» SoftEther Multi-Protocol VPN Server

CrazYViruS_CrazyNet
Цитата:

а то смотрю тут только local bridge

Вот его и надо настраивать

vlary
Спасибо ! буду разбираться, блин но работает конечно странно, нистого все подключилось база загрузилась ... =\ потом опять нет связи, перезапустил сервер полностью, порты все открыты фаерволы и брандмаузеры отключены ... на роутере порты проброшены брандмаузер выключен ...

Доступ к шаре есть а к sql 1 раз из 10 =\

Все дотупил =))

Указал конфигурацию ip4 сервера на клиенте, т.е вручную указал ип и остальные настройки, у меня там где сервер, роутер не раздает ипы DHCP отключен =)

И всеже проблема с правильным распределением подключения к интернету остается...

Есть два SoftEther виртуальных адаптера, с двумя разными подключениями, на разные сервера ...

Есть один виртуальный адаптер Hamachi

В настройках обоих подключений SoftEther стоит No Adjustments of Routing Table дабы не пускать интернет трафик через адаптеры SoftEther.

Но всеравно есть проблема, иногда со скайпом, иногда он сам переподключается и начинает пускать себя через один из адаптеров SoftEther.

Иногда один из адаптеров SoftEther начинает пытаться подключиться через другой SoftEther.

И постоянно, постоянно Hamachi начинают подключатся через один из адаптеров SoftEther.

В адаптеры и привязки приоритет на физический адаптер через который идет инет, поставлен.

Прощу помощи.
Всё на виндах (виртуалках).
Установил на:
1) Вин1 ХР - сервер SoftEther; (виртуалка в режиме моста получила IP=10 от DHCP роутера DIR D-Link). Включил ВСЁ (сервера\протоколы). Добавил клиента с обычной авторизацией.
2) Win2 XP - стандартными виндовыми средствами пытаюсь подключиться.


Этап 1: по ключевому слову (IPSec) всё подключилось с первого раза. Получил клиент себе отдельный IP=15 (правда только после включения галки "Согласовать многоканальное подключение...").
Этап 2: захотел с сертификатами работать, сгенерировал - импортировал на клиенте и тут фейеричный момент === перестало работать ВСЁ.


Текущая ошибка: 738 Сервер не назначил IP адрес.
Что только не делал - сервер и роутер перезагружал, другого клиента заводил.

Подскажите пожалуйста, куда рыть?

BredBred
Цитата:

Подскажите пожалуйста, куда рыть?

Ну, для начала почитать п. 2.2.5 и п. 2.2.6
http://www.softether.org/4-docs/1-manual/2._SoftEther_VPN_Essential_Architecture/2.2_User_Authentication
Также внимательно смотреть логи на сервере, возможно, повысив их детализацию.

В том то и заковыка: с авторизацией проблем нет. Я вернулся к обычной Логин+пароль+словоIPSec. В статусе норамльно проходит авторизация, и только после надписи "регистрация в сети" выскакивает ошибка 738(ранее опечатался) Сервер не назначил IP адрес.

BredBred Полагаю, это какие-то микрософтовские штуки. Посмотри это:
http://www.vpnusers.com/viewtopic.php?f=7&t=2710&p=5580&hilit=mmc#p5580
Также вполне возможно, что ребята еще не докрутили работу с сертификатами.

Спасибо за помощь. Нашел виновника торжества: DrWeb 10.0
Именно с его установкой перестало происходить получение новых IP для клиентов.
Сейчас посмотрю какой именно параметр в настройках DrWeb блокирует эту возможность.

Добрый вечер. Решил недавно зайти по vpn в сеть организации из дома, и был удивлен то что скорость по vpn низкая (60 килобайт)
Хотя когда настраивал и тестировал скорость была хорошая. С softether vpn сервером ничего не делал, а вот скорость ушла куда то

watson111 Попробуй на сервере и дома запустить iperf и померить скорость
без всякой VPN. Возможно, она тоже ушла.

Сейчас вроде как нормальная скорость,но она нормальная только с сервером в лок.сети. А вот с клиентскими компами 192.168.1.х - низкая

А схема работы какая? SoftEther на этом сервере стоит или другом. Вариантов немного. Загрузка сети, сетевое оборудование где-то глючит... То есть если например открывать шару (или что вы открываете) на сервере, то быстро, а если на другом компе - медленно?
ЗЫ А нормальная скорость у вас - это сколько, кстати?

Нормальная - это то у кого меньше скорость и-нет канала (20 мбит).
Вот с сервером норм, а за ним падает до 60кбайт
С сетью все норм когда работаю внутри сети.

еще вопрос, можно сделать чтобы клиенту определенный Ip выдавался. А то часто выдаёт ip мфу, и бывают конфликты

Цитата:

то часто выдаёт ip мфу

??? А исключить из выдачи по DHCP уже занятые IP, не? А так - это вроде к MAC -адресу нужно делать привязку, сам не практиковал, более опытные подскажут... (или как окажусь на работе, гляну...)
Про скорость: то есть я правильно понял:
Цитата:

если например открывать шару (или что вы открываете) на сервере, то быстро, а если на другом компе - медленно?

Если так - пока других идей нет...

watson111
Цитата:

еще вопрос, можно сделать чтобы клиенту определенный Ip выдавался

Если используется родные клиент и адаптер, то можно на клиенте
настроить фиксированный айпи. Ну и да, нормальный DHCP не должен выдавать уже занятые IP

vlary
Есть задача, поднять астериск на VPS (технология Virtuozzo) с подключением телефонных пиров исключительно через VPN (хочу опытным путем ознакомится с SoftEther).
Я правильно понял, что без возможности подгрузить модуль ядра tun и соответственно организовав localbridge, мне не удастся связать астериск с VPN сессиями?
Или есть еще какой способ для меня неочевидный?
Пока хостер морозится с подгрузкой модуля для контейнера, ищу все возможные варианты для организации безопасной телефонии.

karavan
Цитата:

Я правильно понял, что без возможности подгрузить модуль ядра tun и соответственно организовав localbridge

Я пробовал поднимать сервер на ЦентОС, никаких модулей дополнительно не подключал.
Вот только заметил странную вещь: клиент общается со всей сетью,
кроме сервера. На офсайте наптсано, что это особенность линуксового ядра.

Хм...
Поднять две VPS?
1. SoftEther
2. Asterisk с правилами в iptables разрешающими подключаться только через 1.VPS?
Ну и соответственно в таблицу статических маршрутов клиентам сообщать, что подключение к серверу телефонии через канал VPN.

karavan
Цитата:

Поднять две VPS?

Собственно, при наличии сервера SoftEther, Asterisk можно держать и в локалке,
подняв на ее хосте бридж и подключив к VPN.

vlary
Предыдущая задача решена путем добавления tap-интерфейса.
Теперь пытаюсь победить другую.
К текущему серверу VPN необходимо подключать мобильные устройства через L2TP/IPSec
Конфигурацию сделал следующую:
Создал хаб, создал пользователей с аутентификацией через логин/пароль.
Создал бридж с хаба на интерфейс tap_vpn, на котором повесил dhcpd, соответственно SecureNAT и Layer 3 отключены.
Dhcpd раздает только адреса с маской, без указания шлюза и dns.
Это все ради защиты подключения к астериск, без доступа в интернет.
Устройство (на борту андроид) подключается успешно, но подменяет свой дефолтный маршрут на адрес VPN-сервера.
Как избавиться от дефолтного маршрута с подключением через L2TP?

karavan
Цитата:

Как избавиться от дефолтного маршрута с подключением через L2TP?

Ну на винде это делается снятием галки "использовать шлюз в удаленной сети"
в свойствах TCP/IP подключения.
В Андроиде в дополнительных свойствах соединения нужно добавить сети,
которые будут доступны через это подключение.

vlary
Спасибо, уже нашел методом тыка.
Перехожу к фазе поднятия астериска ))

на винде есть 2 локалки + часть третьей, нужно слепить полностью 2 и именно часть третьей в одну:
- в основной локалке ставлю сервер, в остальных - сервер в режиме бриджа, далее соединяю локальные Virtual Hub с реальными сетевухами мостом в каждом случае ...а вот дальше начинаю тупить по-черному:
- на сервере пытаюсь создать Cascade Connect и на бридже ...а подружить не получается
(разобрался с этим вопросом - достаточно одного каскадного соединения от бриджа к серверу)
- там где часть локалки: как остальных паровозом не цеплять ? (нужна только моя подсеть с тоговым оборудованием)
(тут тож вариант - физически ставлю сетевуху и свою подсеть цепляю на нее; мостом с Virtual Hub соединяю именно ее)

Tager_Sl А каким образом объединить? L2 Bridge или L3 Bridge?

Цитата:

L2 Bridge или L3 Bridge?

- настройки L3 не трогал, L2 скорее (т.е. есть 192.168.0.0, 192.168.1.0 - нужно слепить в сеть 169.254.0.0)
(...и нужно как-то реальные IP подключаемых сетей транслировать в 169.254.0.0-сети )
...это следующий этап так понимаю: у компа в "гостевой" сетке 169.254.0.1 чтобы в корневой светился 169.254.0.ХХХ
-> а вот для реализации придется похоже поковырять Virtual Layer 3 Switch (только там нашел таблицу маршрутизации)

Опять туплю ... Извиняюсь если что ...
Подскажите пожалуйста, возникала у меня ранее проблема с подключением, а именно не стартовала служба IKEEXT Модули ключей IPSEC, от чего служба SoftEthet постоянно грузила ЦП, исправил я эту проблему отключением на сервере SoftEther, L2TP но после этого у меня вообще перестал работать диспетчер серверов, а именно при обновлении информации с сервера на котором установлен SoftEther сервер, происходит ошибка подлинности Kerberos (его просто не находит) хотя шара, доступ к базам sql все есть, имя нормально распознается как ип ...
Количество TCP подключений 8 как и рекомендовано.
Подключение к серверу производиться через SoftEther DynDNS.


Хотя и раньше обновление инфы в диспетчере серверов адекватно не работало (через раз), сейчас вообще не работает.

Подскажите пожалуйста где копать ?

CrazYViruS_CrazyNet
Цитата:

происходит ошибка подлинности Kerberos

То есть попытка через NT авторизацию? Зачем?
Можно использовать обычную логин/пароль, если сервер MSSQL настроен в смешаном режиме.

vlary
ну ок допустим если так, но вот в Kaspersky Security Center к серверу также не подключается не по ипу не по имени ... без авторизации по 1400 порту и даже если его поменять также ...

Tager_Sl
Цитата:

нужно слепить в сеть 169.254.0.0

Да не трогайте вы эту сеть, она не для этого.
Неужели сетей 192.168..0.0/16, 172.16.0.0/12 и 10.0.0.0/8 мало?
По-моему, инструкции для бриджевания сетей там нормальные,
и если не подходить слишком творчески, все должно получиться.
CrazYViruS_CrazyNet Я бы не стал поднимать VPN сервис на боевом серваке с
MSSQL и прочими делами. Сделал бы на компе с линуксом или виртуалке.
По-моему, нужно восстановить то что было порушено, и начать сначала.