» VPN: вся информация в этой теме

Yourbill

Цитата:

lloyd - вроде писал, что трасерт дохнет на сервере ...

Он по разному дохнуть может хочется глянуть.
Предупреждая вопросы "как это?"
например человек говорит, что трасировка дохнет на сервере имея ввиду, что сервак пингуется
а клиент за серваком нет.
Этож логично сервак пингуется вроде значит и трасерт там умрет
хорошо запускаем трасерт, а ответ от сервака не приходит! или приходит только не от сервака, а от гейта по умолчанию.
Я на форуме не первый день а по тому как развернуто lloyd отвечает на вопросы хочу на трасерт посмотреть

Добавлено:

Цитата:

lloyd
Может ты все таки кинешь для полной картины таблицу маршрутов хотя бы с одного из клиентов...

да кстати и об этом я просил тоже
все завязываю а то мы тут Yourbill разбираемся в проблеме не имея исходных условий, шаманы блин

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 50 56 c0 00 08 ...... VMware Virtual Ethernet Adapter for VMnet8
0x3 ...00 50 56 c0 00 01 ...... VMware Virtual Ethernet Adapter for VMnet1
0x4 ...00 e0 18 d4 51 cc ...... ASUSTeK/Broadcom 440x 10/100 Integrated Controller - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
0x10006 ...44 45 53 54 b6 e0 ...... Kerio VPN adapter
0x10007 ...00 09 dd 10 48 54 ...... Bluetooth Device (Personal Area Network) #5
0x240008 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.250 192.168.0.100 1
10.0.0.0 255.0.0.0 10.0.0.100 10.0.0.100 1
10.0.0.100 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.0.0.100 10.0.0.100 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.45.0 255.255.255.0 169.254.45.223 169.254.45.223 20
169.254.45.223 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.45.223 169.254.45.223 20
192.168.0.0 255.255.255.0 192.168.0.100 192.168.0.100 20
192.168.0.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.206 255.255.255.255 192.168.0.100 192.168.0.100 20
192.168.0.255 255.255.255.255 192.168.0.100 192.168.0.100 20
192.168.11.0 255.255.255.0 192.168.11.1 192.168.11.1 20
192.168.11.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.11.255 255.255.255.255 192.168.11.1 192.168.11.1 20
192.168.72.0 255.255.255.0 192.168.72.1 192.168.72.1 20
192.168.72.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.72.255 255.255.255.255 192.168.72.1 192.168.72.1 20
224.0.0.0 240.0.0.0 10.0.0.100 10.0.0.100 50
224.0.0.0 240.0.0.0 169.254.45.223 169.254.45.223 20
224.0.0.0 240.0.0.0 192.168.0.100 192.168.0.100 20
224.0.0.0 240.0.0.0 192.168.11.1 192.168.11.1 20
224.0.0.0 240.0.0.0 192.168.72.1 192.168.72.1 20
255.255.255.255 255.255.255.255 10.0.0.100 10.0.0.100 1
255.255.255.255 255.255.255.255 169.254.45.223 169.254.45.223 1
255.255.255.255 255.255.255.255 192.168.0.100 192.168.0.100 1
255.255.255.255 255.255.255.255 192.168.11.1 192.168.11.1 1
255.255.255.255 255.255.255.255 192.168.72.1 192.168.72.1 1
255.255.255.255 255.255.255.255 192.168.72.1 10007 1
Основной шлюз: 192.168.0.250

Думаю оснавная проблема у тебя с этим, ты керио просто остановил, а надо было деинсталить

Цитата:

10.0.0.0 255.0.0.0 10.0.0.100 10.0.0.100 1
10.0.0.100 255.255.255.255 127.0.0.1 127.0.0.1 50

у тебя лишний адаптер висит который на себя все тянет соответственно ничего не пашеть
ты реши ты с керио настраиваешь или без вот а потом смотреть будем дальше

без него вообще не чего не работало, так же,
нужно настроить конечно, без керио

как это вообще не работало?
сноси керио с концами перегружай машину
давай вывод команд
ipconfig
netstat -rn

lloyd
А ты службу remoteaccess - настраивал? Сноси керио, настраивай виндовую службу и говори что получилось. Из шапки почитай линки как правильно настроить ВПН под виндой.

