» SoftEther Multi-Protocol VPN Server

snetch 1. Для L2TP/IPSec нужны порты 1701/TCP и 1701,500,4500/UDP.
2. Что значит - незащищенным? Тебе что, логина/пароля/PSK мало?
Для начала настрой, чтобы все работало, потом будешь с безопасность извращаться.
Цитата:

Если я несу чушь, не увдивляйся

Я на этом форуме давно уже ничему не удивляюсь.

Да вот пытаюсь все донастроить, но пока никак. Все не могу подключиться извне. Настройки проброса можешь посмотреть сам:

https://www.dropbox.com/s/vs51lzxadaxzk3q/l2tp.jpg

Специально добавил 443 порт, т.к. он расшарен на этом серваке, что бы наверняка быть уверенным в том, что роутинг к нему есть. Но вот подключение по ВПН удаленно так и не могу остуществить, хотя внутри локалки оно подключается мгновенно. Может нужна какая-то специальная маршрутизация?

snetch Ты для начала скажи, какой тип подключения пытаешься настроить?
И не рубит ли подключение на самой винде фаервол, кашпировский и т.д.

vlary

Цитата:

Посмотри в настройках сервера, отключается ли NAT Traversal

странно, но нашел это ТОЛЬКО на клиенте (правда не пробовал). Очень странно!

Цитата:

Создаешь группу Юзеры, создаешь группу Админы. Заводишь туда юзера и админа.
Делаешь фильтр, в котором определяешь, с каких айпишников может быть доступ.

Группу и юзеров создал, зашел в настройки (Manage Groups->[my_groups]->edit->Set this groups Security Policy) вижу много настроек, но "подходящей" не нашел плохо ищу?

Цитата:

Access List

попробовал - запретил один внутренний ip, работает

Oldster
Цитата:

вижу много настроек, но "подходящей" не нашел

Это в Access List. Создаешь новый Access List, и привязываешь его там же к какой-то группе.

Пробросил порты и теперь меня почти пустило в сеть. Проверяет логин и пароль, потом на этапе регистрации в сети выдает ошибку:
error 720 remote computer could not be established. При включении SecureNAT все работает.

Добавлено:
В общем настроил все, да не все. Проблема в том, что я не могу получить доступ к серверу по VPN из другой локации. Из своей домашней сети я протестил соединение на 2-х разных компах + удалось законнектиться через телефон на андроиде. Далее попробовал из другой сети. С одного ноута коннект проходит, а с другого никак. В чем может быть причина?

snetch
Цитата:

не могу получить доступ к серверу по VPN из другой локации.

Чего-чего?
Цитата:

С одного ноута коннект проходит, а с другого никак. В чем может быть причина?

В настройках другого ноута, очевидно.

vlary

Цитата:

странно, но нашел это ТОЛЬКО на клиенте (правда не пробовал). Очень странно!

Нашел как сделать это на сервере. т.к. у меня тестовый сервер под виндой, то делаем так: останавливаем службу "SoftEther VPN Server" и меняем в файле C:\Program Files\SoftEther VPN Server\vpn_server.config значение

Цитата:

bool DisableNatTraversal false

на

Цитата:

bool DisableNatTraversal true

Запускаем службу. Думаю, что в пингвинах так же.
не забываем (если надо) сделать проброс портов на роутере.
PS: пока не разобрался как привязать юзера к ip, в процессе...

Добавлено:
vlary

Цитата:

Access List

сдается мне, что это только для лок. адресов... не могу добиться своего.

Цитата:

Чего-чего?

Имело ввиду, что к серверу не получалось присоединиться находясь в другой сети, с другого компа и т.д.
В общем подкрутил несколько настроек и теперь все работает. Наконец-то начал осознавать все тонкости ВПН.
Благодарю за оказанную помощь.

snetch
Цитата:

Наконец-то начал осознавать все тонкости ВПН.

Да ну? Ты их даже не коснулся.
Чем хорош сабж, это тем, что не нужно вникать в тонкости, они за кадром.
Достаточно общего представления, пару щелчков мышью - и готова не идеальная,
но вполне рабочая VPN
Цитата:

Благодарю за оказанную помощь.

You are welcome.

В SoftEther VPN Server в DHCP можно как-то настроить резервацию ip адресов по MAC-ам или еще бы лучше по пользователям?

бррр сори за глупый вопрос но запутался читая сверху вниз и местами по диагонали

как понял это супер комбайн и отличная замена openvpn

вопрос собственно такой:

Есть freebsd 10 в качестве шлюза с двумя сетевыми картами ext0 и int0 (на int0 висит dnsmasq в качестве dhcp сервера)
Если я использую SoftEther и укажу local bridge на int0 то dnsmasq мне выдаст ip ? или я что то не то понял ? )

fire667
Цитата:

В SoftEther VPN Server в DHCP можно как-то настроить резервацию ip адресов по MAC-ам или еще бы лучше по пользователям?

