Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» VPN: вся информация в этой теме

Автор: Solenaja
Дата сообщения: 05.12.2006 10:59
beatrice
помоему это от маршрутизации зависит, а не от настроек VPN
Автор: xorofull
Дата сообщения: 05.12.2006 11:03
beatrice
ставь какойнибудь проксесервер например ТИ или Юзергейт.
2All. Вот есть впн сервер на винХР. И мне нужно поставить в планировщик задачу на запуск программы на сервере тогда когда подключился vpn клиент. Использую планировщик nnCron. Там есть много условий. Даже по запуску процесса. Вот мне нужно знать кокой процес запускается на сервере при подключении VPN клиента или как планировщику определить что VPN клиент подключился.
Автор: beatrice
Дата сообщения: 05.12.2006 18:38
Solenaja

Ты имееш ввиду что при настройке службы маршрутизации и удаленного доступа можно все это провернуть?
Автор: hamid
Дата сообщения: 06.12.2006 09:44
Спасибо всем.
Подключил два офиса с помощью Керио Винрута 6.1.3.746

ВПН Туннелинг. В каждом офисе разные подсети.
НО интересует Один вопрос, как можно реализовать этакое:
в обоих офисах подсеть был одинаковым. IP в одном до 192.168.0.1-100 в другом 192.168.0.101-200
Как это можно реализовать? Это реально?

В керио есть Адресные Группы. но, Роутинг он зделает правильно?
Автор: Bear39
Дата сообщения: 07.12.2006 11:37
Помогите пожалуйста!!!

Есть локальная сетка.
В этой сетке есть комп который раздает инет (с двумя сетевыми, одна сморит в локалку, другая в инет), стоит win2003server + Kerio, и есть рабочая станция под win2003server.

Проблема:
Нужно дать одной конторе с другого города, доступ к этой рабочей станции в локалке.
Как это сделать?
Автор: hamid
Дата сообщения: 07.12.2006 15:48
Bear39

поставь Туда Керио Винрут, зделай ВПН туннел.
kerio-rus.ru
http://kerio-rus.ru/KWF6.chm
мануал По Керио.

Там все очень ясно написано.
Автор: Bear39
Дата сообщения: 07.12.2006 16:18

Цитата:
поставь Туда Керио Винрут, зделай ВПН туннел.
kerio-rus.ru
http://kerio-rus.ru/KWF6.chm
мануал По Керио.

Там все очень ясно написано.


Максимум я могу попросить их поставить кериоВПН клиент. Ставить керио они не будут ((

(а вообще я пробовал соединиться с другого компа, имеющего отдельный выход в инет, через кериоВПНклиент, связь устанавливает, но не пингует и не видет машины локалки)
Может с правилами что?

зы Первый раз сталкиваюсь с ВПН.....
Автор: hamid
Дата сообщения: 08.12.2006 08:53
Сколько компов с этого Конторы должны подключаться к твоей Сети?

В правилах нужно поставить правила: ВПН клиенты куда могут иметь доступ.
СОурс: ВПН клиенты Дестинейшн: ЛОкалка, Сервак. Протоколы: (То что нужно)


ЗЫ: OpenVPN, тоже хорошое вещ.
Автор: Bear39
Дата сообщения: 08.12.2006 09:03
hamid
1 комп только.

в правилах: VPN clients - локалка - any

Они установили себе керио-клиент, но не могут ни пинговать, не видеть другие компы, соединение держит...
Автор: Vital3912
Дата сообщения: 08.12.2006 09:18
Читай мануал про правила, нужно настраивать винроут на шлюзе. Сейчас по всей видимости не доступа. Соответственно и пинг не пройдет. И еще, проверь на всякий случай маршрутизацию при установленном ВПН, но вообще винроут обычно назначает своему ВПН-серверу подходящий адрес для нормальной маршрутизации, обычно править ничего не нужно больше.
А какого рода доступ-то к машине нужен? К расшаренным ресурсам или к установленным там программам или какому-то открытому сетевому порту? Тогда может проще сопоставление адресов и портов в NAT на сервере прописать на эту рабочую станцию?
Автор: hamid
Дата сообщения: 08.12.2006 09:47
Bear39
IP Сетей НЕ должен быт одинаковым.

