Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» VPN: вся информация в этой теме

Автор: nika82
Дата сообщения: 22.06.2006 08:47
Есть машина с адресом ip1, она подключеня к АДСЛ-модему (роутер режим модема). Есть машина ip2, которая объединена в сеть с машиной ip1 и использует её в качестве шлюза.

Задача: сделать так, чтоб машина ip2 имела полный, неограниченный доступ в интернет, при этом машина ip1 имела доступ только на один сайт, оставаясь шлюзом для машины ip2.

Как это сделать, подскажите пожалуйста.

Если использовать авторизацию сквида, то как сделать так, чтоб машина ip1 не видела интернет без сквида?
Автор: ZloyLamer
Дата сообщения: 22.06.2006 15:15
Попробуй ВИнРоут. Создаешь Правила на доступ для ip2 -> ADSL через NAT. С пометкой разрешить ВСЕ. И создай правило для ip1 -> один сайт, только уже без NAT. Все остальное удали. И получится 3-и правила. 1-е: Доступ 2-й машины в инет, 2-е: доступ 1-й машины на 1 сайт, 3-е: запретить все остальное.

Только учти, при такой настройке, у тебя не будет доступа с ip2 к ip1.
Автор: ssdss55
Дата сообщения: 26.06.2006 00:08
всем сдрасте...
есть такой вопрос, можно ли завернуть в впн только одно приложение, при этом пустив весь остальной траф напрямую?
если можно то подскажите как...
система winxp или linux.
Автор: Morozko
Дата сообщения: 12.07.2006 16:25
Сеть в офисе - десяток машин. Сервер 2003 - через него все идут в инет. Сервер подключен к провайдеру по VPN.
Проблема - иногда в районе летит электричество и сервер перезагружается - но автоматически с провайдером не соединяется. Т.е. надо приезжать, заходить на сервер, кликать по ярлыку, соединяться и уезжать.
Вопрос - как сделать чтобы при загрузке сервер автоматически соединялся. Ярлык в автозагрузку не функционирует.

Спасибо.
Автор: Alex_Dragon
Дата сообщения: 12.07.2006 17:53
Попробуйте rasdial в батник впихнуть.
Ссылки по поводу:
http://www.coast.ru/utils/faq/winnt/197.html
http://it.bakinity.biz/smart.php?cat=2&id=82
Автор: augur
Дата сообщения: 12.07.2006 18:28
asd01:

Цитата:
Подскажите, как можно соединить 2 компа из разных сетей, если ни на одном нет и не будет внешнего ip.


На быструю руку, за десять минут на всё про всё? http://www.hamachi.cc/
Автор: Aristocrat
Дата сообщения: 13.07.2006 07:14

Цитата:
Сеть в офисе - десяток машин. Сервер 2003 - через него все идут в инет. Сервер подключен к провайдеру по VPN.
Проблема - иногда в районе летит электричество и сервер перезагружается - но автоматически с провайдером не соединяется. Т.е. надо приезжать, заходить на сервер, кликать по ярлыку, соединяться и уезжать.
Вопрос - как сделать чтобы при загрузке сервер автоматически соединялся. Ярлык в автозагрузку не функционирует.

Спасибо.


подними сервер RRAS настрой! как? смотри тут
_http://www.smart-soft.ru/?page=rasvpn
Автор: 8kay8
Дата сообщения: 17.07.2006 07:22
Требуется поддерживать VPN соединение. Всё бы ничего, ставишь в настройках подключаться столько-то раз после обрыва и все дела, но когда сервер, к которому надо подключиться - в дауне, и прошла какая-то часть попыток соединиться, то винда почему-то записывает этот IP адрес как бы в черный список. Т.е. даже когда сервак опять живой, то сколько не подключайся, а винда клиента постоянно будет думать, что сервак в дауне, пока её не перезагрузишь. Кто выход из этого положения знает?
и где вообще находятся настройки всех VPN соединений?
Автор: Venchik
Дата сообщения: 17.07.2006 09:19
8kay8
Как я понимаю, речь идет о WinXP. Причем, скорей всего, о SP2. Никакого черного списка нет. Просто в XP есть такой глюк - если подключить VPN, а потом его сразу отключить, то сразу после этого может не получиться подключиться. Причем, не каким соединением подключаться и к какому серверу.
Попробуй проверить мои слова - создай еще одно соединение, которое будет коннектиться на другой сервер. Уверен, результат будет такой же:
Соединение с <IP>...
Ожидание около пол-минуты
Ошибка 800.

Я где-то читал что проблема решается перезапуском служб. Но не помню каких именно. Перестал заниматься этой проблемой за ненадобностью - отказался от VPN.

Кстати, попробуй подождать минут 5 и попробовать соединиться. То есть время повтора после разрыва поставь по-больше. Если не получится в автоматическом режиме, то попробуй в ручном. Чисто по опыту: никогда не жми на кнопку отмена в окне, где написано: Соединение с <IP>. Лучше дождись, пока появится ошибка 800...а вообще может так получиться, что он долго будет писать Соединине с <IP>...а потом соединится.
Автор: iknow
Дата сообщения: 17.07.2006 18:03
Люде - помогите пожалуста - нужен скрипт или может прога(звонилка какая)...чтобы умел звонить до провайдера по VPN, умел перезванивать при разрыве и главное стартовать как сервис - пожалуста!...
Автор: 8kay8
Дата сообщения: 17.07.2006 19:14

Цитата:
Кстати, попробуй подождать минут 5 и попробовать соединиться. То есть время повтора после разрыва поставь по-больше. Если не получится в автоматическом режиме, то попробуй в ручном. Чисто по опыту: никогда не жми на кнопку отмена в окне, где написано: Соединение с <IP>. Лучше дождись, пока появится ошибка 800...а вообще может так получиться, что он долго будет писать Соединине с <IP>...а потом соединится.

да не в этом дело. никакой отмены нет. я уже проблему рассказал, но вот решения пока не нашёл. я ничего не нажимаю, комп работает сутками и его никто не трогает. а вот если сервак загнётся, маршрута нет, то винда до следующей перезагрузки ни в какую с ним соединяться не хочет в тот же момент пишет, что сервер не доступен. и это продолжается до тех пор пока этот клиентский комп не перезагрузишь. даже если ждать сутки, а потом попробовать подключиться - ничего не выйдет
Автор: Venchik
Дата сообщения: 17.07.2006 21:42
8kay8, это тот самый глюк, о котором я говорю, только с немного другим проявлением. Попробуй рестартануть службы сетевые. И попробуй поиграться с другим подключением.

Добавлено:
iknow
nncron тебе подойдет, я думаю.
Автор: iknow
Дата сообщения: 17.07.2006 23:04
Venchik
да - действительно...проще некуда!...все остальные звонилки по сравнению с ним просто хлам!....хде мой мосх был раньше!...
Автор: 8kay8
Дата сообщения: 18.07.2006 07:49

Цитата:
это тот самый глюк, о котором я говорю, только с немного другим проявлением. Попробуй рестартануть службы сетевые. И попробуй поиграться с другим подключением.

ну не буду же я клиенту говорить как надо службу перезапускать. другого решения нет?
Автор: Venchik
Дата сообщения: 18.07.2006 09:41
8kay8
А, ну если клиенту, то это надо обращаться в техподдержку Microsoft.
В Windows 98 таких проблем нет.
Автор: levkadub
Дата сообщения: 19.07.2006 06:38
есть две подсети в разных здания, в каждом здании есть выделенный канал в инет.
трубуется огрганизовать vpn туннель через инет между 2-мя зданиями.
здание 1 - VPN - здание 2
10,1,1,0/16 10,0,0,0/16

в каждом здании есть контроллер домена обслуживающий свой сайт.
адреса раздаются по DHCP
нужно чтоб все кроме DHCP трафика по каналу проходило.
для этого в здании 2 есть сервер смотрящий двумя линками в инет (на каждом свой ай-пи)
и двумя линкам во внутрь (один в локалку другой в сторону другого сайта в 3-м здании имеюго подсеть 10,2,2,0/16) на сервере стоит Трафик инспектор (он умеет ставить файрвол между локальными интерфейсами)

подумываю что необходим еще один внешний ай-пи - реальный,
тогда я в трафик инспекторе смогу его завести как 3-й локальный интерфес и соответственноне не придется думать о том как резать DHCP.

