» VPN: вся информация в этой теме

nikson89 был такой старый фильм Спортлото-82, там один герой спрашивает другого
- А можно есть эти ягоды?
а тот отвечает
- Можно, только отравишься!
Короче работать будет, но возникнут другие проблемы.

Valery12
Что за проблемы, если можно вкратце?

nikson89
Цитата:

а возможно ли разместить более двух подсетей  одном сегменте ?

Типа так?
1ая сеть (IP от 1 до 62): маска 255.255.255.192, машины 192.168.1.1 ; 192.168.1.62 ; шлюз 192.168.1.1
2ая сеть (IP от 65 до 126): маска 255.255.255.192, машины 192.168.1.65 ; 192.168.1.126 ; шлюз 192.168.1.65
3-я сеть (IP от 129 до 190): маска 255.255.255.192, машины 192.168.1.129 ; 192.168.1.190 ; шлюз 192.168.1.129
4-я сеть (IP от 193 до 254): маска 255.255.255.192, машины 192.168.1.193 ; 192.168.1.254 ; шлюз 192.168.1.193

подскажите пжалста как настроить?
поднял впн на 2008R2 сервере
при попытке подключения с клиента не удается подключится
на серваке лог показывает ошибку "типа политика безопасности не нашла сертификат доверия и т.д."
как настроить впн на серваке чтобы он требовал только имя-пароль без всяких сертификатор
PS перепробовал много вариантов в настройке безопасности подключения "маршрутизация и удаленный доступ" вплоть до нешифрованных паролей и простой проверке компьютера на работоспособность

vlary
Да, что-то так, но если можно было еще более подробить подсеть (скажем, по 20-30 машин).
И еще, нужно учесть, что каждая эта сеть имеет собственный доступ в инет. И "объединение сетей" происходит через инет.
Тогда полагаю, что на "шлюзы" 192.168.1.1, 192.168.1.65, 192.168.1.129, 192.168.1.193 вешаем ADSL модемы.
В первой подсети, к примеру, за номером 192.168.1.2 стоит VPN сервер на Windows Server 2008 R2, все остальные подсети подключаются к нему.
Как организовать (полагаю маршрутизацию) прозрачное функционирование всех машин сети? Т.е., к примеру, из второго сегмента машина 192.168.1.66 подключается к 192.168.1.2, и все прочие машины второго сегмента после установления этого подключения получают доступ в первый сегмент, а не только машина, установившая vpn соединение.

Добавлено:
ali1977
см. тут http://www.xakep.ru/post/48441/
и далее ссылку: http://www.xakep.ru/magazine/xa/120/116/1.asp

Цитата:

Что за проблемы, если можно вкратце?

во первых один сегмент - один бродкастный домен а следовательно лишний паразитный трафик
во вторых компьютеры находясь в прямой доступности будут общаться через роутер следовательно удвоение трафика, а если маршрутизатор будет будет слать snmp оповещения о смене шлюза то рост локальных таблиц маршрутизации
в третьих для сетей виндовс где без бродкаста никуда (а бродкастный домен повторюсь один), если в обоих подсетях компьютеры одной workgroup иди домена в сегменте оказывается два мастербраузера и видимость машин в сетевом окружении под большим вопросом

nikson89
Цитата:

Да, что-то так, но если можно было еще более подробить подсеть (скажем, по 20-30 машин).