Айпиконфиг что покачывает?

route print что покачывает?
Копи Паст сюда
Автор: Bear39
Дата сообщения: 08.12.2006 10:13
Vital3912
hamid

Сейчас такая ситуация:

Локалка с адресами 192.168.100.х

Когда клиент подключается, керио назначает ему адрес 192.168.0.х

Доступ клиенту нужен к машине в локалке на адрес 192.168.100.156 порт 407, прога там стоит на нем.

Может помогут логи:

08/Dec/2006 10:05:50] [ID] 3085 [Rule] VPN server connections [Service] Kerio VPN [Connection] TCP 85.21.х.х:1161 -> SERVER:4090 [Duration] 160 sec [Bytes] 1358/2083/3441 [Packets] 15/16/31
[08/Dec/2006 10:08:14] [ID] 3140 [Rule] VPN server connections [Service] Kerio VPN [Connection] UDP 85.21.х.х:1162 -> SERVER:4090 [Duration] 151 sec [Bytes] 399/198/597 [Packets] 7/6/13
[08/Dec/2006 10:08:47] [ID] 3144 [Rule] VPN server connections [Service] Kerio VPN [Connection] TCP 85.21.х.х:1170 -> SERVER:4090 [Duration] 173 sec [Bytes] 1515/2240/3755 [Packets] 18/19/37
[08/Dec/2006 10:10:29] [ID] 3351 [Rule] VPN server connections [Service] Kerio VPN [Connection] TCP 85.21.х.х:1185 -> SERVER:4090 [Duration] 29 sec [Bytes] 1087/1651/2738 [Packets] 11/13/24
[08/Dec/2006 10:16:27] [ID] 3147 [Rule] VPN server connections [Service] Kerio VPN [Connection] UDP 85.21.х.х:1171 -> SERVER:4090 [Duration] 631 sec [Bytes] 3060/588/3648 [Packets] 28/12/40

[08/Dec/2006 10:16:27] Service "VPN" started, bound to address 192.168.0.1
[08/Dec/2006 10:16:27] Service "SSL-VPN" started, bound to address 192.168.0.1

[08/Dec/2006 10:16:26] VPN client 'ххххх' connected from 85.21.х.х
[08/Dec/2006 10:18:53] VPN client 'ххххх' disconnected, connection time 00:02:27

[08/Dec/2006 10:18:53] PERMIT "VPN server connections" packet to Инет, proto:TCP, len:40, ip/port:195.151.х.х:4090 -> 85.21.х.х:1202, flags: FIN ACK , seq:3055236318 ack:4019950945, win:64748, tcplen:0
[08/Dec/2006 10:18:53] PERMIT "VPN server connections" packet from Инет, proto:TCP, len:40, ip/port:85.21.х.х:1202 -> 195.151.х.х:4090, flags: RST ACK , seq:4019950945 ack:3055236318, win:0, tcplen:0

[08/Dec/2006 10:18:41] HTTP: Non-ASCII bytes detected in HTTP request: client: 192.168.100.х, server: 194.186.х.х
[08/Dec/2006 10:18:46] HTTP: Non-ASCII bytes detected in HTTP request: client: 192.168.100.х, server: 194.186.х.х

Автор: hamid
Дата сообщения: 08.12.2006 10:27
А где Роутинг Лист?
Автор: Bear39
Дата сообщения: 08.12.2006 10:32
hamid
Это что? где его взять?

