» VPN: вся информация в этой теме

помогите, плиз с такой проблемой...
есть домен, рутер на isa 2006, впн клиенты не в домене. При попытке зайти на какую-нть шару типа \\192.168.3.10\pub запрашивает доменный логин, но никакой не аторизуется, ни юзерский ни админский... Ставил аудит доступа к объекту, в логе нет ни success ни failure ;( как бы вообще не пытается авторизоваться Список шар везде показывает нормально, а вот зайти... ж( права everyone'у стоят и доменным юзерам

подскажите где копать ?

Доброго времени суток!
Имеется проблема: необходимо поднять vpn на 2003 сервере и клиентах этого сервера на ХР.
Вроде бы тривиально, но этот vpn должен полностью работать по gsm. Для этого у оператора получены белые ip адреса, настроен dyndns, настроены модемы и подключения к gsm.
И вот тут возникает проблема : при конфигурировании сервера мастер в качестве основы для vpn соединения предлагает сетевую карту или 1394. А имеющееся gsm соединение (работающее в это время) игнорирует, т.к. оно отсутствует в списке возможных(((.
(при тестовой настройке в локальной сети все проходит если выбрать в качестве основы сетевую карту, т.е. ошибок при "нормальном" конфигурировании нет, но нам то нужно не по сетке гнать информацию а по gsm...)
Машины под ХР в свою очередь уже настроены на dns имя выданное dyndns, проблема только в том, как обмануть в этой ситуации мастер.
Натолкните на мысль...)))

Настроил VPN сервер на базе WinXP Professional SP2, создал пользователей и права к ним, а клиент подключиться не может. Система выдает такое:
"Cистеме Windows не удалось подключиться к сети, используя предоставленные имя пользователя и пароль"
Не подскажите в чем дело?
Создал клиента у себя на сервере также и тоже не получается подключиться. Та же самая ошибка.
Клиент использует подключение к Интернету через ADSL, а сервер через локальную сеть (используя трансляцию NAT). При этом у сервера реальный IP есть.

Ребята, помогите с решением следующей задачи.
Есть два офиса в городе. В каждом офисе в качестве шлюза стоит контроллер домена W2k server (не ругать, так было). У них по две сетвухи. Одна смотрит внутрь, а на второй по pppoe раздаётся инет от провайдера. ADSL модемы настроены в качестве бриджа. Встала задача передавать трафик между офисами. Провайдер выделил VLAN. Я включил на внешних сетевухах (на которых поднят pppoe) протокол TCP/IP и выставил статические адреса 192.168.100.1 на одной и 192.168.100.2 на другой. Теперь думаю поднять тунель IPSec между шлюзами. Но проблема в том, что ещё есть два компьютера с WinXP в городе, включенные по ADSL от этого же провайдера и включенные в этот VLAN. Статические адреса на них 192.168.100.3 и 192.168.100.4. И если я настрою IPSec тунель между шлюзами офисов, то получается что я не смогу цепляться с этих машин по VPN к этим двум шлюзам , так как прочитал в статье http://www.networkdoc.ru/windows-2000/nastroyka-tunnelirovaniya-ipsec-v-windows-2000.html



Цитата:

IPSec-туннелирование в Windows 2000 не поддерживает удаленного подключения клиентов по VPN, потому что существующие на данный момент спецификации RFC IPSec проблемной группы проектирования Интернета (IETF) не предлагают механизма удаленного доступа в протоколе IKE (Internet Key Exchange) для подключений типа «клиент-шлюз».

Правильно ли я понимаю, что в данном случае для организации шифрации трафика между всеми точками необходимо поднимать IPSec в транспортном режиме и групповой политикой распространить на всех клиентов домена? Но мне то надо шифровать только внешний трафик (между точками VLANа).

Может кто подскажет, как грамотнее реализовать эту задачу?

ATS2000, не раскроете вот этот момент:

Цитата:

Я включил на внешних сетевухах (на которых поднят pppoe) протокол TCP/IP и выставил статические адреса 192.168.100.1 на одной и 192.168.100.2 на другой.

а то нигде инфы на этот счёт нет. Как вы добились, что внешние ИП-адреса присваивались сетевым картам, а не PPPoE-соединению?

Транспортный IPSec можно настроить для отдельного OU через GP. Но мне кажется ничто не мешает организовать межсайтовое подключение через L2TP/IPSec и удалённое подключение по той же схеме.

Добавлено:

Цитата:

IPSec-туннелирование в Windows 2000 не поддерживает удаленного подключения клиентов по VPN, потому что существующие на данный момент спецификации RFC IPSec проблемной группы проектирования Интернета (IETF) не предлагают механизма удаленного доступа в протоколе IKE (Internet Key Exchange) для подключений типа «клиент-шлюз».

Туфта, кстати, написана. У меня удалённые клиенты подключены как раз через L2TP/IPSec. И никаких проблем. Единственная условная проблема была загнать VPN-сервак за NAT, но это легко решилось.

Коллеги, прошу помощи, не знаю в какую сторону копнуть.
Работает на Windows 2003 SP2 VPN сервер в связке с ISA 2006, клиенты 2 удаленных филиалов подключаются к нему без проблем.
Есть 3-й филиал, где имеется 2 компьютера. К сожалению, точно не владею информацией какое подключение используют (вероятно ADSL). Проблема в том, что эти 2 клиента не могут одновременно подключиться по VPN (PPTP). Один клиент подключается, у второго - Ошибка 721.
В логах сервера было:
Eveint ID: 20209
A connection between the VPN server and the VPN client xxx.xxx.110.9 has been established, but the VPN connection cannot be completed. The most common cause for this is that a firewall or router between the VPN server and the VPN client is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47). Verify that the firewalls and routers between your VPN server and the Internet allow GRE packets. Make sure the firewalls and routers on the user's network are also configured to allow GRE packets. If the problem persists, have the user contact the Internet service provider (ISP) to determine whether the ISP might be blocking GRE packets.

Добавил протокол GRE (Protocol 47 ), в логах сервера при подключении второго клиента:
Event ID: 20049
The user connected to port VPN5-94 has been disconnected because the authentication process did not complete within the required amount of time.

Подскажите, пожалуйста, как решить проблему.

yorik
Это нормально. Такая реализация NAT на их ADSL-модеме. Если есть возможность, подними усебя еще один ip и пускай "второго" клиента туда.

Какие выбрать железки для создания VPN? (nonCISCO)
Используем лицензионное ПО.
Нужно чтобы пользователи в количестве 2-4 компов из филиала юзали 1с через терминал. Т.к. Ставить ISA для таких целей дорого, подскажите на каких железках можно построить ВПН-канал между офисом и филиалом. Слышал что можно на D-Linkах. Тогда помогите определиться с выбором модели D-Link.

D-Link DFL210 (цена около 7000 рублей).Аппартный файерволл, впн сервер. Если более конкретно схему сети в студию. У меня 3 филиала ходят в центр по терминалу, это около 15 человек.

У меня windows XP
Запускаю мастер, => "подключение к сети на рабочем месте"

но дальше нет активных пуктов.
Что нужно запустить, что бы их активировать?

vicwanderer
причём тут ISA, для VPN хватит и RRAS. ISA совершенно ни к чему.

Evgeniy147
D-Link DFL210 медленная и дырявая лажа, как и всё от Д-Линка.

Ruppert
Не скажи! Медленная по сравнению с чем и на какой нагрузке? Корявая нет, только требует понимания того, что делаешь, и понимания правил маршрутизации.

Evgeniy147
Медленнее чем обычный комп за такую же цену. И куда скуднее, чем обычный стародавний третий пень с уставноленной OpenBSD+PF+mpd.

I)
Evgeniy147,
"Если более конкретно схему сети в студию"

Схема Офиса:
Lan--->ISA--->Internet
Схема Филиала:
4 компа--->VPN--->ISA(Офиса)

Как видно из схемы Филиалу нужно и ВПН-сервер и файервол. Офису хватит просто ВПН сервера (в офисе есть ISA). В Филиале ещё не определились будет серверная ОС или нет. Вполне возможно что в Филиале все 4 компа будут WinXP.

Ruppert,
В Филиале ещё не определились будет серверная ОС или нет. Вполне возможно что в Филиале все 4 компа будут WinXP. К тому же нужен файервол.

"D-Link DFL210 медленная и дырявая лажа" - поясни.
Читаю на сайте D-Link : "Производительность D-Link DFL210
Производительность межсетевого экрана 80 Мбит/с
Производительность VPN 25 Мбит/с
Количество параллельных сессий 12 000
Количество правил 500 "
Такой скорости канала мне хватит с головой. Или на сайте написана неправда?
Насчёт "...дырявая..." тоже разъясни пожалуйста.

II)
Как организуется безопасность VPN соединения на железках (D-Linkах)? Н-р в Windows или ISA она организуется посредством паролей/сертификатов.

vicwanderer
В центральном офисе, где крутиться серверная часть 1С, на одном из серваков с Win 2003 поднимается RRAS-сервер. После довольно несложной настройки такая схема позволит подключать клиентов и по L2TP/IPSec (на основе сертификатов компьютеров) или PPTP (на основе паролей пользователей, либо сертификатов компьютеров/пользователей). Клиенты VPN есть в WinXP. Зачем в данном случае посредник, тем более в виде такого хлама как Д-Линк, не понятно. Если хотите нормальное аппаратное решение, то, во-первых, оно вам не нужно, а, во-вторых, без Cisco не обойдётесь. Можно разработать свою схему на *nix, но, судя по вашим вопросам, это будет слишком хлопотно.
Если хотите использовать схему с "аппаратным" шифрующим маршрутизатором, то всё равно нужно будет IAS поднимать, чтоб аутентификацию пользователей домена реализовать.
Ни в одном из описанных случаев файрвол не является необходимым, достаточно и простецкого фильтра пакетов, встроенного в Win.
По взлому оборудования D-Link полно инфы в сети. Концепция Д-Линк похоже брать не качеством, а количеством. Хотя выбирать вам.

Пробовал подключить D-Link VPN клиент с 30-ти дневной лицензией к DFL800 по IPSec.
Всё как указано в руководсте.
Соединение устанавливает, но трафик идёт только исходящий. На вход ничего не поступает.
Если кто успешно подключал - просьба поделиться.

Ruppert
Может и мне подскажете.
Необходимо организовать VPN с доступом к 1С.
Но доступ в интернет очень хитрый:
Интернет - Cisco 2821 - Cisco PIX - WinGate - Домен
На чем лучше поднимать VPN?

Ruppert, "В центральном офисе...Клиенты VPN есть в WinXP". Согласен так можно.

"По взлому оборудования D-Link полно инфы в сети" нагуглить не удалось. Может дадите 5-10 ссылок?

Ветка эта для админов, посему заранее извиняюсь за уровень вопроса:
соединил два компа по ВПН, вроде как далее по всем описаниям "теперь можно работать как в обычной сети".
Но что-то не получается ни в сетевое окружение добавить расшаренные папки с этих компов, ни прокси соединение установить (один комп - клиент другой сервер).
Рабочие группы у компов разные.
Как организовать "обычную сеть" в рамках созданного ВПН?

Друзья возможно ли иметь интернет и VPN работающими одновремено при условии, что VPN создается с помощью Cisco VPN Client (Transport IPSec/UDP) Постоянное переключение уже задолбало! Заранее спасибо!

PhoenixUA
Понимаете, всё дело в том, на каком уровне вы хотите организовать само подключение. Наиболее удачное и беспроблемное решение это абсолютно независимый от прикладного слой, задача которого будет только обеспечивать транспорт для вышележащих и никак от них не зависеть (т.е. будет иметь собственных независимый механизм опозновательных протоколов, собственную база пользователей и так далее). Это схема на "аппаратных" шифрующих маршрутизаторах на всех точках сети. Решение получается довольно дорогое, но универсальное и практически не требующее обслуги (если и требует, то запросто выводится на аутсорсинг).
То, что вы описали вызывает куда больше вопросов, чем ответов. Нафига Вингейт в этом огороде? Какую функцию он выполняет? Типа, "мы не знаем чего с этим Пиксом делать, ничего не знает о маршрутизаторах и не умеем с ними работать, а давайте поставим Вингейт", дело так обстоит?

vicwanderer
Это не блэкхэт-форум. Такие просьбы обращаете к кому-нибудь другому.