20-30 (30 - максимум) это маска /27 (255.255.255.224)
Все адреса для этих подсетей можешь вычислить здесь: Ссылка

vlary
Спасибо за наводку! Классная штука!
Опять вопрос:
Сделал вот так: http://jodies.de/ipcalc?host=192.168.1.1&mask1=24&mask2=28
Думаю, по 14 машин пока хватит, а когда для некоторых сегментов будет становиться мало, то можно ли отдельные сегменты "объеденить"? Т.е. сеть будет, к примеру состоять из:

Netmask: 255.255.255.240 = 28 11111111.11111111.11111111.1111 0000
Network: 192.168.1.0/28 11000000.10101000.00000001.0000 0000 (Class C)
Broadcast: 192.168.1.15 11000000.10101000.00000001.0000 1111
HostMin: 192.168.1.1 11000000.10101000.00000001.0000 0001
HostMax: 192.168.1.14 11000000.10101000.00000001.0000 1110
Hosts/Net: 14

Netmask: 255.255.255.240 = 28 11111111.11111111.11111111.1111 0000
Network: 192.168.1.16/28 11000000.10101000.00000001.0001 0000 (Class C)
Broadcast: 192.168.1.31 11000000.10101000.00000001.0001 1111
HostMin: 192.168.1.17 11000000.10101000.00000001.0001 0001
HostMax: 192.168.1.30 11000000.10101000.00000001.0001 1110
Hosts/Net: 14

Netmask: 255.255.255.224 = 27 11111111.11111111.11111111.111 00000
Network: 192.168.1.32/27 11000000.10101000.00000001.001 00000 (Class C)
Broadcast: 192.168.1.63 11000000.10101000.00000001.001 11111
HostMin: 192.168.1.33 11000000.10101000.00000001.001 00001
HostMax: 192.168.1.62 11000000.10101000.00000001.001 11110
Hosts/Net: 30

Так возможно ?

Добавлено:
Valery12
Из написанного Вами мало что понял, но это уже моя проблема, будем постигать!
А пока буду стараться не допускать перекрытий подсетей.
Огромное спасибо, Вам.

Добавлено:
Уважаемые vlary & Valery12,
в посте http://forum.ru-board.com/topic.cgi?forum=8&topic=0152&start=2280#9 остался пока еще неразрешенный вопрос, буду премного благодарен за указание направления его разрешения.

Добавлено:
И еще:
Критично ли включать/отключать компонент подключения VPN "Протокол Интернета Версии 6 (TCP/IPv6)" ?

nikson89
Цитата:

то можно ли отдельные сегменты "объеденить"?

Можно создать, скажем, 2 подсети с маской /28, 1 - /27, 1 - /26, итого - четыре. В зависимости от имеющихся хостов. Ну и следить, чтобы адреса не пересекались. Но если хочешь создать подсеть /26, а в ней выделить подсеть /27 - такое не получится. Или если у тебя где-то 31 комп, то подсеткой /27 уже не обойдешься, придется выделять /26 (62 компа) Короче, пользуйся калькулятором.

Цитата:

Критично ли включать/отключать компонент подключения VPN "Протокол Интернета Версии 6 (TCP/IPv6)" ?

Если IPv6 не используется, его лучше отключить.

Цитата:

остался пока еще неразрешенный вопрос

Любой шлюз должен быть в данной подсети. Если их 4 штуки, значит, у шлюза должно быть 4 адреса, в каждой подсети. Если подсети на одном "проводе", проще всего на его интерфейс повесить алиасы, из каждой подсети.
192.168.1.2 255.255.255.240
192.168.1.18 255.255.255.240
192.168.1.34 255.255.255.224
Ну а если сеть разбита на виланы, то это уже посложнее, нужен свитч, поддерживающий несколько виланов на порту, сетевая карта, понимающая виланы.
Либо ставить по сетевой карте для каждого вилана.
Но это уже совсем другая тема, найдешь ее сам.

vlary
спасибо за ответ, буду разбираться.

А пока столкнулся со следующими вопросами:

1. Удаленная машина - WinXP SP3, VPN Сервер - Windows Server 2008 R2
При установлении VPN соединения с реквизитами доступа Администратор\пароль пишет, что "Системе Windows не удалось подключиться к сети, используя предоставленные пароль и имя пользователя. Повторите ввод пароля и имени пользователя...".
Пользователь Администратор - дефолтный юзер при установки системы, входит в группу Администраторы.
В "Сервер политики сети" - Сетевые политики - Группам "Пользователи" OR "Администраторы" разрешено подключение к VPN.
Создал новых юзеров Admin (группа Администраторы) и User01 (Пользователи), так они подключаются по VPN без проблем, а через юзера Администратор не желает.
В чем может быть проблема с пользователем "Администратор"?

Добавлено:
Создал пользователя "Рус", добавил в группу Администраторы. И.. та же проблема, что и с юзером Администратор.
Может проблема в том, что имя пользователя именуется русскими буквами?

Как тут быть?

Добавлено:
Попробовал создать VPN с удаленной машины, работающей на Windows Server 2008 R2. Ситуация такая же, что и с WinXP SP3. Не хочет VPN Сервер принимать имена юзеров в кириллице.

nikson89
Цитата:

Может проблема в том, что имя пользователя именуется русскими буквами? Как тут быть?

Никогда не создавать логины с буквами русскими, грузинскими, армянскими, на иврите...
И конечно, не использовать для логина в VPN учетку Администратор. Она не для этого.

Капец.
После установления маски 255.255.255.240 на всех машинах подсети одного офиса, а именно:
маска: 255.255.255.240
192.168.1.17    ADSL модем
192.168.1.18    Comp1 (Windows Server 2008 R2)
192.168.1.19    Comp2
192.168.1.20    Comp3
На всех CompX прописан шлюз и ДНС на 192.168.1.17.
На ADSL модеме DHCP Server : Disabled

перестал работать VPN во вне, т.е. соединение идет, но очень долго, а потом ошибка 800.

Что не так?


Цитата:

C:\Users\Администратор>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : comp88
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Atheros AR8131 PCI-E Gigabit Ethernet Controller (NDIS 6.20)
Физический адрес. . . . . . . . . : 10-78-D2-D4-14-03
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.18(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.240
Основной шлюз. . . . . . . . . : 192.168.1.17
DNS-серверы. . . . . . . . . . . : 192.168.1.17
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{F1B836A7-A1BC-4D34-B2F9-0AD756AB10C7}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2001:0:5ef5:79fd:4cd:df3:3f57:feed(Основной)
Локальный IPv6-адрес канала . . . : fe80::4cd:df3:3f57:feed%12(Основной)
Основной шлюз. . . . . . . . . : ::
NetBios через TCP/IP. . . . . . . . : Отключен

C:\Users\Администратор>

Добавлено:
IP машинам и шлюзу оставил такие же:
(192.168.1.17 ADSL модем
192.168.1.18 Comp1 (Windows Server 2008 R2)
192.168.1.19 Comp2
192.168.1.20 Comp3 )

Но маску везде вернул на 255.255.255.0
Результат тот же.

Может нужно как-то почистить таблицы маршрутизации?

nikson89

Цитата:

После установления маски 255.255.255.240 на всех машинах подсети одного офиса

действительно

Цитата:

Капец.

Маска подсети
сначала вам нужно разобраться что вы делаете и зачем

nikson89 А на ADSL модеме новая маска прописана? Пинг, трейс на VPN сервер идет?

Перегрузили VPN Server и минут через 5-10 все заработало. Может оно как-то таблицы маршрутизации перестроило?

Вечером попробую опять все настроить, чтобы сейчас всю работу опять не ложить на пол дня.

vlary
Да, на АДСЛ модеме маску писал 255.255.255.240 как и на других машинах сети.

nikson89
Цитата:

Перегрузили VPN Server и минут через 5-10 все заработало. Может оно как-то таблицы маршрутизации перестроило?

Подозреваю, что некоторые корректировки в связи с изменением масок подсетей нужно и на VPN сервере производить.

Общими усилиями была реорганизована сеть двух офисов, которые должны соединяться по vpn через инет.
Архитектура получилась такая:

Цитата:

Офис1    
    Network: 192.168.1.0/28 11000000.10101000.00000001.0000 0000 (Class C)
    Broadcast: 192.168.1.15 11000000.10101000.00000001.0000 1111
    HostMin: 192.168.1.1 11000000.10101000.00000001.0000 0001
    HostMax: 192.168.1.14 11000000.10101000.00000001.0000 1110
    Hosts/Net: 14
255.255.255.240    
192.168.1.1    ADSL модем (проброс 1723 порта на 192.168.1.2)
192.168.1.2    VPN Сервер (Windows Server 2008 R2)
192.168.1.3    User3
192.168.1.5    User5
192.168.1.7    User7
192.168.1.9    User9
    
Офис2    
    Network: 192.168.1.16/28 11000000.10101000.00000001.0001 0000 (Class C)
    Broadcast: 192.168.1.31 11000000.10101000.00000001.0001 1111
    HostMin: 192.168.1.17 11000000.10101000.00000001.0001 0001
    HostMax: 192.168.1.30 11000000.10101000.00000001.0001 1110
    Hosts/Net: 14
255.255.255.240    
192.168.1.17    ADSL модем
192.168.1.18    User18 (Windows Server 2008 R2)
192.168.1.19    User19
192.168.1.20    User20

VPN соединения из Офис2 в Офис1, а так же из любого компа из вне (из инета) идут, т.е. vpn создается.

Теперь задача сделать прозрачный доступ Офис1 <-> Офис2.

vlary

Цитата:

Любой шлюз должен быть в данной подсети. Если их 4 штуки, значит, у шлюза должно быть 4 адреса, в каждой подсети. Если подсети на одном "проводе", проще всего на его интерфейс повесить алиасы, из каждой подсети.
192.168.1.2 255.255.255.240
192.168.1.18 255.255.255.240
192.168.1.34 255.255.255.224
Ну а если сеть разбита на виланы, то это уже посложнее, нужен свитч, поддерживающий несколько виланов на порту, сетевая карта, понимающая виланы.
Либо ставить по сетевой карте для каждого вилана.
Но это уже совсем другая тема, найдешь ее сам.

Полагаю, что у нас вариант первый? Поясните его, пожалуйста, подробнее (для двух сегментов, что выше) что и где прописывать.

Додумывая настоящую тему, возникли следующие вопросы:
-
Цитата:

Любой шлюз должен быть в данной подсети. Если их 4 штуки, значит, у шлюза должно быть 4 адреса, в каждой подсети. Если подсети на одном "проводе", проще всего на его интерфейс повесить алиасы, из каждой подсети.

В ситуации выше шлюзами являются 192.168.1.1 и 192.168.1.17, но Сервер VPN - 192.168.1.2, а клиент второй сети, поднимающий VPN - 192.168.1.18. Если алиасы писать на модемах (шлюзах), то имеющиеся модемы поддерживают только один алиас, куда тогда писать остальные, если алиасы писать на 192.168.1.2 и 192.168.1.18, то как другие машины сети узнают куда нужно отправлять пакеты за пределы текущего сетевого сегмента, ведь шлюз и днс них прописан 192.168.1.1 и 192.168.1.17 соответственно.

nikson89 Я под шлюзом имел в виду не модемы (они, конечно тоже шлюзы), а тот девайс, который позволит подсетям общаться друг с другом. Это может быть свитч L3, или комп. С нужным количеством сетевых карт, либо с нужным числом алиасов на одной.

Столкнулся с проблемой описанной в шапке - VPN соединение "подвисает", приходится переподключаться.
Выглядит это так. Есть главный офис компании, там стоит MS ForeFront tmg настроенный на приём vpn-соединений из удалённых офисов. В одном из удалённых офисов сидят сотрудники на Windоws XP и работают с сетью главного офиса через vpn (PPTP).
В какой-то момент появился следующий эффект. Если сотрудник минут 5 ничего не делает, то впн-соединение подвисает, но не разрывается: пинги на сервера главного офиса не проходят. Помогает только переподключение. При этом, если на компьютере удалённых сотрудников запустить постоянный пинг сервера главного офиса, то соединение держится и всё работает.
Пробовал совет с изменениями значения MTU. Если поменять значение MTU, то впн-соединение устанавливается, но вообще не работает: пакеты по нему ни в одну сторону не ходят (как при зависании). Причём, лечится это только полным удалением указанных веток реестра (установка стандартного значения MTU в 1500 не помогает).

Подскажите, как диагностировать проблему? Что вообще можно сделать, чтобы понять причину такого зависания при таймауте?

vlary
вопрос далее в тему:
- клиент второй сети (Офис2 - Network: 192.168.1.16/28), поднимающий VPN - 192.168.1.18
- Сервер VPN - 192.168.1.2 (Офис1 - Network: 192.168.1.0/28)
у клиента при установлении VPN соединения в состоянии этого соединения указывается: 169.254.206.44 - сервер, 169.254.61.237 - клиент. Но в то же самое время сервер - 192.168.1.2, клиент - 192.168.1.18. По данным адресам (192.168.1.х) ни сервер, ни клиент друг друга пингануть не могут, только через адреса 169.254.х.х.
Когда маска обоих подсетей была 255.255.255.0, то vpn-клиент, в частности, мог пингануть не только vpn-сервер по 192.168.1.2, но и другие машины в сегменте vpn-сервера (Офис1).

Что делать, как быть с автоматически устанавливаемыми IP адресами сервера и клиента?

nikson89
Цитата:

в состоянии этого соединения указывается: 169.254.206.44 - сервер, 169.254.61.237 - клиент

Это что, специально такие адреса выбраны? Дело в том, что адреса из сети 169.254.0.0 выдает сама система, если настроено автоматическое получение адреса, а DHCP сервер в сети не работает.

vlary
Выдает сама система, т.е. как я понимаю назначает VPN-сервер. Для моей задачи (объединение двух локальных сетей) это важно?

Цитата:

Я под шлюзом имел в виду не модемы (они, конечно тоже шлюзы), а тот девайс, который позволит подсетям общаться друг с другом. Это может быть свитч L3, или комп. С нужным количеством сетевых карт, либо с нужным числом алиасов на одной.

Алиасы прописывать в свойствах ЛАН-подключения или VPN-подключения, на машине, поднимающей VPN-соединение, указывая IP VPN-сервера в формате 192.168.1.х (в данном случае 192.168.1.2) ?

[more] Доброго времени суток!

Пару месяцев работаю в одной конторе сис.админом, до меня на этой должности никого не было почти 2 месяца... Всё было сильно запущенно, постепенно налаживаю... Сейчас возникла следующая проблема:

Есть головной офис в Москве с виндовым доменом. Есть удаленный офис в г.Тула, который коннектится по VPN к московскому офису. Пользователи, сидящие на удаленке, видят все компы в сети, но их не видно.

В качестве шлюза и там и там используется сервак на ClearOS на нём же поднят PPTP VPN (поднимал его не я). Удаленным пользователям раздаются IP адреса 192.168.10.20-29 из этого диапазона, на шлюзе видно, что соединения установлены:

pptp0 192.168.10.20 12 MB 6 MB Go
pptp1 192.168.10.21 10 MB 3 MB Go
pptp2 192.168.10.22 16 MB 3 MB Go
pptp3 192.168.10.23 1 MB 881 kB Go
pptp4 192.168.10.24 5 MB 5 MB Go

пинги из московской сети до этих адресов идут, но посмотреть их шару, подключиться к ним по RDP да и просто найти их в сетевом окружении не получается. Уточняю, в тульском офисе домен не поднят и вносить их в московский домен так же нет возможности, т.к. интернет канал в Туле - радио и оставляет желать лучшего.