Routing Table

System route 0.0.0.0 0.0.0.0 195.151.226.130 Инет 20
System route 192.168.100.0 255.255.255.0 Локалка 10
System route 195.151.226.128 255.255.255.252 Инет 20
Автор: Vital3912
Дата сообщения: 08.12.2006 14:32
Как я уже и говорил, если делать через впн винроута, должны быть такие правила - http://ifolder.ru/587839 (см. скриншот). Будет доступ ко все ресурсам локальной сети.
А можно просто перебрасывать порт 407 с машины в локалке наружу сервера. С помощью штатного NAT на сервере. См. еще один скриншот - http://ifolder.ru/587870
"Так и этак хорошо, так и этак вкусно" , все зависит от потребностей.
Автор: Bear39
Дата сообщения: 08.12.2006 15:42
Vital3912

В керио так все сделано.

Но если поднять маршрутизацию в вин2003сервер, то падает инет который керио раздает.

Тут в чем то другом загвоздка. Даже роутинг на клиенте вручную прописывали, нифига....

выручайте, у кого реально схема работает?


Автор: Vital3912
Дата сообщения: 08.12.2006 15:54
Схема у меня работает реально, но не на одном компе и нат и винроут конечно - я тебе скрины кидал с разных серверов.
Кстати, винроутовским натом поробуй порт пробросить - мож это поможет в твоей ситуации.
Автор: Bear39
Дата сообщения: 08.12.2006 16:01
Vital3912

если бы более подробные настройки свои ты дал, может я бы и нашел загвоздку свою, а порт пробрасывал, не помогает, что то на керио....
Автор: OZub
Дата сообщения: 08.12.2006 17:31
!!! Подскажите плз !!! Как объехать VPN ?

Доп.офис подключен к центральному через VPN. При работе все подключаются к серверу в центральном офисе с исползованием SSL серт. В VPN открыты доступы к определенным ресурсам и все!
Ни шага в сторону, а очень надо!
Подключение организовано:
ADSL: D Link 504T (сетевой, на 5 портов) Bridge, IP 10.*.*.22
NetScreen Juniper IP 10.*.*.1
Комп XP IP 10.*.*.200
Шлюз: 10.*.*.1
DNS: 213.*.*.131
В свичах есть свободные порты. Соединяю ADSL со свичем, паралельно NetScreen, ставлю ADSL шлюзом (10.*.*.22) - работает, но у остальных все подключения к серваку виснут. NetScreen отключать нельзя-к серверу не подключишься. Че делать?
Автор: bobsemenov
Дата сообщения: 08.12.2006 20:39
Пожалуйста помогите. Прочиитал весь топик, но свою проблем не могу решить. Я выхожу в инет через VPN проввйдера. На работе есть VPN-сервер на который можно зайти. Организую еще одно VPN-соединение. Все нормально, VPN пингуется. Запускаю RemoteDescktopConnection и после этого VPN разрывается. Все галки и прочие способы описанные здесь попробовал.
Автор: Prizrak1234
Дата сообщения: 11.12.2006 20:13
Проблема такая:
было всё нормально, VPN (для инета) подключалось к серверу, поставил касперский 6 аутпост, спай варе, и она перестало подлючаться.
Ошибка 800 и хоть ты тресни, снёс всё, что поставил, эффект не изменился. тоже 800.
кроме этого перестало заходиться на компы в сети, хотя все пингуется отлично, ни по ай пи ни по именам.
сам комп пингуется и на 127 0 0 1 и на ай пи сетевухи.
первый раз с таким сталкиваюсь, помогите, ибо не хочется винду переставлять.

на другом компе всё отлично работает в этот момент.
то есть дело не в сервере, а именно в этом компе. службы смотрел, всё что нужно включено. Пробовал всключать остальное, бестолку.

Добавлено:
vse ok razobrasla
Автор: xcode
Дата сообщения: 12.12.2006 18:03
пытаюсь объединить две частные подсети в одну с помощью последнего kerio winroute. делаю все в точном соответствии с http://kerio-rus.ru/KWF6.chm, но увы - никакого эффекта. Керио крякнутый - может от этого?
у меня есть некоторые вопросы по настройкам которые я не вполне понимаю, думаю ошибка в них.
1. на обоих машинах стоит VPN server, и там есть адрес и маска сети, из которой выделяются IP-адреса для VPN-клиентов и туннелей. ЧТО ЭТО ТАКОЕ? Какими должны быть эти адреса? У меня все IP в сетях фиксированные, количество и состав удаленных клиентов также однозначно фиксированный, и мне нужна очень простая вещь - чтобы все видели всех, как в самой простой одноранговой сети с одной рабочей группой. Т.е. две локальные сети и так имеют IP-адреса одной подсети, и нужно чтобы туннель просто сливал эти сети в одну.
2. Когда я создаю туннель, там нужно указать IP-адрес другого конца туннеля. Я указываю тот реальный адрес которым другой winroute смотрит в инет Для меня это очевидно, но почему я не указываю на каком интерфейсе это адрес? Вдруг winroute думает что этот адрес из внутреннего диапазона IP-адресов?
3. Создаю сертификаты, ввожу fingerprints противоположных концов туннеля... Режим - "активный" и "пассивный". Пробовал в разных сочетаниях - оба в активном режиме, один конец в пассивном... как лучше?
4. Объединение сетей происходит не в интернете, а внутри большой сети предприятия, которая в свою очередь имеет выход в инет через winroute. В моем случае весь трафик внутренний, т.е. реальный инет даже не затрагивается. Поэтому DNS я не настраиваю, а просто ввожу IP-адреса. Может от этого ничего не работает?
5. К этой большой сети предприятия подключены некоторые одиночные машины, которым нужно предоставить доступ во внутреннюю сеть. Доступ буду давать через VPN клиента, и учитывая что winroute сильно тормозит сеть на той машине где он стоит, возникает вопрос - а не будет ли то же самое и с VPN клиентом?




Автор: Vital3912
Дата сообщения: 14.12.2006 04:15
xcode
1.
Цитата:
ЧТО ЭТО ТАКОЕ? Какими должны быть эти адреса?
Адреса должны отличаться от адресов имеющихся сетей.
Цитата:
By default (upon the first start-up after installation), WinRoute automatically selects a free subnet which will be used for VPN. Under usual circumstances, it is not necessary to change the default subnet. After the first change in VPN server settings, the recently used network is used (the automatic detection is not performed again).

Warning: Make sure that the subnet for VPN clients does not collide with any local subnet!

2. Я что-то не понял, а почему указываешь инетовский адрес, если обе подсети в пределах одной сети большого предприятия?
5. Впн клиент, да и сервер в общем-то, что-то не заметил, чтоб сильно тормозили сеть. (Хотя конечно требования могут быть разные...) Может у тебя в Traffic Policy чего не так настроено?

На остальные вопросы трудно что-то сказать, не зная, что конкретно не работает? Сервера друг с другом не соединяются или что?
Автор: Eugen12
Дата сообщения: 15.12.2006 17:16
Привет! Помогите пожалуйста! У меня вот такая проблемма есть компьютер на нем две сетевухи одна в локальную сеть другая на инет на строена на ADSL-модем D-link!
Как мне сделать из этого компа VPN-сервер! стоит WIN XP SP2! Помогите плиззз!
Автор: SHRIKE74
Дата сообщения: 15.12.2006 22:47
xcode
в твоём случае впн не нужен если у тебя сети можно обьединить не через инет, тебе надо просто поставить машинку с винроутом и двумя сетевухами, на одной подсеть одной локалки на другой подсеть другой и просто тупо настраиваешь межсетевой экран