думаю что это не безопасно....
можно ли два сервера соединить посредством VPN так чтобы на обеих сторонах принимались подключения только от второй стороны и никакие другие, с инета и.т.д.
Т е. чтоб вообще никакие соединения на этот интерфес не принимались, а только VPN и только от другой стороны.?

с чего начать настройку VPN?
для выхода в инет использую NAT.
я думаю будут проблеммы с маршрутизацией...... никогда ее не настраивал
какие шлюзы для каких подсетей прописать ?





Автор: VladikJ
Дата сообщения: 20.07.2006 16:43
Настройка VPN сервера под серверными ОС Win 2000/2003
http://www.it-service.su/dokum/serv_vpn.htm
Автор: russian2005
Дата сообщения: 24.07.2006 10:49
Всем доброго дня!
Обращаюсь к экспертам.
Есть такая тема - нужно объединить VPN-сетью 5 офисов компании (Германия, Польша, Белоруссия, Россия, везде свои локалки). Основная цель здесь - объединение телефонного пространства всех офисов и использование VoIP-шлюзов . Как представляется - это даст экономию в средствах на переговорах. Не придется платить тел. оператору за услуги - только за инет-траффик Это так?
Линии у всех мегабитные и выше.
Подскажите, что необходимо (из оборудования и софта) на Ваш взгляд?
Можно ли обойтись своими силами, без привлечения компаний-интеграторов?
Заранее спасибо всем за ответы
Автор: Rogerio
Дата сообщения: 24.07.2006 12:38
Можно ли работать с NAT прокси-сервера (например, UserGate 4.0) из разных подсетей, используя VPN?

Я опишу достаточно подробно, чтобы не возникало неправильного понимания проблемы.
Буду благодарен за ответы.

Есть городская домашняя сеть. Она включает в себя несколько районов, каждому из которых присвоен определённый диапазон адресов (10.1.255.255, 10.2.255.255 .... 10.15.255.255 ). Провайдер, предоставляющий услуги городской сети, также предоставляет свой доступ в интернет через VPN-соединение (но речь будет идти не об этом VPN-соединении).

Предположим, что мой компьютер имеет в этой сети IP-адрес 10.1.1.2. В другом районе существует отдельная локальная сеть, содержащая компьютеры, которые имеют адреса в диапазоне (192.168.0.1 - 192.168.0.255). Притом, компьютер с IP-адресом 192.168.0.1 имеет прямое подключение к интернету через другого провайдера, и на этом компьютере установлен прокси-сервер (в данном случае это UserGate). Все компьютеры в этой локальной сети получают доступ в интернет через данный прокси-сервер и могут без проблем использовать NAT прокси-сервера, указав в качестве шлюза и в качестве DNS-сервера адрес 192.168.0.1 в настройках соединения.

Далее, компьютер с адресом 192.168.0.1 (на котором установлен UserGate 4.0 и имеется прямой доступ в интернет) также подключают к этой городской домашней сети. Он получает адрес, предположим, 10.2.1.2. Я со своего компьютера (10.1.1.2) имею полный доступ к 10.2.1.2. Я могу использовать этот прокси-сервер и получить доступ в интернет наравне с компьютерами в указанной локальной сети. Единственное, что я не могу прямо использовать - это NAT сервера.

Если бы я находился в подсети 10.2.1.*, я бы мог указать в качестве шлюза и DNS-сервера адрес 10.2.1.2. Тогда все пакеты шли бы на этот адрес, и я имел бы полноценный NAT для интернета. Но я обязан указывать в качестве шлюза и DNS-сервера адрес 10.1.0.1, иначе я не смогу получить доступ за пределы подсети 10.1.1.*.

