакетов за счет лишних хостов (шлюзы),
и работать будет асимметрично,
( туда -  192.168.1.Х -  192.168.1.1 -  192.168.1.100 -  192.168.2.Х),
( назад -  192.168.2.Х -  192.168.2.1 -  192.168.2.100 -  192.168.1.Х),
 но его проще настроить.  
Ну, а если это вдруг не заиграет, тогда первый вариант.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 16:56 01-04-2014
ellviss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Либо прописать эти маршруты на шлюзах  192.168.1.1 и 192.168.2.1 соответственно.  

 
то есть прописать на шлюзах х.100
 
route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.1
 
route add -p 192.168.2.0 mask 255.255.255.0 192.168.2.1
 
 
или я чтото не догоняю ?
 
 

Всего записей: 22 | Зарегистр. 23-09-2009 | Отправлено: 09:17 02-04-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ellviss
Цитата:
или я чтото не догоняю ?  
Похоже, что так.
Это на дефолт шлюзах х.1 нужно добавить  
route add -p 192.168.1.0 mask 255.255.255.0 192.168.2.100  
route add -p 192.168.2.0 mask 255.255.255.0 192.168.1.100
Я не знаю, что там у вас представляют шлюзы х.100,
по идее они должны знать обе сети.
Если не знают, тогда на каждом нужно добавить
путь к другой сети через VPN соединение.  


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 13:57 02-04-2014
Oldster



Старик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Коллеги, есть проблема, не могу решить. Имеем user1,user2,user3,admin. Надо сделать доступ извне в лок. сеть (vpn) доступ userX только с определенного ip, admin - c любого. Сейчас на шлюзе установлена ISA2006, она не обладает такой возможностью. Покурил pptpd, openvpn, SoftEther - решение не нашел. Подскажите куда копать?


----------
Ой не TCP моё IP (C) Диман

Всего записей: 1367 | Зарегистр. 08-01-2003 | Отправлено: 09:08 04-04-2014
vlary



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Oldster Фишки ограничения айпишника подключения по имени юзера
я не встречал ни в одной из известных мне VPN.
Собственно, VPN для того и создана, чтобы можно было подключаться из любого места.
А безопасность регулируется другими средствами (сертификаты, токены ...)
Так что если нужно ограничить доступ к серверу вообще, это решается фаерволом.
У упомянутого  SoftEther в последних версиях появился IP Access Control List,
где можно разрешить либо запретить с конкретных адресов/подсетей доступ к серверу.
Также у него имеется возможность персональных акцесс-листов, которые будут
определять, к каким внутренним адресам/портам юзер может иметь доступ после установки соединения.  

----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

Всего записей: 17273 | Зарегистр. 13-06-2007 | Отправлено: 15:28 04-04-2014 | Исправлено: vlary, 15:29 04-04-2014
Oldster



Старик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
Спасибо!
собсно задача в итоге сводится к тому, что все пользователи должны подключится по RDP к внутреннему серверу, но каждый только со своего внешнего ip, кроме админа.
Может есть аппаратное решение? микротик, d-link (dfl), etc...

----------
Ой не TCP моё IP (C) Диман

Всего записей: 1367 | Зарегистр. 08-01-2003 | Отправлено: 15:37 04-04-2014
sldaac



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
я не встречал ни в одной из известных мне VPN.


Цитата:
собсно задача в итоге сводится к тому, что все пользователи должны подключится по RDP к внутреннему серверу, но каждый только со своего внешнего ip, кроме админа.

ZyWAL 100  
есть
Enable Extended Authentication,  сервер  или клиент, как положено логин пароль.
для каждого юзера делаеш свое правила тунеля, тем более если ИП  статические
для админа,  можно сделать правило по динамическому ИП

Всего записей: 721 | Зарегистр. 15-06-2005 | Отправлено: 16:00 04-04-2014
Oldster



Старик
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sldaac
спасибо, покурю доки на это!

----------
Ой не TCP моё IP (C) Диман

Всего записей: 1367 | Зарегистр. 08-01-2003 | Отправлено: 17:07 04-04-2014
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru