Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» VPN: вся информация в этой теме

Автор: boy31
Дата сообщения: 22.05.2007 16:45
незнаю у кого спросить и где почитать именно про это )

вопрос для вас наверно простой -а я не соображаю )

1. есть локальная сеть 192.168.32.0
2. есть -sorry не знаю как это называется сеть 10.10.10.0 которая функционирует при VPN соединении (в роли сервера VPN - роутер D-Link и он раздает адреса)
так при подключении к VPN серверу я работаю через шлюз 10.10.10.3
LAN на D-Link 192.168.32.15 , WAN - внешний IP
3. есть мой компьютер 192.168.1.0 ip адрес 192.168.1.2 шлюз 192.168.1.1
(на нем настроено стандартными средствами Windows XP соединение с VPN сервером)

теперь -что я хочу понять
какую роль здесь играет сеть 10.10.10.0 , если идет создание тунеля между сетями 192.168.32.0 и 192.168.1.0

где можно почитать конкретно про эту ситуацию
или если кто то здесь прояснит мои мозги -буду очень благодарен

спасибо)
Автор: Connection
Дата сообщения: 22.05.2007 19:41
Гуру, нужна Ваша помощь. Вкратце ситуация.
В наличии:
- Cервер, на котором требуется ведение тех. поддержки через VPN.
- Сервер смотрит в инет через CISCO ASA 5510
- Установлена прога CISCO ASDM 5.0 for ASA
- Та же CISCO объединяет в локалку 5 серверов
- IP везде статические
- На CISCO выделена группа IP для тех, кто коннектится через VPN - у них внешние IP тоже статические.

Теперь вопрос:
Есть ли возможность хотя бы двумя-трумя кликами в проге CISCO ASDM 5.0 for ASA отключить VPN. Имею ввиду чтобы потом так же безболезненно включить, не настраивая заново политики, группы и т.д.
Как я понимаю суппорт идет на сервак через Cisco. Поэтому как вариант смена пароля (Как?)

Спасибо за урок для чайника
Автор: fantome
Дата сообщения: 23.05.2007 08:24
boy31

Цитата:
какую роль здесь играет сеть 10.10.10.0 , если идет создание тунеля между сетями 192.168.32.0 и 192.168.1.0

да, туннель создается между этими подсетями, но в 192.168.32.0 ты попадаешь через 10.10.10.0, так как из этой сети раздаются адреса для компов в VPN-сети.

Цитата:
где можно почитать

например на http://openvpn.net, http://www.opennet.ru
более универсальный совет - спроси у гугла

Connection
а на самой циске задисейблить VPN не с руки??? А то если в проге отключишь, то потом чтоб включить придется ехать к ним... А к циске по ssh спокойно доступ получить можно(зная логин-пароль)...
Автор: Connection
Дата сообщения: 23.05.2007 10:27
fantome
Прошу прощения, выключить механически? То нет такой кнопки. Если через консоль, то ткните носом где почитать
Автор: fantome
Дата сообщения: 23.05.2007 10:34
Connection
выключить в текущей конфигурации...
у тебя

Цитата:
На CISCO выделена группа IP для тех, кто коннектится через VPN - у них внешние IP тоже статические

так вот выключи эту группу... через цисковскую консоль управления...
Автор: boy31
Дата сообщения: 23.05.2007 15:06
fantome
спасибо за ответ

Разрешите вопрос:
ОС - SUSE Linux 10.1 , настраиваю клиента VPN
Необходимо создать тунель между сетями -192.168.1.0 и 192.168.32.0
fantome

Цитата:
да, туннель создается между этими подсетями, но в 192.168.32.0 ты попадаешь через 10.10.10.0, так как из этой сети раздаются адреса для компов в VPN-сети.

видимо так
произведены действия, рекомендуемые в данной статье . Никаких маршрутов пока не прописывалось.