Единственное, что я могу придумать, чтобы суметь использовать NAT - это установить VPN-соединение с адресом 10.2.1.2. Тогда я могу попасть либо в подсеть 10.2.1.*, либо в подсеть 192.168.0.*. У меня будет там свой IP-адрес. По идее, пакеты идут по этому соединению. Это словно эмуляция такого же доступа в интернет, который предоставляет провайдер городской домашней сети посредством VPN-соединения.

Я пытаюсь настроить прокси-сервер для использования NAT для того IP-адреса, под которым я попадаю в локальную сеть. Я настраиваю, но NAT у меня не работает.

Ещё я не уверен, что такой способ соединения работает. Хотя, на первый взгляд всё кажется логичным.

Меня интересуют ответы на следующие вопросы:
1) Есть ли какие-нибудь способы использовать NAT для компьютеров, которые находятся в разных подсетях?
2) Можно ли использовать NAT прокси-сервера через VPN-соединение?
Автор: PIL123
Дата сообщения: 27.07.2006 19:40
Cтоит простейшая задача - объединить филиалы (их три) и головной офис (в дальнейшем под словом "офис" понимать как головной офис, так и филиалы) компании в единую сеть, используя VPN, т.е. межсайтовое соединение. Каждый офис в т.ч. и головной имеет небольшое количество рабочих станций (до 10), по 2 сервера, которые я предполагаю разделить по ролям следующим образом:

Контроллер домена
Брандмауэр на базе ISA 2004 (ну он же разумеется будет и VPN-сервером)

В этой связи у меня есть несколько вопросов:
1. Могу ли я во всех офисах использовать одну подсеть (например: 192.168.0.Х 255.255.255.0), выдавая при этом в каждом офисе TCP/IP настройки из своего, диапазона адресов, неперекрывающихся друг с другом. Т.е., например Головной офис компании получает IP-адреса в диапазоне от 192.168.0.1 до 192.168.0.20; Филиал 1 получает IP-адреса в диапазоне от 192.168.0.21 до 192.168.0.40; Филиал 2 получает IP-адреса в диапазоне от 192.168.0.41 до 192.168.0.60 и т.д. Или же необходимо каждый офис разводить в свою подсеть типа: 192.168.0.X; 192.168.1.X и т.д.? И как вообще будет идеалогически правильно реализовать эту задачу?
2. VPN соединение мне необходимо в основном потому, что необходима синхронизация между головным офисом и филиалами некой базы данных. Однако будут ли при этом доступны сетевые ресурсы Филиала 1 Филиалу 2, ну и наоборот? В идеале хочется видеть всю локальную сеть, так сказать "как на ладони", чтобы у неинформированного человека даже не появлялось мысли о том, что компьютеры в сетевом окружении территориально удалены друг от друга! Кстати, будут ли в "Сетевом окружении" появляться ВСЕ компьютеры вне зависимости от их территориального месторасположения, ведь, насколько я знаю компьютеры в сетевом окружении появляются на основании широковещательных пакетов, а они через VPN-ы по идее не должны проходить?
3. Какая должна быть аппаратная конфигурация ISA, в том смысле, что достаточно ли двух сетевых интерфейсов (IN, OUT) для налаживания работы межсайтового VPN или же нет. И существует ли какая-нибудь разница между необходимой аппаратной конфигурацией ISA-сервера в головном офисе и филиалах?

Вроде пока всё Спасибо за Ваше терпение в прочтении столь длинного списка вопросов и не пинайте сильно, пожалуйста.
Автор: andrejvb
Дата сообщения: 28.07.2006 15:47
С ИСОй не делал, пробрасывал туннель с OpenVPN, потом объединял в мост внутр. локалку оффиса и VPN туннель. В таком варианте все компы находятся в одной подсети и прекрасно видны в сетевом окружении.
Автор: likbez
Дата сообщения: 28.07.2006 21:53
VladikJ

Цитата:
Настройка VPN сервера под серверными ОС Win 2000/2003


Грамотная статья, но она подразумевает, что маршрутизация УЖЕ включена. А у нас не удается её включить: говорит - отключите брандмауэр и повторите. остановили службу, отключили её автозапуск, сделали рестарт - то же самое выдает. как её еще отключить?
Автор: enver
Дата сообщения: 31.07.2006 00:36
andrejvb

Цитата:
потом объединял в мост внутр. локалку оффиса и VPN туннель

не совсем понял этот момент. можно пояснить поподробнее?
Автор: andrejvb
Дата сообщения: 01.08.2006 17:22
enver

Цитата:
не совсем понял этот момент. можно пояснить поподробнее?

