Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160

Открыть новую тему     Написать ответ в эту тему

Guest

BANNED
Редактировать | Цитировать | Сообщить модератору
VPN

 
Собираем полезные линки, преимущественно на русском.
 
Настройка VPN под Windows 9x, 2000, XP  
Настройка VPN под Windows XP  
Настройка VPN под Windows 9x  
http://compnetworking.about.com/cs/vpn/  
http://www.corecom.com/html/vpn.html
http://www.iec.org/online/tutorials/vpn/
VPN и спутники
VPN соединение для Vista пошагово с картинками  
VPN соединение для XP пошагово с картинками  
Настройка VPN (PPPoE) для Windows Vista  
Конфигурация VPN в Windows 2000 (Соединяя Офисы)
Как создать VPN на базе протокола L2TP  
Сравнение характеристик существующих Open Source VPN решений для Linux
VPN соединение "подвисает", приходится переподключаться. Попробуйте изменить значение MTU на клиенте.  
 
VPN и IPSec на пальцах
Технологии используемые в IPSEC (ipsec vpn tunnel cisco)
 
Темы на форуме
VPN под Linux
 
Если при создании VPN соединения у вас "вдруг" перестает работать интернет, надо найти настройки VPN соединения в них настройки TCP-IP там кнопку advanced и сбросить галку "использовать основной шлюз в удаленной сети".

Отправлено: 09:11 29-03-2002 | Исправлено: Xant1k, 14:57 09-07-2020
admBeat



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fantome
есть интерфейс lan - локалка провайдера, сеть типа 10.10.1.0/255.255.255.0
в инет выхожу через VPN подключение (PPTP VPN) - ну стандарт для домовых сетей типа корбины и иже с ней...
в настройках VPN подключения указываю адрес vpn сервера к примеру 10.20.0.100, далее получаю серый айпи из 172 сетки которая за НАТом...
 
собственно вопрос, нужна ли для такого подлючения служба qos, и почему она "неотключаема" именно в vpn соединении?  
отсюда и интерес: неужели она необходима и для каких целей, если мелкософт по умолчанию не дает ее просто так вырубить на интерфейсе - что это, приоритизация инет трафика над трафиком локалки?

Всего записей: 81 | Зарегистр. 21-05-2006 | Отправлено: 20:15 24-07-2007 | Исправлено: admBeat, 20:35 24-07-2007
fantome



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
admBeat
ну вот инфа собсна о самом механизме QoS в хрюше - __http://support.microsoft.com/kb/316666/ru - "Механизм качества обслуживания (QoS) в Windows XP"
 
А так, от себя, скажу - по всей видимости в локалке провайдера через сеть идет вещание потокового мультимедиа, которому и нуна ента служба...
 
о самой QoS можно прочитать в википедии - __http://ru.wikipedia.org/wiki/QoS

Всего записей: 648 | Зарегистр. 09-06-2006 | Отправлено: 09:21 25-07-2007
taelas

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
пытаюсь завести vpn канал по http://www.opennet.ru/base/net/ipsec_linux_pix.txt.html этой статье.
 
PIX 501, PIXOS Version 6.3(5)
ipsec-tools 0.6.7
GNU/Linux 2.6.17.4
 
и линукс и PIX смотрят внешними адресами в инет.
за линуксовой машиной сетка 192.168.3.0/24, за PIXом 192.168.0.0/24
настроил pix, racoon. загружаю.
 
Foreground mode.
2007-07-24 14:49:15: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
2007-07-24 14:49:15: INFO: @(#)This product linked OpenSSL 0.9.8d 28 Sep 2006 (http://www.openssl.org/)
2007-07-24 14:49:15: INFO: A.A.A.A[500] used as isakmp port (fd=8)
 
после этого пускаю пинг, в логах видно, что идёт соединение
 
2007-07-24 14:49:19: INFO: IPsec-SA request for B.B.B.B queued due to no phase1 found.
2007-07-24 14:49:19: INFO: initiate new phase 1 negotiation: A.A.A.A[500]<=>B.B.B.B[500]
2007-07-24 14:49:19: INFO: begin Identity Protection mode.
2007-07-24 14:49:20: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2007-07-24 14:49:20: INFO: received Vendor ID: DPD
2007-07-24 14:49:20: INFO: received Vendor ID: CISCO-UNITY
2007-07-24 14:49:20: INFO: ISAKMP-SA established A.A.A.A[500]-B.B.B.B[500] spi:1a0ab9f62cecd1a8:3bd8d94c257d3a57
2007-07-24 14:49:21: INFO: initiate new phase 2 negotiation: A.A.A.A [0]<=>B.B.B.B[0]
2007-07-24 14:49:22: WARNING: ignore RESPONDER-LIFETIME notification.
2007-07-24 14:49:22: WARNING: attribute has been modified.
2007-07-24 14:49:22: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B[0]->A.A.A.A[0] spi=139011517(0x84925bd)
2007-07-24 14:49:22: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A[0]->B.B.B.B[0] spi=1043712158(0x3e35c89e)
 
и после этого ни ответа ни привета. пакеты не ходят.
останавливаю racoon.
 