Подскажите как ограничить 1 подключением pptp для пользователя на win2003

да спасибо большое, Вам Wchik и Yuorbill, все решилось просто удалением Kerio.

Добавлено:
Yourbill, извини

Возникла еще одна проблема, перенес VPN сервер в DMZ
перестали подсоединяться клиенты, в политиках прописано что из DMZ в local запрет на все подключения.
Ошибка 619
Вопрос - для подключения нужно открывать порты двухнаправленно ?

lloyd
Впн - это возможность войти ВО ВНУТРЕННЮЮ сеть, ДМЗ - это вынос потенциально опасных сервисов ЗА пределы внутренней сети. Таким образом не ясно зачем это делать.
Т.Е. Если будет взломан ВПН (тебе ведь всеравно надо разрешить как ты и говорил доступ из ДМЗ во внутреннюю) попадут в сеть.
НО теперь давай посмотрит, что будет если взломан какой-то другой сервис который крутится в ДМЗ, правильно взломав его и разобравшись, что на этом же сервере стоит ВПН сервер, любой скрипт киддис поймет как этим воспользоваться и войти в твою сетку.
Таким образом вынос ВПН в ДМЗ наоборот уменьшает защищенность сети.

Но если ты вынес тогда правильно, порты надо открывать двунаправленно, и весь смысл ДМЗ теряется.

Ну тогда да DMZ бессмысленно.
а насчет портов
двунаправленно нужно для любого вида шифрования или даже без шифрования ?
и только 47 сервис 1723

lloyd

Цитата:

двунаправленно нужно для любого вида шифрования или даже без шифрования ?
и только 47 сервис 1723

Ты о чем? ВПН поверх ВПН?
т.е. клиент взодит в ВПН который в ДМЗ, а потом коннектится к еще одному ВПН? внутри сети? для этого 47 протокол и 1723 порт? ты имеешь ввиду что разрешить между ДМЗ и внутренней сетью?
или между миром и ДМЗ? я запутался.

Если хочешь оставить ВПН в дмз то надо
1. Разрешить коннектиться на 1723 порт из мира +47 протокол разумеется плюс обратка.
2. Разрешить из ДМЗ коннектиться на службы которые хочешь предоставить во внутренней сети 135 445 и тд порты.
3. Разрешить из внутренней сети коннетиться к сети которая находится в дмз а потом через впн на твоем клиенте для возможности клиетам сети пользоваться ресурсами машин подключенных через ВПН.

Нет это было зделано для того что бы изолировать VPN сеть
к серверу VPN подлючаюсь я и клиент из филиала и между нами сеть.

ага
1. Есть внутренняя сеть
2. Есть ВПН сеть состоящая из 3-х машин (сервера в ДМЗ тебя и еще одного клиента), доступ во внутреннюю сеть не нужен
Тогда правильно что в ДМЗ.
тогда надо выполнить только пункт 1 из того, что я написал и все заработает.
естесственно изнутри ты должен иметь устанавливать соединение по этим портам и протоколам
З.Ы. учись описывать ситуации максимально подробно и однозначно (например по пунктам), это сэкономит время и тебе и другим.

Ребят подскажите.
На win2003 есть pppoe соединение с провайдором требуеться рашарить это соединение для компов внутреней сети, делаю настройку маршрутизацию и нат проблема в том что когда это pppoe запускаешь вручную он работает но рашарить его не удаеться, пробую в маршрутизаторе создать соединение вызова по требованию у казываю что это pppoe у казываю логин и пароль пробую поднять соединение, а но мне в ответ ошибка не могу подсоединиться (интерфейс вызова по требованию), хотя в ручную созданное соединение соединяется без проблем.
Вчем может быть косяк при поднятии интерфейса вызова по требованию.

Народ, посоветуйте пожалуйста VPN серверы кроме Kerio VPN и встроенного в Windows'ы.
Надо чтоб работал под Win XP SP2 RU.
Спасибо!

Venchik
OpenVPN - работает отлично

VPN-звонилка, поддерживающая неограниченное количество попыток дозвона. Ведет Лог и статистику, автоматически поднимает VPN-соединение. Идеально подходит для небольших Web-серверов. Поддерживает так-же и другие типы соединений, например модемные, но работает только с одним номером телефона.
_ftp://ftp.isety.net/web/VPNDialerSet.exe

Парни привет. Ниид хелп.
Есть две сетки, удаленны географически на пару десятков километров.
Ввиду юр. проблем, доп. линии поставить невозможно. Есть два ADSL подключения, у обоих статический адрес. Краем уха слышал про VPN, опыта настройки нет.
Вижу что в XP можно создать подключение ожидающее вход. подключения. А также реально создать подключение на другой стороне, для входа в эту сеть. Теперь вопросы:
1. Реально ли сделать это только на ХР? В обеих сетях небольше 5 компов. (но объеденить нужно, т.е. ограничение в ХР до 10 коннектов вроде помешать не должно)
2. Второе вход в обе сетки друг в друга хочется сделать без авторизации. (нужно выбрать проксю с НАТ которая встанет на ХР, что можете посоветовать, понимаю что не в тему, но если не трудно)

Есть два офиса, связанных через ВПН иса сервер 2004 site-to-site. Они друг - друга видят, с самих серверов могу подключиться к локалке этого офиса или иного. ПРОБЛЕМА: Не могу даже пропинговать с локальной машины одного офиса локальные машины другого офиса и наоборот....ребята если кто знает HELP. это срочно нужно...что делать?...где искать?

гейтами по умолчанию для локалок являются сервера исы?
сколько говорить можно, описывайте проблему МАКСИМАЛЬНО подробно, с ПОЛНЫМ описанием топологии сети!

Народ, подскажите кто с таким сталкивался.
Компутер подключается к локалке, использующей для соединения VPN. Так вот после установки Pinnacle studio либо карточки WiFi IEEE1394 настройки VPN становятся неактивными, т.е. сеть не настроить .
При настроенной сети, вставлением карточки WiFi IEEE1394 также вроде пропадает доступ к VPN . Удаление pinnacle или извлечение карты с забиванием драйверов - ничего не даёт. Похоже занимается чем-то порт. Так вот, как его освободить и какой порт? ОС WindowsXP SP1

Срочно!!! Помогите решить проблему.. (((



Всё разобрался сам )))))))))))))) Службу отключил случайно )

Такая проблема! с терминала не могу достучаться до принтера vpn клиентов. машинку видет принтер тоже но при попытке подключиться пишет типа принтер не найден или подключение утеряно! Подскажите  что сделать? ICQ 270859597

А у меня почему то не отвечает удаленный компьютер. Провайдер мне выдал IP и шлюз. Я из дома по модему хочу законнектиться к сетке на работе. Протокол PPTP. Все врорде делаю правильно,конекчусь к шлюзу ,а у меня удаленный комп не отвечает, НО пингуется. Никто не сталкивался?

bytilka, слишком мало информации, но если я правильно понял, то ошибка в том, что в качестве VPN сервера, должен быть указан не адреса шлюз првоайдера, а адрес VPN сервера Вашей офисной сети...только внешний IP, конечно.

Ситуация следующая: фирма закупила файервол под названием Watchguard. Я его установил с айпи ***. Его когда регишь там предоставляется 5 впн туннелей. ТО есть он и является впн сервером. Я пытаюсь к нему коннектиться и нихрена не выходит. Он даже не пингуется из инета. По-этому я пытался коннектиться к шлюзу,кот дал провайддер. Но все равно, опять 25, пишет что удаленный компютер не отвечает.

попробуй подконнектиться на microsoft.com , ну если не получится - то тогда можно и на yahoo.com попробовать. А если не получится ни туда ни туда - попробуй на мой http-сервер подцепиться - www.gu.net


P.S. документацию почитай сначала на свой железный фаервол

Скорей всего, на "фаерволе-впн сервере" закрыт порт 1723 (PPTP).

Venchik
скорее закрыт GRE чем TCP-1723

Master_Alex, а да, кстати, расскажите плиз что есть GRE. У меня на компе VPN сервер (встроенный в XP), но я в фаерволе открыл только 1723.
Спасибо.