Ну смотри - в двух офисах локалки с адресами 192.168.0.х, адсл алимит, один постоянный ИП, второй динам. Домена нет. на шлюзовых машинах поставил KWF и ОРЕNVPN, адреса внутри - статика. 1й шлюз -192.168.0.1, 2й - 192.168.0.32
конфиг для дин ип снаружи:
# Client
remote 82.x.x.x
port 1194
proto udp
dev tap
secret "C:\\Program Files\\OpenVPN\\config\\client.key"
ifconfig 192.168.0.32 255.255.255.0

коннфиг для стат ип :
#server
port 1194
proto udp
dev tap
secret "C:\\Program Files\\OpenVPN\\config\\client.key"
ifconfig 192.168.0.1 255.255.255.0
Дальше объединяешь в мост интерфейсы Local и TAPxxx на обоих машинах у моста в настройках tcp указываешь их родные адреса, в службах устанавливаешь старт сервиса автоматом, настаиваешь правила в KWF. После перезагрузки в Сетевом окружении видиш машины обоих офисов
Автор: wellwisher
Дата сообщения: 01.08.2006 20:13
Доброго времени суток всем !
Вопрос может и не в топик, но все таки...
Wingate 5.2.3 на win2k3, соединение с Инет по VPN, ICS отключен. Проблем никаких, кроме : при соединении удаленного доступа - dialup (RRAS сервер установлен) NAT (на Wingate) перестает работать. Включишь/выключишь VPN - все в порядке, и так при каждом disconnect'e dialup'а. Где рыть ?
Автор: golon
Дата сообщения: 02.08.2006 11:39
Я подключен к инету через DSL. Хочу поэкономить денег и ходить в нет через сервак на работе.
VPN настроил. Вопрос в том как сделать так, чтобы пустить мой интернет траффик через удаленный сервер. На сервере стоит Kerio WinRoute, дома тоже Kerio.
Автор: PIL123
Дата сообщения: 02.08.2006 17:18
golon
VPN тоже ведь работает через Интернет, так, что боюсь трафик этим приёмом не сэкономить
Автор: enver
Дата сообщения: 02.08.2006 22:26
PIL123
все очень даже разумно, если адрес рабочего сервера входит в список адресов, трафик на которые не считается

golon
а тебе наверое в темы по настройке Kerio тут и тут
Автор: wellwisher
Дата сообщения: 02.08.2006 22:28
golon

Цитата:
Хочу поэкономить денег и ходить в нет через сервак на работе.

У меня ситуация внешне похожая, разница в том что соединен из дома к серверу на работе по некоммутируемой меди (PTP соединение, SDSL connect на 2-х Nateks'aх), расстояние 1,3 км - мегабит постоянно(ничего не плачу, фирма эксплуатирует участок, а своя рука - владыка). Выигрыш налицо халява, или бонус.
У Вас ситуация иная - выход все равно через провайдера.
P.S. : Если внутригородские тарифы по ADSL гораздо ниже обычных, имеет смысл коннектиться как в Вашем посте, иначе - оставить в покое, или - через аналоговый модем (если RAS поднят на сервере на работе)
Автор: golon
Дата сообщения: 03.08.2006 01:11
PIL123
wellwisher

В том то и дело, что в домашней зоне 1 мег = 19 копеек, а внешний по 1,7р за мегабайт, вот и получается экономия не хилая.
Поэтому и хочу перенаправит трафик на VPN соединение.

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697

Предыдущая тема: Белый-Черный лист


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.