2007-07-24 14:51:01: INFO: caught signal 15
2007-07-24 14:51:02: INFO: racoon shutdown                                                            
в чём может быть дело?
 
iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.3.0/24       192.168.3.1
ACCEPT     udp  --  192.168.3.0/24       192.168.3.1
ACCEPT     udp  --  B.B.B.B              A.A.A.A        udp dpt:500
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  B.B.B.B         A.A.A.A        udp dpt:500
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
 
я предполагаю, что это из-за настроек iptables, только никак не могу догнать, что конкретно надо смотреть...

Всего записей: 158 | Зарегистр. 24-01-2006 | Отправлено: 09:53 25-07-2007
fantome



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
taelas
ну туннель вродь поднимается...
только есть ондно небольшое замечание - не желательно использовать нулевую подсеть, то есть 192.168.0.*/24. Это не есть хорошо.
 
А по существу - пробовали пинговать с линукса PiX?
Если думаете, что проблемы в iptables - то сбростьте их. и смотрите что будет... Но я б добавил правила еще и на протокол tcp для туннеля..

Всего записей: 648 | Зарегистр. 09-06-2006 | Отправлено: 10:34 25-07-2007
taelas

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fantome

Цитата:
 ну туннель вродь поднимается...

да, именно, почему я и предположил что это из за iptables

Цитата:
только есть ондно небольшое замечание - не желательно использовать нулевую подсеть, то есть 192.168.0.*/24. Это не есть хорошо.  

подсеть к сожалению настроена уже давно и там достаточно много машин, уже сложно и поздно что либо менять...

Цитата:
А по существу - пробовали пинговать с линукса PiX?

внутренний адрес, естественно, и не должен пинговаться, а внешний абсолютно нормально.
пробовал пинговать откуда угодно. с других пиксов всё вяжется нормально.

Цитата:
 Если думаете, что проблемы в iptables - то сбростьте их. и смотрите что будет...

после сброса iptables пошел ping с линуксовой машины во внутреннюю удаленную сеть
что то сам не догадался о сбросе...

Всего записей: 158 | Зарегистр. 24-01-2006 | Отправлено: 15:03 25-07-2007
fantome



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
taelas

Цитата:
внутренний адрес, естественно, и не должен пинговаться

ошибочное мнение... после поднятия туннеля должны быть видны все машины в другой подсети... короче все айпишники должны пинговаться...

Всего записей: 648 | Зарегистр. 09-06-2006 | Отправлено: 15:59 25-07-2007
Nimnul



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вопрос сложный (а может и нет, это кому как). Экспериментирую в VMWare.
Имею 4 виртуальных машинки.
Два сервера 2003 SP2 R2, имена  
DCX1 - интерфейсы LAN_X1 [192.168.0.1] и ADSL_X1 [10.0.0.1]
 и  
DCK1 - интерфейсы LAN_K1 [192.168.10.1] и ADSL_K1 [10.0.10.1]
На каждом стоит DNS, DHCP и являются контроллерами домена, в домене test.local, каждый в своем сайте. (Сайты XL & KK)
И две машинки на XP:
WXP-DCX1 - адрес полученный от DHCP [192.168.0.10] - находится в сайте XL
 и
WXP-DCK1 - адрес полученный от DHCP [192.168.10.10] - находится в сайте KK
------------------
На обоих серверах поднят RRAS сервер. Включен NAT. На каждом есть Demand-Dial интерфейс в свой "офис".
В RRAS_DCK1 есть интерфейс vpndcx1 (user: vpndcx1 - интерфейс получает адрес 192.168.10.2)
В RRAS_DCX1 есть интерфейс vpndcx1 (user: vpndck1 - интерфейс получает адрес 192.168.0.2)
------------------
На обоих серверах настроен НАТ. Сервера друг друга видят, сервер чужого XP клиента не пингует, клиенты XP друг друга не пингуют.
Для понимания нарисовал схему:
схема
Почему не пашет роутинг не могу понять, что я упустил из виду, глаз замылился, понять не могу... Может кто подтолкнет на верную мысль?
 
Добавлено:
Все, спасибо, уже разобрался.

Всего записей: 1072 | Зарегистр. 05-02-2003 | Отправлено: 22:27 28-07-2007 | Исправлено: Nimnul, 22:28 28-07-2007
Yoric2

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как настроить работу WinXp sp2 на одновременную работу Dial up и Adsl модемов. При подключении Dial up приостанавливается Adsl соединение

Всего записей: 2 | Зарегистр. 13-10-2006 | Отправлено: 13:03 30-07-2007
bornbill



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Посту выше тебе необходимо настроить роутинг правильный, смотри в сторону Trafic Inspector, учитывай необходимость Windows Server

Всего записей: 1440 | Зарегистр. 02-04-2004 | Отправлено: 15:21 30-07-2007 | Исправлено: bornbill, 18:11 30-07-2007
SPV_Ed



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обнаружил проблему привязки (т.е. binding) OpenVPN-клиента win32 к нужному локальному адресу по TCP. В случае UDP-туннеля (proto udp) привязка к адресу работает, а в случае proto tcp-client нет. Полностью проблему описал здесь.