Добавлено:
ставишь винроут и делаешь, если хочешь пиши в аську
Автор: TechnoBoy
Дата сообщения: 19.12.2006 15:46
Есть веб-сервер. Ос Windows Server 2003.
Возможно ли чтоб по я с севера имел доступ в интернету через VPN, но в тоже время чтоб к
серверу был доступ напрямую? А то когда подключаю VPN входящий трафик исчезает.
Автор: Vital3912
Дата сообщения: 21.12.2006 05:07
TechnoBoy
Нужен advanced routing. В винде такой фичи нет вроде (по крайней мере не нашел).
У меня была похожая ситуация - на сервере было 2 подключения к разным провайдерам - выделенка по ethernet и подключение к спутниковому каналу через vpn. И еще сетевуха, смотрящая в свою локальную сеть. Задача была направить получение веб-трафика для клиентов из локалки через спутник (vpn), а весь остальной трафик (почта, фтп и пр.) - получать через выделенку. Кроме этого, через выделенку должны одновременно работать сервисы на самом сервере для входящих соединений из инета - почтовый, веб-сервер и пр.
Решил с помощью traffic inspector. Подойдет и версия 1.1.3.159rc .
Только нужно с настроек внешних интерфейсов убрать шлюз по умолчанию, иначе винде по барабану все метрики , а маршруты прописать ручками:

Цитата:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
vpn-сервер прова 255.255.255.255 ip шлюза выделенки выделенка 1
0.0.0.0 0.0.0.0 ip шлюза выделенки выделенка 1
0.0.0.0 0.0.0.0 нет vpn-интерфейс 20

Маршруты настраивал в "IP-маршрутизация"->"Статические маршруты" из Routing and Remote Access сервера. Ну и потом в Трафик инспекторе указывал какой трафик направлять через какой интерфейс (подробнее см. advanced routing в хелпе от трафик инспектора). Может немного замудрено, но работало нормально.
ПС. Недавно наткнулся на NetCom от www.routix.net , вроде он проще позволяет это решать, правда сам не пробовал. Форум там есть на русском.
Такие дела.
Автор: vfksi
Дата сообщения: 22.12.2006 19:03
Такая проблема у меня!
сначало опишу конигурацию моего компбютера:
WinXPSP2, на компе 2 сетевые:
1- на локальную сеть
2-подключена к ADSL модему.
модем выставлен как бридж. 2-я сетевая настроенна на внутреннюю сеть провайдера (она бесплатна) задан статический адрес 192.168.ххх.хх маска типа 255.255.255.128 и шлюз 192.168.ххх.х На неё роутингом прописанны все ip подсетей провадера. В интернет выход по VPN.


Вот по этой статье создаю входящие подключение _http://vipusers.net/modules.php?name=Content&pa=showpage&pid=443 с компьютера в сети подключаю VPN соединение с моим компьютером... связь есть во внутреннюю сеть провайдера все ходит повсем протоколам (http, ftp...) и играм... но в интернет не хочет выходить хоть убей...

что делать не знаю... нужно именно так сделать соединение... ЮГ ставил и 2.8 и 3 и 4.1
3й так и не смог настроить, 4й все работает, но сам не могу поиграть, например запускаю WoW на ОФФ и при входе на серв подвисает комп.
так что VPN сервер мнея вполне устроит если получится раздать через него инет трафик
Автор: vfksi
Дата сообщения: 23.12.2006 06:31
блин, что никто не сталкивался? у всех PPPoE (с ним в другой сети прокатило)...

мне в принципе не важно может и не VPNом раздать инет... мне считать траф не нужно это комп брата... помогите пожалуйста
Автор: tahen
Дата сообщения: 25.12.2006 12:49
Помогите с решением проблемы!
Есть 2 офиса (центральный с доменом, доп. без домена), хочу подключить в домен компьютеры из доп.офиса не поднимая в нем контроллер домена.
Условия: 2 роутера DLink-804, между ними IPsec-туннель, одна сеть 192.168.1.0/24, вторая 192.168.2.0/24, 1-ый роутер имеет IP 192.168.1.150, второй - 192.168.2.150, в центральном офисе и в доп.офисе подняты WINS, репликация между ними работает, все компы в обоих офисах пингуются и по адресу, и по имени. Проблема возникает при подключении машин в домен и при подключении сетевых дисков(превышен таймаут семафора или сетевое имя более не доступно). Также из доп.офиса захожу на некоторые компьютеры в центральном(типа \\hostname), но при попытке открыть какую-либо расшаренную папку опять проблема.
Может быть кто-нибудь подскажет что предпринять?

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697

Предыдущая тема: Белый-Черный лист


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.