» VPN: вся информация в этой теме

yahan2

Цитата:

DD-WRT

падает каждые 45 дней примерно
часто отваливаеться http и нужно заходить через https
сложный роутинг настраиваться только с бубном
бакапы подходят только к конкретной модели от конкретной модели
то есть ты не можешь с buffalo 56 залить бакап на buffalo на 125
пару раз софт-ресетились сами по себе (просто бац и конфиг в ноль)
вопщем у меня таких 6ть и они мне не нравяться работают конечно 100 человек держат
но не нравяться
так что как хочешь уламывай руководство на mikrotik
однако не забывай что если у тебя более 50ти пользователей то тебе нужен только level6 лицензия (то есть начиная с Rb1100 аппаратуры)
в любом случае внимательно читай их лицензии потому что апгрейднуть ты не сможешь (придеться покупать полностью новую лицензию)
+ там какие выплаты по смене и куча других тонких моментов
так что перед установкой очень внимательно лучше этот вопрос изучить

Цитата:

так что как хочешь уламывай руководство на mikrotik

С этим проблем нет. Приоритет №1 стабильность работы и устойчивость ко взломам извне, Интернет как-никак

Кроме mikrotik есть еще, что интересное посмотреть из vpn-роутеров?

reff
Цитата:

Вы преувеличиваете масштаб трагедии

Просто на тот же корч при необходимости вешается куча вкусности, типа proxy и пр...
yahan2
Linksys еще можешь глянуть - дёшево и сердито. Домой приду модельку скажу на 4 LAN порта.

Alukardd
Как-то имел дело с VoIP шлюзом от Линксиса. 3 раза без особых причин он переставал работать. Смотришь конфиг - все нормально, сбрасываешь в заводские настраиваешь по новой - работает. В общем, впечатления о Linksys остались не очень. Какой-то он капризный и настройка исключительно через Web-морду.

Надеюсь, что с роутерами у него не так

yahan2
Наверное, Вам следует купить Циско.

reff
Собственно так и стараюсь делать, но не везде Циска уместна.
Например, связь надо делать через 3G. Если роутер Cisco, то к нему надо в довесок докупать 3G модем с Ethernet-портом - еще та экзотика.
Или, например, офис подключен через провайдера, который не дает белых IP, то при проброске через NAT IPSEC, рискуешь нарваться на долгое, нудное и регулярное общение с провайдером и доказывать, что кроме TCP и UDP есть другие протоколы, которые надо натить.

В общем, IMHO, для таких экзотических случаев лучше использовать что-то другое для VPN.
А в качестве VPN-протокола использовать не IPSEC и PPTP, а что-то другое, что использует вездесущие протоколы TCP и UDP.

yahan2
Цитата:

А в качестве VPN-протокола использовать не IPSEC и PPTP, а что-то другое, что использует вездесущие протоколы TCP и UDP.

У циски есть отличная вещь, называется WebVPN. Устанавливает SSL TCP соединение на стандартный 443 порт, который, как правило, всюду открыт. Работает даже из под двойного НАТа, AnyConnect Client имеется почти для всех платформ (Windows x32-x64, Linux, MacOS).

Цитата:

Например, связь надо делать через 3G. Если роутер Cisco, то к нему надо в довесок докупать 3G модем с Ethernet-портом

Cвязь через 3G будет устанавливать клиент, через провайдера 3G. Вы таким провайдером все равно не будете. А для удаленного большого филиала, где имеет смысл ставить одну на всех циску, всегда можно найти нормального провайдера. Если в медвежьем углу, где доступ возможен только через 3G, будет работать 2-3 человека, проще купить им юсб-свистки с 3G и не заморачиваться.

vlary
WebVPN - штука интересная, а можно как-то сделать так, чтобы клиентское подключение SSL VPN делал роутер, а не рабочие станции? Надо для обеспечения работы всяким IP-девайсам в офисе, на которые WebVPN клиента не поставишь.

yahan2

Цитата:

можно как-то сделать так, чтобы клиентское подключение SSL VPN делал роутер

Нет, это только для клиентов. Для секурной связи между роутерами используется IPSEC.

Кто-нибудь сталкивался с настройкой Time Capsule для работы с VPN?
Поделитесь опытом, плз.

Друзья, вопрос на засыпку. Как мне настроить VPN подключение с помощью сертификата на IPAD ? С обычного компа я всё настроил, нет проблем, захожу. На клиенте vpn устанавливаю уже приготовленный сертификат и усё работает. Вообщем всё настроено, только на ipad не могу понять как загнать сертификат и как всё это настроить с антификаций с сертификатом. Кто поможет разъяснить?
Или направит на статью.

tgrisha,
в Сидии есть шароварный гуй для openVPN, называется GuizmOVPN.
Сертификат загоняется через веб-сервер, на сайте подробная инструкция.
Если получится настроить, отпишитесь.

Pob спасибо, я отпишусь. Уже установил на ipad. Но не пробовал ещё, заметил, что пароли будут хранится в файле на ipad, так же как и сам сертификат, которые легко скопировать. Это не допустимо! В windows там экспорт сертификата можно запретить, а аунтентификацию вручную всегда вводить. Это и есть безопасность. Если это именно так в этой проге, а скорей всего так, то это не безопасно.

tgrisha Вы собираетесь свой ipad бросать где попало, чтобы сертификат было легко скопировать? К тому же, никто не мешает вам защитить сертификат паролем.

У меня ни хрена не получается, что то я не допонимаю. в Windows всё просто, в ipad что то нужно ещё, а что я не понимаю как это сделать. У меня есть подготовленный экспортируемых сертификат в формате vpn-client.pfx в котором содержаться все нужные сертификаты для клиента. Я добавляю, делаю импорт в любой windows этот сертификат с ключом безопасности в личную папку сертификатов компьютера и после этого экспортирую корневой ключ сервера сертификатов и опять же импортирую в доверенные корневые сертификаты для этого компьютера. Всё. После этого я содединяюсь по ip адресу к серверу на котором стоит ISA сервер, соединяюсь по L2TP/IPSEC VPN протоколу с поддержкой сертификата. С клиента windows всё получается и я захожу. А в программе на ipad GuizmOVPN не получается, пишет, что нет коннекта к серверу. Что я указываю не так? Во-первых, какие сертификаты мне нужно туда положить, ведь у меня есть сертификат в формате pfx для Windows, и их два, один корневой доверенный сервера сертификатов, другой чисто для клинета. Причём если экспортировать в формате crf, то можно экспортировать только без ключа безопаности, а с ключом только в формате pfx.
Во-вторых, по какому порту мне связываться с VPN сервером в GuizmOVPN? В Windows это ни где не написано. На ISA сервере, там всё открывается автоматически. Через Windows я нормально работаю. Через GuizmOVPN не могу понять, что там нужно писать, какой порт, всё перебробовал, пишет, что TLS Error: check your network connectivity. пробовал разные порты и 1701 UDP, тоже самое.

tgrisha L2TP VPN использует порты 1701/TCP, 1701/UDP. Для IPSEC нужен UDP port 500 (IKE), UDP port 4500 (NAT-T). И должен быть разрешен IP protocol (не порт!) 50 (ESP)
Коль скоро с виндовыми/линуксовыми клиентами у тебя все пучком, то вопрос твой явно не сюда, а в техподдержку или форум Надкусана.

Так я пропиваясь этот порт 1701, пропиваясь и 500, ерунда получается, нет соединения с серверов ISA , не может законнектиться. Видимо openVPN используется с другими портами, а зачем мне открывать ещё какие либо порты, у меня на виндовых клиентах всё отлично работает. Вопрос встал как с iPad по VPN С СЕРТИФИКАТАМИ СОЕДИНИТЬСЯ НЕ МЕНЯЯ НИЧЕГО В НАСТРОЙКАХ ISA. В форуме этой проги там всё на английском. Может кто подключался с iPad подскажет чего я делаю не так.

tgrisha Ты таки определись, у тебя L2TP/IPSEC или openVPN? Это две большие разницы.
openVPN может работать по TCP либо UDP, и использовать любой порт, назначенный администратором.

tgrisha
ios не работает с л2тп с сертификатами, только пск. guizmovpn - клиент для опенвпн а не для л2тп-ипсек. для л2тп нужно использовать встроенный клиент

Здравствуйте, имеется вот такая вот схема
в здании А существует своя корпоративная сеть Интранет без доступа в инет, у каждого компьютера там ип в виде 10.х.х.х, так вот они выделили нашему компьютеру один айпи 10.26.1.4, вот только компьютер этот нужно подключить в другом здании, купили два впн маршрутизатора, в здании А маршрутизатор втыкаем в лан , WAN втыкаме в модем с интернетом.
Вроде разобрался как делать впн линию, вот только маршрутизатору нужно задать айпишники из той же подсети которую буду пробрасывать, но я не могу задать маршрутизатору ни один айпи из сети 10.х.х.х, они все заняты.

подскажите пожалуйста какие айпи задать на LAN чтоб все получилось ? и что нужно писать в роуте для маршрутизатора.

elvaleto
Цитата:

но я не могу задать маршрутизатору ни один айпи из сети 10.х.х.х, они все заняты.

Заняли все пространство адресов 10.х.х.х? Все 16 777 214 штук? У вас что, трансконтинетальная корпорация?

Коллеги... что-то я не могу понять... как можно ограничить пользователя VPN одним сеансом... Win2008 + TMG + Routing and remote access

Добавлено:
LimitLogin не предлагать... не катит

Цитата:

elvaleto
Цитата:
но я не могу задать маршрутизатору ни один айпи из сети 10.х.х.х, они все заняты.
Заняли все пространство адресов 10.х.х.х? Все 16 777 214 штук? У вас что, трансконтинетальная корпорация?

скажем юридически заняты, в общем не могу.

elvaleto для начала скажите реальную ip сеть и маску сети в здании А, хотя бы сколько там хостов реально есть? Дапее будем думать.
Цитата:

скажем юридически заняты, в общем не могу.

Фраза ни о чем.
По вашей схеме туннель или мост 192.168.1.1 и 192.168.0.1 - это нонсенс или опечатка, такого не может быть, хосты должны быть в одной сети. Сети соединяемые по впн должны быть разные. Тот есть они не могут быть в одной и той же сети. если у вас в здании А , как вы говорите занята вся сеть 10.x.x.x. ( в чем я очень сомневаюсь), то есть 10.0.0.0./8 , то в здании Б вы должны юзать совсем другую сеть , например из диапазона 172.16.x.x. Что за модемы кстати, в каком они режиме?
уточните ip адресацию в здании А, сеть и маску, потом поговорим.

elvaleto LAN интерфейсу DI-804 должен быть задан адрес из локальной сети 10.26.1.0. Так что решай юридические вопросы. Это все же проще, чем нарушать физические законы.

[q][/q]
модемы в режиме роутеров работают, 192.168.0.1, 192.168.1.1 это айпи модемов а не тунеля. мне не нужно соединять два здания тунелем, мне нужно только один единственный компьютер соединить тунелем.

кстати в части моего вопроса, нашел одну интересную статью http://blogs.technet.com/b/rrasblog/archive/2007/12/20/steps-to-develop-a-ras-administration-dll-using-visual-studio.aspx

Приветствую. Есть WinServer 2003. На сервере три подключения 1) смотрит в нашу сеть - IP 10.1.2.1 2) в сеть провайдера - IP через DHCP. 3) VPN для получения интернета от провайдера. Хотим настроить на сервере VPN сервер. Разобрался как это сделать если бы было просто две сетевухи, а вот как сделать если инет поднимается через VPN не могу. Подскажите.

poproekt
а в чём именно сложность то? поднимайте RRAS, говорите ему чтобы слухал клиентов на интерфейсе оный в инторнеты глядит, объясняйте как ip выдавать (диапазон или например DHCP c такого-то интерфейса) ... всё...

нарисовал как мог ))
на прокси сервере канал нормально соединяется с роутером (Kerio VPN Client) и нормально подключается к удаленному рабочему столу терминального сервера.
можно ли подключится к терминалу с компьютера 192.168.1.10 ?
прокси сервер обычная раб станция WinXP+3proxy