Всего записей: 474 | Зарегистр. 20-06-2006 | Отправлено: 17:41 01-08-2007
softes

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно ли в принципе связать два клиентских компа VPN-ом?
Раньше была прога классная для этого - PGPnet, никаких серверов не просила, а трафик весь криптованный шел (шифрование ключями).
Подскажите встроенный виндовый или third-party софт чтобы без серверов соединить два компа через инет в защищенную виртуальную локалку (одноранговую получается)...

Всего записей: 864 | Зарегистр. 22-10-2003 | Отправлено: 09:43 06-08-2007
perdun



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
запарился... не шифруеца трафик...
тестю впн на виртуалке, вот конфиги:
 
 
dev tun
dev-node srv
port 5002
ifconfig 10.3.0.5 10.3.0.6
secret c:\\openvpn\\config\\static.txt
auth MD5
cipher DES-CBC
ping 10
verb 3
route 0.0.0.0 255.255.255.255 10.3.0.6
tun-mtu 1500
comp-lzo
 
 
remote 192.168.246.129
dev tun
dev-node cli
port 5002
ifconfig 10.3.0.6 10.3.0.5
secret c:\\openvpn\\config\\static.txt
auth MD5
cipher DES-CBC
ping 10
verb 3
route 0.0.0.0 255.255.255.255 10.3.0.5
tun-mtu 1500
comp-lzo
 
мож с ключами чего? генил так: openvpn --genkey --secret c:\openvpn\config\static.txt
чего не так?

Всего записей: 1499 | Зарегистр. 21-01-2004 | Отправлено: 20:30 06-08-2007
valhalla



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
perdun
Что значит - не шифруется? Туннель работает без шифрования? Не может такого быть. Ты бы хоть лог привел.

Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 23:47 06-08-2007
fantome



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
perdun
Лог коннекта в студию...
Чего то Вы перемудрили...
И по хорошему бы не с использованием секретного ключа, а с использованием сертификатов сервера и клиента туннель поднимать...
Конфиги сервера/клиента и команды для генерации сертификатов могу дать...

Всего записей: 648 | Зарегистр. 09-06-2006 | Отправлено: 09:30 07-08-2007
perdun



BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
valhalla

Цитата:
Что значит - не шифруется?

поменял содержимое в статик.тхт (т.е. они разные на КЛИ и СРВ), сокет всеравно устанавливается, все пинги ходят...
Ща еще поснифаю...
fantome

Цитата:
Чего то Вы перемудрили...

да хз, вроде все с элементарного... и уже касяки
логи завтра покажу.
В идеале (на реальной тачке) мне надо чтоб куча клиентов конектились по РДП на 2к3  
Какой фейс для этого лучше подымать тун\тап? Бродкасты, по идее не нужны для РДП...
ЗЫ.
Решаю такой ребус...

Всего записей: 1499 | Зарегистр. 21-01-2004 | Отправлено: 12:35 07-08-2007
valhalla



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
perdun

Цитата:
В идеале (на реальной тачке) мне надо чтоб куча клиентов конектились по РДП на 2к3

У меня именно так и происходит. Возьми самые простые конфиги c интерфейсом tun по-умолчанию.

Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 12:48 07-08-2007 | Исправлено: valhalla, 12:50 07-08-2007
fantome



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
perdun

Цитата:
В идеале (на реальной тачке) мне надо чтоб куча клиентов конектились по РДП на 2к3

я б посоветовал использовать tap, так как не уверен что RDP по UDP будет работать, а tun используется для UDP. Конфиги можно стандартные заюзать...
ну и естественно опцию redirect-gateway надо будет использовать... Хотя не уверен...

Всего записей: 648 | Зарегистр. 09-06-2006 | Отправлено: 13:43 07-08-2007
valhalla



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
fantome

Цитата:
я б посоветовал использовать tap, так как не уверен что RDP по UDP будет работать, а tun используется для UDP. Конфиги можно стандартные заюзать...

tun используется как для UDP, так и для TCP. Маршрутизируемый туннель не зависит от протокола. RDP будет работать по своему tcp-протоколу, и даже не узнает о том, что некий openvpn передает его пакеты по UDP.
Могу однозначно сказать, что в случае UDP удаленный рабочий стол (RDP) работает быстрее, чем в случае TCP (заметно на глаз).

Всего записей: 2917 | Зарегистр. 30-10-2001 | Отправлено: 13:57 07-08-2007 | Исправлено: valhalla, 13:59 07-08-2007
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Код:
dev tun10
proto tcp-server
ifconfig 10.8.0.1 10.8.0.2
route 192.168.1.0 255.255.255.0
secret /usr/local/etc/openvpn/shared.key
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user nobody
group nobody
daemon

 
у меня так отлично работает - так что я думаю тут больше дело в магистрали.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 14:37 07-08-2007
softes

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу не отказать в совете:

Цитата:
Можно ли в принципе связать два клиентских компа VPN-ом?  

Без сервера.

Всего записей: 864 | Зарегистр. 22-10-2003 | Отправлено: 15:00 07-08-2007
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru