» VPN: вся информация в этой теме

83369 Нетбиос привязан только к реальному интерфейсу. Что сервера, что клиента. Когда ты будешь пытаться коннектиться с сервером, то должен коннектиться к айпи 192.168.150.10, а не к 192.168.5.111, на нем нетбиоса нет! Соответственно, у тебя должен на клиенте быть путь к сети 192.168.150.0 через 192.168.5.111. По идее, сервер должен сам его клиенту пропихнуть.
Запросы нетбиос пойдут с физического интерфейса клиента, т.е. с адреса 192.168.1.145. Получив пакет с таким обратным адресом, угадай с трех раз, куда сервер отправит ответ при наличии собственной локалки 192.168.1.0 ?

Понял, переделал.
Сервер в локалку сеть 192.168.150.0 (192.168.150.10)
в интернет сеть 192.168.1.0 (192.168.1.10)
Клиент в интернет сеть 192.168.2.0 (192.168.2.2)
при создании vpn связи присваивается серверу 192.168.5.111, клиенту 192.168.5.112
так?
правда без изменений) 192.168.5.111 192.168.5.112 друг друга пингуют
на 192.168.150.10 с клиента не достучатся не пингануть. и с сервера так же... голова кепит)

83369
Цитата:

на 192.168.150.10 с клиента не достучатся не пингануть

Попробуй на клиенте после установления коннекта сделать
route add 192.168.1.0 mask 255.255.255.0 192.168.5.111

прописал, в ответ получил ОК.
ничего для меня не изменилось.
еще заметил что в свойствах vpn подключения клиента dns серверы подключения он взял из настроек подключения к интернет самого сервера. там dns провайдера прописаны вручную, это как-то может влиять?

83369
Вам кажется советовали ходить только по ip - значит нет, dns ни на что не влияет...
А как это вы так просто поменяли локалку на клиенте? Или там у него свой шлюз еще есть (роутер)?
После добавления маршрута который указал vlary, покажите таблицу маршрутизации клиента.

Кстати, если на сервере есть RRAS, то можно настроить DNAT нужных портов с виртуального интерфейса на реальный по портам netbios. (думаю что он такое умеет )

Alukardd

Цитата:

Кстати, если на сервере есть RRAS, то можно настроить DNAT нужных портов

А нужно ли? VPN все-таки, все и так должно работать.
Мне, честно говоря, совершенно непонятны проблемы 83369. У меня в локальной сети подняты 4 разновидности VPN серверов: IPSec и WebVPN на Cisco, OpenVPN и L2TP/IPSec на Debian (первый на железке, второй на виртуалке).
Даже через SSH подключение нетбиосовский порт пробрасывал. При всех вариантах подключения виндузовые шары цепляются на раз. В чем дело, в кривизне виндузового VPN?

Клиентская локалка примитивна, дома adsl машрутизатор на нем dhcp, просто изменил ip самого маршрутизатора и соответственно диапазон раздаваемых ip.
VPN настроен на базе службы маршрутизации и удаленного доступа, RRAS я так понимаю. "можно настроить DNAT нужных портов с виртуального интерфейса на реальный по портам netbios", может он такое и умеет, я точно нет))

===========================================================================
Список интерфейсов
42...........................VPN-подключение
12...00 1f d0 a2 a8 6e ......Realtek PCIe GBE Family Controller #2
11...00 1f d0 a2 a8 70 ......Realtek PCIe GBE Family Controller
1...........................Software Loopback Interface 1
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
22...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 20
"белыйIPсервера" 255.255.255.255 192.168.2.1 192.168.2.2 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.2.0 255.255.255.0 On-link 192.168.2.2 276
192.168.2.2 255.255.255.255 On-link 192.168.2.2 276
192.168.2.255 255.255.255.255 On-link 192.168.2.2 276
192.168.5.0 255.255.255.0 192.168.5.111 192.168.5.112 21
192.168.5.112 255.255.255.255 On-link 192.168.5.112 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 192.168.5.112 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
13 58 ::/0 On-link
1 306 ::1/128 On-link
13 58 2001::/32 On-link
13 306 2001:0:5ef5:79fd:1498:7a5:925e:aa28/128
On-link
13 306 fe80::/64 On-link
13 306 fe80::1498:7a5:925e:aa28/128
On-link
1 306 ff00::/8 On-link
13 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Метрика Сетевой адрес Шлюз
0 4294967295 2620:9b::/96 On-link
=======================================================================

подскажите, на основе конкретно каких данных в таблице вы делаете выводы?
спасибо)

Добавлено:
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
ого, пингуется модем подключенный к серверу)

Цитата:

"белыйIPсервера"  255.255.255.255      192.168.2.1      192.168.2.2     21

Зачем эта порнография? Первой строчки было вполне достаточно.

Цитата:

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.1.1  По умолчанию

Это откуда взялось? Вроде адрес модема сменился на 192.168.2.1?
Где маршрут к сети 192.168.150.0 ?

Цитата:

подскажите, на основе конкретно каких данных в таблице вы делаете выводы?

Мы, как цыганки, гадаем по всей таблице.

vlary
Цитата:

Мы, как цыганки, гадаем по всей таблице.

примерно так и получается - не люблю виндовую таблицу...
Цитата:

Где маршрут к сети 192.168.150.0 ?

так его там и не должно быть... Мы же ему не сказали, что его прописать надо, прежде чем просить пингануть 192.168.150.10, а сам он туда и не должен был попасть, разумеется.
Цитата:

Это откуда взялось?

а вот это вопрос!
Скоро начнётся полный тупняк и мы окончательно запутаем товарища, что у него должно быть, а чего нет)

Добавлено:
Для облегчения нам жизни давайте пожалуйста вывод такой команды: route print -4 | findstr /V "127.0.0.1"
А то и форум засераем и читать тяжело...

"белыйIPсервера" 255.255.255.255 192.168.2.1 192.168.2.2 21
роут принт при установленном соединении по vpn? от этого?
без установленного соединения этой строки нет)
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 20
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.2.0 255.255.255.0 On-link 192.168.2.2 276
192.168.2.2 255.255.255.255 On-link 192.168.2.2 276
192.168.2.255 255.255.255.255 On-link 192.168.2.2 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.2.2 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
"Мы, как цыганки, гадаем по всей таблице. " я по серьезке, объяснили бы, меньше бы вопрос бы ло бы)

192.168.1.1 - это я так понимаю адрес модема подключенного к серверу, так как он пингуется и с приличным временем. 33 мс.
"Где маршрут к сети 192.168.150.0 ? " я его не прописывал, научите)

route print -4 | findstr /V "127.0.0.1"

Список интерфейсов
12...00 1f d0 a2 a8 6e ......Realtek PCIe GBE Family Controller #2
11...00 1f d0 a2 a8 70 ......Realtek PCIe GBE Family Controller
1...........................Software Loopback Interface 1
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 20
192.168.2.0 255.255.255.0 On-link 192.168.2.2 276
192.168.2.2 255.255.255.255 On-link 192.168.2.2 276
192.168.2.255 255.255.255.255 On-link 192.168.2.2 276
224.0.0.0 240.0.0.0 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 192.168.2.2 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию

соединение в момент вывода таблицы не установлено.



Добавлено:
да, я запутался)

83369
Цитата:

я его не прописывал, научите)

route add 192.168.150.0 mask 255.255.255.0 192.168.5.111
После поднятия соединения, естественно.

Цитата:

192.168.1.1 - это я так понимаю адрес модема подключенного к серверу

А откуда он тогда взялся на твоем компе?
Вместе с маршрутом 0.0.0.0 0.0.0.0 192.168.1.1 ? Ты его часом где в графических настройках путей не прописывал?
Попробуй убрать его командой
route delete 0.0.0.0 mask 0.0.0.0 192.168.1.1

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 20
"белыйIPсервера" 255.255.255.255 192.168.2.1 192.168.2.2 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.2.0 255.255.255.0 On-link 192.168.2.2 276
192.168.2.2 255.255.255.255 On-link 192.168.2.2 276
192.168.2.255 255.255.255.255 On-link 192.168.2.2 276
192.168.5.0 255.255.255.0 192.168.5.111 192.168.5.112 21
192.168.5.112 255.255.255.255 On-link 192.168.5.112 276
192.168.150.0 255.255.255.0 192.168.5.111 192.168.5.112 21
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 192.168.5.112 276
===========================================================================
Постоянные маршруты:
Отсутствует


192.168.150.10 начал пинговаться!!!
сетевые ресурсы открылись!!!!
спасибо огромное!!!
теперь надо понять, обязательно ли "route delete 0.0.0.0 mask 0.0.0.0 192.168.1.1"
или достаточно "route add 192.168.150.0 mask 255.255.255.0 192.168.5.111", мне кажется последнего достаточно, я просто и то и другое сразу применил.

Добавлено:
мммм, а "route add 192.168.150.0 mask 255.255.255.0 192.168.5.111" каждый раз надо прописывать? Разорвал соединение, установил заново, в таблице его уже нет, шары соответственно тоже.

83369
Пожалуйста, всегда пользуйтесь командой route с фильтрами!

deleted text


Цитата:

каждый раз надо прописывать?

Скорее всего да, провайдеры обычно в таких ситуациях поставляют свою "утилиту", которая в качестве полезной нагрузки прописывает необходимые маршруты.
Хотя вот OpenVPN умеет прописывать маршруты клиенту... Не знаю как там с PPTP.

а из батника предварительно прописав эту команду инициировать vpn соединение можно?

83369
Цитата:

теперь надо понять, обязательно ли "route delete 0.0.0.0 mask 0.0.0.0 192.168.1.1"

Нет, раз он у тебя из маршрутов пропал.
По идее, и маршрут 192.168.150.0 mask 255.255.255.0 192.168.5.111 VPN сервер сам должен тебе пропихивать, но это ты потом уже сам на досуге с толстой книжкой про RRAS разберешься.

а батник такой реально замутить? чтоб маршрут прописывал, инициировал vpn соединение и даже шару сервера сетевым диском мапил?)

Цитата:

сам должен тебе пропихивать

это вряд ли...
Только если его "вежливого" попросить в какой-нить из настроек. Иначе было бы не корректно навязывать клиенту все свои подсети. Да еще и палить их по дэфолту (а если админ об это не догадывается)?

Добавлено:

Цитата:

даже шару сервера сетевым диском мапил

это как раз не даже
для меня здесь вопрос только в поднятии vpn'а, но думаю тоже не сложно, просто я ни когда с таким вопросом не сталкивался...
Тема по батникам
Автоматизация администрирования

83369
Да элементарно
Делаешь файл, пишешь там
route add 192.168.150.0 mask 255.255.255.0 192.168.5.111
net use e: \\192.168.150.10\shara
сохраняешь с расширением .bat или .cmd
и он тебе пропишет маршрут и смапит диск e: на шару.
Если для подключения к шаре нужны логин-пароль,
смотри хелп по net use

Спасибо, тогда вопрос в продолжении темы, если я этот маршрут добавляю до установки vpn соединения, то он не работает. подскажите почему? в чем суть его добавления именно во время установленной связи?

Добавлено:
Есть такая настройка на сервере "Статические маршруты", наверно то, только что там писать...

83369

Цитата:

если я этот маршрут добавляю до установки vpn соединения, то он не работает.

Потому что маршрут может быть добавлен только через имеющийся интнрфейс. До поднятия коннекта интерфейса с адресом 192.168.5.111 у тебя просто нет.

Но запись в таблице есть и при соединении интерфейс этот появляется...

83369

Цитата:

Но запись в таблице есть и при соединении интерфейс этот появляется...

Цитата:

IPv4 таблица маршрута
================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.2 20
192.168.2.0 255.255.255.0 On-link 192.168.2.2 276
192.168.2.2 255.255.255.255 On-link 192.168.2.2 276
192.168.2.255 255.255.255.255 On-link 192.168.2.2 276
224.0.0.0 240.0.0.0 On-link 192.168.2.2 276
255.255.255.255 255.255.255.255 On-link 192.168.2.2 276
===============================================
Постоянные маршруты:

соединение в момент вывода таблицы не установлено.

Где ты здесь видишь интерфейс 192.168.5.112?

Уважаемое сообщество, скажите, чем сулит объединение двух сетей 192.168.1.1-100 и 192.168.1.101-200 посредством vpn через инет? Или лучше их разместить в разных сегментах, к примеру, 1ая - 192.168.1.1-100, 2ая - 192.168.2.101-200 ?

nikson89 Без разницы. Только в первом случае придется указывать маску подсети 255.255.255.128, а во втором 255.255.255.0. Да и запас хостов побольше будет.

Добрые люди сисадмины и прочие ГУРУ!
Есть сервер win2003 с поднятым VPN (PPTP) сервером. На нём один интерфейс, смотрит в инет: 192.168.3.31
С другой стороны инета DFL-210. Он подключается как PPTP клиент к этому самому win2003. У DFL его IP 192.168.1.50 сеть 192.168.1.xxx маска 255.255.255.0
VPN сервер выдаёт всего один IP: 10.10.10.2 сам сервер VPN имеет адрес 10.10.10.1
на win2003, в пользователе, которым подключается DFL прописаны статические маршруты до 192.168.1.50 и до 192.168.1.0
Всё работает, тулель устанавливает. Со стороны DFL пинг идёт до 10.10.10.1 со стороны win2003 пингуется DFL 10.10.10.2 НО НЕ пингуется ни однин хост в сети 192.168.1.xxx Роут на DFL добавлен.
Выполнение на win2003:
route delete 192.168.1.50
route delete 192.168.1.0
route delete 192.168.1.50
route delete 192.168.1.0
route add 192.168.1.50 mask 255.255.255.255 10.10.10.2 if 0x10003 metric 1
route add 192.168.1.0 mask 255.255.255.0 10.10.10.2 if 0x10003 metric 1
и последующий реконнект VPN соединения помогает – начинают пинговаться хосты 192.168.1.ххх
НО я не понимаю почему после очередного реконекта VPN (например из консоли RAS – disconnect)
Опять перестают пинговаться 192.168.1.ххх причем еще один дисконнект – опять начинают. И.т.д.

IPv4 Route Table
=============================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 1c c0 b2 c3 56 ...... Intel(R) 82567LM-2 Gigabit Network Connectio
Amicon NDIS IM Filter Driver (Miniport)
0x10003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10004 ...00 14 d1 10 d3 03 ...... Realtek RTL8169 Gigabit Ethernet Adapter
=============================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.3.1 192.168.3.31 56
10.10.10.1 255.255.255.255 127.0.0.1 127.0.0.1 50
10.10.10.2 255.255.255.255 10.10.10.1 10.10.10.1 1
77.247.240.202 255.255.255.255 192.168.3.1 192.168.3.31 56
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 10.10.10.2 10.10.10.1 1
192.168.1.50 255.255.255.255 10.10.10.2 10.10.10.1 1
192.168.3.0 255.255.255.0 192.168.3.31 192.168.3.31 56
192.168.3.31 255.255.255.255 127.0.0.1 127.0.0.1 56
192.168.3.255 255.255.255.255 192.168.3.31 192.168.3.31 56
224.0.0.0 240.0.0.0 192.168.3.31 192.168.3.31 56
255.255.255.255 255.255.255.255 192.168.3.31 2 1
255.255.255.255 255.255.255.255 192.168.3.31 192.168.3.31 1
Default Gateway: 192.168.3.1
=============================================================
Persistent Routes:
None

vlary
В продолжение диалога.
Обязательно ли указывать маску 1ой сети 255.255.255.128, а второй 255.255.255.0 ? Т.е. другими словами, можно ли объединить такие две сети: 1ая маска 255.255.255.0 (имеются такие машины: 192.168.1.1, 192.168.1.210, 192.168.1.77), 2ая маска 255.255.255.0 (машины: 192.168.1.7, 192.168.1.200, 192.168.1.90) ?

И что будет, как быть, если в обоих сетях будут одинаковые адреса 192.168.1.1 ? Назначать так IP адреса, чтобы в рамках одной подсети они были уникальными?

nikson89
Цитата:

Обязательно ли указывать маску 1ой сети 255.255.255.128, а второй 255.255.255.0 ?

Если сделать так, вторая сеть не увидит первую (будет ее айпишники искать у себя). Поэтому маска 255.255.255.128 должна быть у обеих сетей. Или у обеих 255.255.255.0, но разные подсети (192.168.1.0, 192.168.2.0)
Либо одинаковые подсети и маски, но тогда соединение типа "бридж". Кроме как поставить две циски, я не знаю, чем это еще можно сделать. Да и трафик на всякие бродкасты, вспомогательные пакеты, будет жраться немеряно.

vlary
Немного почитав документации, как я понял, единственным (простым) работоспособным решением организации 2х сетей одного сегмента и их объединением посредством VPN будет такое:
1ая сеть (IP от 1 до 127): маска 255.255.255.128, машины 192.168.1.1 ; 192.168.1.88 ; 192.168.1.100
2ая сеть (IP от 128 до 254): маска 255.255.255.128, машины 192.168.1.130 ; 192.168.1.188 ; 192.168.1.200
Т.е. смешивание адресных пространств обоих сетей не допускается.

Все верно?

nikson89
Цитата:

Все верно?

Почти. (IP от 1 до 127) - на самом деле (IP от 1 до 126), 127 это будет их бродкаст. (IP от 128 до 254) на самом деле (IP от 129 до 254), 128 - номер сети.
Цитата:

Т.е. смешивание адресных пространств обоих сетей не допускается.

Именно.

vlary
а возможно ли разместить более двух подсетей одном сегменте ? (в случае выше - две подсети в одном сегменте) ?