Не совсем понятно, что имеется в виду.
Если SecureNAT, то там DHCP достаточно примитивный, да и сам режим не очень хорош
в плане производительности.
А если подключение через Local Bridging, тогда все будет так, как настроен
DHCP сервер в локалке.
Makak
Цитата:

Если я использую SoftEther и укажу local bridge на int0 то dnsmasq мне выдаст ip ? или я что то не то понял ? )

Именно так и должно быть.

Попробывал чудо штуку но не получился каменный цветок у данилы мастера )

добавил в Local Bridge Setting: http://linkme.ufanet.ru/images/94915673e7cd7b22d2bc5ce54014803b.png

начинаю конектится клиент пишет:
Connected to the VPN Server.
Requesting an IP address to the DHCP
server in the VPN...

и получает:
IP Address 1    169.254.184.248 - ?!?! а должен 192.168.100.x
Subnet Mask 1    255.255.0.0

и ни туда ни сюда

фаервол выключен ... может хитрость какая есть ?

Makak
Цитата:

может хитрость какая есть ?

Если и есть хитрость, то только у самой фряхи.
Я запускал сервер на CentOs, Windows, бриджуя виртуальный хаб с внутренним интерфейсом.
И в том, и другом случае клиент без проблем получал айпи от DHCP сервера локалки.

Цитата:

[/q]
[q]Если и есть хитрость, то только у самой фряхи. Я запускал сервер на  CentOs, Windows, бриджуя виртуальный хаб с внутренним интерфейсом. И в том, и другом случае клиент без проблем получал айпи от DHCP сервера локалки.

да похоже вы правы попробую помучить фрю

У меня возникла задача сделать сервер входящих VPN-подключений под седьмой виндой (виндовый сервер из лицензионных соображений поставить нельзя). Поставил SoftEther, входящие подключения - великолепно, локалку с удаленных клиентов видно прекрасно, а вот как просунуть в локалку клиентские шары и, в частности, отдать серверу бухгалтерии, стоящему в локалке, принтер удаленного клиента - не соображу. Подскажите, плз...

AFZ Собственно, VPN больше предназначено для доступа к шарам за
сервером, а не за клиентом. Тут есть куча нюансов.
Допустим, есть 10 клиентов, за своя каждым локальная сеть
с одинаковыми адресами 192.168.1.0/24
И как тут выкручиваться?
С помощью SoftEther VPN можно объединить клиентские сети и офисную локалку,
пример в мануале есть. Но нужно провести большую подготовительную работу,
создать общую топологию, обеспечить уникальность адресации
клиентских сетей, постоянные айпи для клиентских подключений,
статическую маршрутизацию через эти айпи к клиенским сетям на
компах офисной сети.
Ну а в части печати на клиентский принтер, который стоит на клиентском компе,
тут чуть проще. Устанавливается сервис, позволяющий доступ к принтеру
по TCP/IP. На офисном компе устанавливается принтер с портом TCP/IP клиента.
А можно еще проще. Ставится в офисе принтер типа PDF Factory Pro,
отпечатанный документ отправляется клиенту по почте,
а тот уже распечатывает его на любом своем принтере.

vlary

Цитата:

Допустим, есть 10 клиентов, за своя каждым локальная сеть
с одинаковыми адресами 192.168.1.0/24
И как тут выкручиваться?

Ну, тут все просто. Если связываем две локалки, то, естественно, все адреса следует тщательно прописать статически. Если же клиенты логинится к серверу с одиночных компов (пусть даже кое-кто из них и связаны локалкой), то DHCP VPN-сервера даст каждому индивидуальный адрес, и никаких проблем.

Цитата:

Ну а в части печати на клиентский принтер, который стоит на клиентском компе,
тут чуть проще. Устанавливается сервис, позволяющий доступ к принтеру
по TCP/IP. На офисном компе устанавливается принтер с портом TCP/IP клиента.

Какой сервис? Где почитать? И вообще, когда я подключал клиентские одиночные компы к родным виндовым VPN-серверам (серверная винда или крякнутая ХРеновина), то клиент был доступен по адресу, полученному от VPN-сервера. Свободно пинговался, были видны шары.

А с SoftEther с его собственной реализации TCP/IP на пользовательском уровне не пускает из локалки к клиентам, подключенным по его VPN. Подозреваю, что где-то надо что-то подкрутить, и все будет в порядке.

Цитата:

А можно еще проще. Ставится в офисе принтер типа PDF Factory Pro, отпечатанный документ отправляется клиенту по почте, а тот уже распечатывает его на любом своем принтере.

Тут и почта не нужна, шары на сервере клиент видит нормально, клади PDF-ку в одну из этих шар, и все. Только хочется без всей этой возни с ПДФ-ками

AFZ
Цитата:

А с SoftEther с его собственной реализации TCP/IP на пользовательском уровне не пускает из локалки к клиентам, подключенным по его VPN. Подозреваю, что где-то надо что-то подкрутить, и все будет в порядке.

Какая собственная реализация? SoftEther пользуется тем, который имеется.
И очень подозреваю, что это не он не пускает к клиентам, а сами клиенты
к себе не пускают. Фаерволы, антивирусы...
Либо в локалке не настроена маршрутизация к клиентам.
Сейчас нет под рукой работающего сервера, чтобы наглядно показать,
а то привел бы пинг от хоста в локалке до клиента.

vlary

Цитата:

Какая собственная реализация? SoftEther пользуется тем, который имеется.

А вот и нет. Не знаю точно про винды, а про линюхи где-то в доках это специально оговаривается, да и в виндах, если бы оно работало через системный TCP/IP, появилась бы дополнительная сетевуха, через которую системный TCP/IP роутил бы всё, что надо, а здесь - изба фигвам.То есть SoftEther сам своими средствами обрабатывает траффик и организует VPN. Это позволяет ему обойтись без административных полномочий у программы, что, опять же, специально оговаривается в документации.

А недостаток этого дела - это то, что нашел я - в нормальном (дефолтном) состоянии шары клиента из локалки не видны, чтобы их увидеть, надо что-то сделать, о чем я и спрашиваю.

Да, клиенты у меня подключаются через стандартный виндовый L2TP. Может попробовать SoftEther-овского клиента? Правда, не очень хочется - одна из клиентских точек находится в другом городе, L2TP я им настроил удалённо, а ставить клиента - кто его знает, сколько геморроя там, получится ли и это удаленно?

AFZ
Цитата:

Это позволяет ему обойтись без административных полномочий у программы, что, опять же, специально оговаривается в документации.

Там также оговаривается, что есть два режима.
Пользовательский, менее производительный, и с созданием моста, более производительный,
но требующий административных полномочий.

Цитата:

клиенты у меня подключаются через стандартный виндовый L2TP.

Я тоже подключал клиента (ХР) через через стандартный виндовый L2TP,
а потом спокойно заходил на него по RDP из локальной сети.
Цитата:

в нормальном (дефолтном) состоянии шары клиента из локалки не видны, чтобы их увидеть, надо что-то сделать

Даже просто по локалке расшарить что-то между разными версиями винды, еще тот геморрой.
В разделе Windows куча тем по этой проблеме.
Кстати, SoftEther VPN позволяет даже создавать общие сети уровня L2.
Вот там уж точно все будет видно, но ценой лишнего трафика.

vlary

Цитата:

Я тоже подключал клиента (ХР) через через стандартный виндовый L2TP, а потом спокойно заходил на него по RDP из локальной сети.

Каким образом? У меня из локалки клиенты не видны. Это же и есть моя главная задача - увидеть клиента. Что подкрутить?

Цитата:

Кстати, SoftEther VPN позволяет даже создавать общие сети уровня L2.

Как это сделать? Где почитать (желательно по-русски)

Цитата:

Вот там уж точно все будет видно, но ценой лишнего трафика.

Бог с ним...

AFZ
Цитата:

Каким образом? У меня из локалки клиенты не видны.

Когда подключение типа бридж, клиент получает айпи из диапазона
локальной сети, "видит" все компы в сети, и доступен также
со всех компов в сети, в рамках имеющихся общих ограничений.
Цитата:

Как это сделать? Где почитать (желательно по-русски)

По-русски - не вариант. Хорошо уже, что не по-японски.
Картинки в переводе не нуждаются. А текст, ежели что не ясно - в гугл-переводчик.
Layer-2 Ethernet-based VPN

Цитата:

Где почитать (желательно по-русски)

Наши постарались translite.yandex.ru

перевод на 97% точный в обоих направлениях, и вставляешь адрес сайта и он сайт переводит,

извиняюсь за частичный офтоп, но как решение англоязычной документации и сатам(есть перевод и с ироглифоф.

Подскажите пожалуйста как сделать так чтобы виртаульный адаптер SoftEther не использовался в качестве основного шлюза для доступа в интернет ...

Т.е когда подключаюсь к серверу инет начинает ходить через адаптер SoftEther и интернет сервера ...

Ставил галку на No Adjustments of Routing Table но в таком случае пропадает доступ к SQL базе RDM

CrazYViruS_CrazyNet
Цитата:

Ставил галку на No Adjustments of Routing Table но в таком случае пропадает доступ к SQL базе RDM

А с чего это вдруг? Ты настраивал VPN, чтобы тебе выдавался адрес из пула удаленной сети?

vlary
да security nat включен ипы выдаются из пула там 192.168.30.1/24

Доступ к базе RDM из клиента RDM осуществляется так: имя-пк-сервера\имя базы

Доступ к шаре по имени-пк-сервера есть что с галкой что без ...

CrazYViruS_CrazyNet
Цитата:

да security nat включен ипы выдаются из пула там 192.168.30.1/24

А зачем security nat? Включи на сервере бридж, выдавай клиенту адрес сетки через общий DHCP.
Или фиксированный настрой. Через бридж будет работать быстрее и проще.

vlary
Не подскажите где его включить ? =) а то смотрю тут только local bridge


Добавлено:
Странно, включил local bridge связал хаб с сетевкой которая в инет выходит, тест подключения к серверу и базе проходит но по факту доступа нет и после 1 минуты тест перестает также проходить ... пишет что сервер недоступен.