После чего имею:

Цитата:
# pptp-command start setka
Using interface ppp0
Connect: ppp0 <--> /dev/pts/3
CHAP authentication succeeded: S=612B55FCF87F94B9E651ADCBCC438AB9927BCCB8 M=Access granted
Disabling 40-bit MPPE; MS-CHAP LM not supported
MPPE 128-bit stateless compression enabled
local IP address 10.10.10.2
remote IP address 10.10.10.1
Script ?? finished (pid 4873), status = 0x0
Script /etc/ppp/ip-up finished (pid 4888), status = 0x0
All routes added.
Tunnel setka is active on ppp0. IP Address: 10.10.10.2



Цитата:
ip route show
10.10.10.1 dev ppp0 proto kernel scope link src 10.10.10.2
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
169.254.0.0/16 dev eth0 scope link
127.0.0.0/8 dev lo scope link
default via 192.168.1.1 dev eth0


Ping до сети 10.10.10.0 проходит , до сети 192.168.32.0 -не проходит

Повторяю -маршрутов я пока не прописывал

Заранее спасибо за советы как решить ситуацию

Автор: fantome
Дата сообщения: 23.05.2007 15:18
boy31

Цитата:
Ping до сети 10.10.10.0 проходит , до сети 192.168.32.0 -не проходит


так... молодец... через pptp всё настроил - а это уже немало... притом же под суськой...
А теперь тебе надо добавить маршруты на сервере между сетями 10.10.10.0 и 192.168.32.0

Автор: rijk
Дата сообщения: 23.05.2007 15:53
На машине с терминалом создается vpn подключение, при отключении (log out) одного из пользователей происходит отключение VPN, как от этого избавится
Автор: eRs
Дата сообщения: 24.05.2007 02:25
Не получается расшарить инет через VPN с XP , подскажите что сделать?

Ситуация следующая: есть сетка из 3 машин со статическими IP (выдал провайдер со совоей сетки, или это его внутренняя сетка, вобщем неясно, но они все через шлюз (.1 машина каторая стоит где-то у прова) видят инет. Иногда этот инет падает.
Для таких случаев был куплен модем скайлинк. Соответственно инет на одной машине есть, вопрос как его отдать другим 2м машинам?
iCS встроенный не катит, тк IP статические и их менять нельзя.

Я хотел поднять на этом компе VPN сервер. Настроил встоенное в XP соединение на входящие, коннекчусь с другого компа - VPN есть, а инета нет.

Скачал WINGATE VPN - поставил, создал VPN хост, разрешил доступ к нему для evryone - звоню с другого компа - вообще не пускает.

Я б поставил обычную проксю - но нужно чтоб почта забиралась. Можно конечно поставить socks5 и настроить маппинг для BATа. но это как-то криво.

Можно ли вообще запустить VPN поверх локалки и расшарить в него инет? чтоб хоть ручками можно было запускать когда обычный падает?

или проще всего воткнуть в тачку 2 сетевухи, сделать ее шлюзом и через винроут какой-нить расшарить оба соединения сразу?
Автор: fantome
Дата сообщения: 24.05.2007 09:00
eRs

Цитата:
Я хотел поднять на этом компе VPN сервер. Настроил встоенное в XP соединение на входящие, коннекчусь с другого компа - VPN есть, а инета нет.

так помимо настройки VPN'а надо еще и маршрутизацию настраивать... А если три компа находяться рядом, то попробуй просто шаринг подключения к интернет в ХР...
Автор: eRs
Дата сообщения: 24.05.2007 09:25
Я же писал - ICS не вариант - она предлагает сделать первую машину 192.168.0.1 а остальным раздать по DHCP. А у меня IP статические и я их поменять не могу(выданы сверху провом).

А как настроить маршрутизацию стандартными средствами винды, если каждый раз она наверняка разный IP лепит себе на VPN? так IP у компов 10.10.15.220 221 222 .... из настроек только стандартный фаервол в котором стоит ограничение что netbios только для этих машин и все.
Автор: fantome
Дата сообщения: 24.05.2007 11:07
eRs
жаль, что под XP нельзя создать pptp-сервер...

Но можно поставить OpenVPN и через него подключаться к машине с инетом... А на машине с инетом запустить сервер OpenVPN и настроить маршрутизацию...

почитать про это мона здесь - http://openvpn.net и http://openvpn.se
Автор: boy31
Дата сообщения: 24.05.2007 20:54
я уже запутался

какую я могу дать команду чтобы у меня перезаписался GATEWAY
то есть у меня
Цитата:
# ip route show
10.10.10.1 dev ppp0 proto kernel scope link src 10.10.10.3
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
169.254.0.0/16 dev eth0 scope link
127.0.0.0/8 dev lo scope link
default via 192.168.1.1 dev eth0


нужно чтобы при создании VPN сединения шлюз менялся на 10.10.10.3 ?
как это можно сделать?

полагаю, что причина
Цитата:
Ping до сети 10.10.10.0 проходит , до сети 192.168.32.0 -не проходит

именно в этом

ибо из под Windows XP все прекрасно работает - но в таблице маршрутов там
Цитата:
Основной шлюз: 10.10.10.3

шлюз в Windows XP меняется автоматически при создании VPN тунеля
а в Linux у меня VPN соединение есть - но шлюз остается

Цитата:
default via 192.168.1.1 dev eth0


help me

Автор: fantome
Дата сообщения: 25.05.2007 08:19
boy31

Цитата:
ибо из под Windows XP все прекрасно работает - но в таблице маршрутов там


в ХР при pptp подключении динамически изменяется таблица маршрутизации. Т.е. при подключении у тебя ставиться маршрут на другой шлюз, а при отключении восстанавливается преждний...
Всё дело в параметрах конфига для подключения... надо топтать маны...
Автор: Ritzz
Дата сообщения: 28.05.2007 12:49
Такая проблема:
Корпоративка, на PIX поднят VPN. В пуле адресов указана маска 255.255.255.224.
Однако, при подключении интерфейсу клиента присваивается адрес с маской 255.255.255.255, и на клиенте автоматом прописывается маршрут 10.0.0.0 255.0.0.0 с гейтвеем на адрес виртуального интерфейса, соответственно любые пакеты валятся на PIX. При ручной правке маршрутов все работает, но пользователи без админских прав, поэтому скрипт для правки таблицы маршрутизации на рабочей станции - не выход (.

Есть ли возможность реализовать внесение корректного маршрута на рабочую станцию по маске 224?
Автор: FigPig
Дата сообщения: 29.05.2007 06:16
Хай олл!

Поднял компе с выходом в инет Kerio VPN Сервер, на нем могу натсроить любую конфигурацию.
С помощью Kerio VPN клиент, создается соединение. НО только не с моей работы ибо здесь у меня перекрыт протокол UDP.

Есть ли в Kerio VPN возможность поднять VPN-соединение средствами только TCP?
Автор: fantome
Дата сообщения: 29.05.2007 08:44
FigPig
в настройках VPN должен быть пункт выбора протокола транспортного уровня. Смотрите внимательней.
плюс чтение документации... У меня дока где то валялась - как доберусь до неё - скажу, что и где....
Автор: FigPig
Дата сообщения: 29.05.2007 08:54
fantome

Искал тщательно
Нашел только переопределение порта.
Надеялся найти что-то в конфигурационных файлах - безуспешно
В доках тоже про это не упоминается.
Автор: NErOnski
Дата сообщения: 31.05.2007 13:40
ipmanyak

Все как ты и написал. Поэтому я решил не городить огород, убрал Dialup.
Но возникла другая проблемма: не могу с WinXP SP2 соединиться через L2TP.
С PDA (Win 5) соединяюсь без проблем. Сертификаты не использую, использую ключ.
Подскажи неграмотному.
З.Ы. Нужно использовать только L2TP, наш провайдер GSM категорически на этом настаивает.
Автор: boy31
Дата сообщения: 02.06.2007 18:04
2 ALL : глупый вопрос

как у вас происходит тестирование сервера VPN
ведь клиент должен быть с WAN (так же как и сервер)
как это смоделировать в локалке -не соображу )

например -если нет нескольких WAN (а такая ситуация у многих) -каким образом проверить работает ли сервер VPN ? ведь надо откуда то подключиться клиентом
а откуда если не из локалки
Автор: DieAleX
Дата сообщения: 06.06.2007 15:51
поиогите плиз

нифига не понятно

настраиваю впн сервер и remote desktop на win2003 server с
поднятым AD. два интрефейса. один 192.168.0.1
второй статический в инет

все вроде сделал как в инструкциях, убрал фаервол который на
инет интерфейсе.сервак пингуется извне.

из локалки могу зайти и впн-ом и ремоут десктопом.
впн присваивает нормально адрес 192.168.1.2

но вот извне не могу зайти никак.
пишет что сервака нет
ремоут десктоп тоже не коннектится

даже radmin не подсоединяется

че делать?

фаерволов вроде нету. извне пингуется
Автор: fantome
Дата сообщения: 06.06.2007 15:55
DieAleX
а службам указал, чтоб они слушали на обоих интерфейсах?
Автор: DieAleX
Дата сообщения: 06.06.2007 16:05
fantome
а где?
Автор: fantome
Дата сообщения: 06.06.2007 16:52
DieAleX
это в настройках должно быть...
Автор: PavelKhvalov
Дата сообщения: 06.06.2007 17:59
подскажите может кто знает универсальный vpn клиент. так что бы мог дозваниваться до железяк типа zywall d-link linksys и до виндошного RRAS
кто нить пробовал SSH Sentinel может ли она завязаться на обычную винду или она работает тока по vpn ipsec
Автор: DieAleX
Дата сообщения: 08.06.2007 11:50
fantome

ничего так такого не нашел?

может еще какенить предположения?

почему радмин внутри сетки работает а извне не залезть никак?
Автор: fantome
Дата сообщения: 08.06.2007 13:36
DieAleX

Цитата:
почему радмин внутри сетки работает а извне не залезть никак?

потому что все сетевые программы слушают на том интерфейсе, на котором им сказали слушать...


Цитата:
из локалки могу зайти и впн-ом и ремоут десктопом.
впн присваивает нормально адрес 192.168.1.2

но вот извне не могу зайти никак.
пишет что сервака нет
ремоут десктоп тоже не коннектится

даже radmin не подсоединяется

че делать?

фаерволов вроде нету. извне пингуется


сервак пингуется - так это так и должно быть.... значит инетовский интерфейс сервера виден снаружи.... Теперь надо только все необходимые приложения настроить так, чтоб они слушали и на инеторском интерфейсе...

У меня ща под рукой нет работающего 2003 сервера... так что точно сказать где это прописывать не могу... помню только, что для PPTP там такое точно есть в настройках Remote Access в панели администратора...
Автор: valhalla
Дата сообщения: 08.06.2007 15:33
А у кого есть опыт работы с RDP через VPN?
Планирую использовать rdesktop для коннекта к Windows 2003. Туннель - Openvpn. В случае tcp для openvpn - ощутимые тормоза, в случае udp - почти нет, но чувствуется немного, если сравнить с работой без vpn. Может где с размером пакетов поиграться?
Автор: fantome
Дата сообщения: 09.06.2007 08:47
valhalla

Цитата:
В случае tcp для openvpn - ощутимые тормоза, в случае udp - почти нет

Это из-за разницы в самих этих протоколах... При использовании openvpn не обязательно использовать TCP. Все нормально будет и с UDP. TCP - это протокол с гарантированной доставкой пакетов. Но в openvpn есть и свои средства контроля за доставленными пакетами - посему получается масло масленное...

Цитата:
Может где с размером пакетов поиграться?

размер пакетов здесь ни при чём...
Автор: mistik26
Дата сообщения: 09.06.2007 22:38
Ситуация такая есть сервер OpenBSD на нем установлен vpn server poptop.При подключении
все просто замечательно подключаюсь и все службы находящиеся на данном сервере доступны по локалным адресам .проблема в том что нету нету возможности выйти за пределы сервера ,в локальную сеть.заранее благодарен за помощь.

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697

Предыдущая тема: Белый-Черный лист


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.