Ruppert

Цитата:

То, что вы описали вызывает куда больше вопросов, чем ответов.

Полностью согласен.

Цитата:

Нафига Вингейт в этом огороде? Какую функцию он выполняет?

Прокси, SMTP-шлюз.

Цитата:

мы не знаем чего с этим Пиксом делать

Если честно, то да
Железка стоит давно, человек, который настраивал, уволился еще до моего прихода...


Цитата:

схема на "аппаратных" шифрующих маршрутизаторах на всех точках сети

Не тот вариант, необходимо подключать отдельных пользователей.

Цитата:

Может и мне подскажете.
Необходимо организовать VPN с доступом к 1С.
Но доступ в интернет очень хитрый:
Интернет - Cisco 2821 - Cisco PIX - WinGate - Домен
На чем лучше поднимать VPN?

Можно на 28 или на пиксе - без разницы.
В обход WinGate, т.к. пикс аппаратный файрвол, а на 28 имеется программный.

vboric
Пикс и нафаршированная 28-ка дублируют частично функциональность.
Кстати, как вы себе представляете "аппаратный" файрвол? Интересно

PhoenixUA
У вас, похоже, есть всё что нужно. Уберите нафиг это убожество в виде вингейт и разберитесь, какие сервисы предоставляют Пикс и 28-ка. Возможно там уже есть модули прокси-серверов для различных протоколов, если нет, то озаботьтесь возможностью апгрейта. Но вингейт однозначно нафиг.
Далее вам просто надо будет поставить Cisco-вые VPN-клиенты на удалённые компы и разобраться в схеме подключения. У вас почти идеальный случай.

Ruppert
Убрать WinGate нельзя. Он еще и отграничивает нас от одной нашей структуры.
А между 2821 и PIX висят две другие родственные организации...
Более того, по одному шнурку с 2821 идет два канала - один - интернет, второй - внутренняя сеть одной из родственных организаций в другой город.
Тут не только поллитра, тут и полведра не хватит, чтобы разобраться...

Здравствуйте Уважаемые!
Подскажите как решить такую проблему: есть комп1 с winxp с двумя интерфейсами, один смотрит в нет 192.168.2.ххх, второй в локалку 192.168.0.ххх. через traffic inspektor локалка получает инет. также стоит еще vpn соединение 192.168.1.ххх с другой локалкой? Как мне обеспечить доступ моей локалки к локалке за vpn. с комп1 локалку видно в обе стороны и моя и за vpn.

Может ли кто-нибудь помочь в следующем вопросе? Имеется два бука. Настроил между ними Wi-Fi соединение. Один из буков получает нет по внутренней сетки, можно ли настроить нет на втором буке?

hamann311
Попробуйте использовать, например, "встроенное" средство ICS (internet connection sharing). Имхо, ВПН тут не при чем.

Ребята, а кто сможет настроить мне VPN, есно за денюжку? Вкратце объясню в чем дело. Сeйчас VPN работает, но криво, ни сохраниться с удаленного доступа не могу, ни отправить на печать на свою машину не могу. И вдобавок утерян пароль к серваку. Вообщем тот мастер, который настраивал, сказал, что нужно физически подключать клаву к серваку и полностью перенастраивать. Кто возьмется? Вопросы по тел. 8-926-36971-52, звоните.

Помогите пожалуйста.
Ситуация следующая. VPN сервер на ISA2006 по PPTP все работает без проблем по L2TP по предварительному ключу с каких то WinXP работает с каких то нет (в т.ч. и на моем компьютере). Где в WinXP нужно поковырять что бы вернуть настройки подключения по L2TP в девственное состояние переустанавливать такое количество машин нет ни желания ни времени.