Можно бы конечно и забить на эту проблему, но самая запара в том, что тульские пользователи по удаленке используют подключение по RDP к московскому серваку с 1С и им нужно распечатывать документы, на сетевом принтере находящимся в их офисе (HP M3027). На серваке с 1С (он же терминальный сервер на Win 2003) стоят все необходимые галочки для автоматического подключения принтеров пользователей удаленных рабочих столов, в москве все принтеры переносятся по сеансам, вот по VPN не хотят...

Может кто сталкивался с такого рода проблемой, посоветуйте где копать.

У меня в голове пока есть несколько варинатов:

1. Возможно один из провайдеров блокирует какие-либо GRE пакеты или порт, но в противном случае VPN вобще бы не устанавливалось.

В г.Тула в качества провайдера используется Энфорта, в Москве - Горком. Тульский шлюз по словам старого админа тоже должен быть поднят PPTP VPN, но из Москвы подключиться к нему не удается, подключение заканчивается ошибкой 800 (пробовал подключаться только через канал Горкома).

2. Заменить ClearOS на FreeBSD, но в Тулу ехать большого желания нет.
3. Расшарить сетевой принтер на одном из тульских компов и подключиться к нему, но опять же не могу это сделать из-за недоступности узла.

Буду рад любым ответам [/more]

nikson89 Ты для начала с адресами разберись. Не может VPN-сервер выдавать айпишники 169.254.0.0.
eliseevIT У тульских клиентов наверняка есть своя локальная сетка, отличная от вашей и от 192.168.10.Х. Их принтер наверняка в той сетке. 1С сервер в центре про ту сеть ничего не знает. И с таким вариантом подключения никогда не узнает.
Вариант1. Делать одно подключение из Тулы, типа туннеля, и использовать его для маршрутизации трафика между вашей и тульской сетками.
Вариант 2. Поставить на сервере 1С виртуальный принтер, типа PDF Factory Pro, который при печати создает документ в PDF формате и может его по мейлу отправлять на корпоративный почтовый сервер. Затем юзер забирает это письмо с сервера, и распечатывает аттачмент на любом принтере, который в его досягаемости.

vlary
Спасибо за совет.

Можешь объяснить подробнее про первый вариант, т.к. второй я уже сделал как временное решение данной проблемы, но печатать объемы по 200-300 листов через пдф принтер это извращение...

Ведь по всем правилам ВПН должен видеть шары клиентских пользователей, а не только они локальных, получается, что проблема именно в тульском шлюзе?

eliseevIT
Цитата:

Ведь по всем правилам ВПН должен видеть шары клиентских пользователей

С чего это вдруг? Микрософтовское и многое другое хозяйство привязано к их локальному сетевому интерфейсу, нетбиос немаршрутизируем...

Цитата:

Можешь объяснить подробнее про первый вариант

Подробнее не могу, поскольку зависит от конкретной реализации. А в общих чертах так.
Берется железка (роутер, комп) с двумя сетевыми, первая в локалку, вторая в интернет. На ней настраивается PPTP клиент и поднимается соединение с сервером. Если железка также будет служить для раздачи интернет, на остальных компах сети она прописывается дефолт шлюзом. Поднимается соединение, после соединения добавляется путь к офисной сети через это соединение.
На PPTP сервере прописывается путь к клиентской сети через это соединение. На сервере 1С прописывается путь к клиентской сети через PPTP сервер.
Допустим, в Туле локалка 192.168.20.0, в центре 192.168.0.0, клиент получает адрес 192.168.10.2, сервер имеет 192.168.10.1.
Пакеты с 192.168.20.0 в 192.168.0.0 ходят туда и обратно.

vlary

Цитата:

Ты для начала с адресами разберись. Не может VPN-сервер выдавать айпишники 169.254.0.0.

Начнем разбираться по-порядку:
VPN-сервер: 192.168.1.2
VPN-клиент: 192.168.1.18
находятся в разных подсетях.
При подъеме туннеля ОБЯЗАТЕЛЬНО ли прибегать к тому, чтобы назначать VPN-серверу и VPN-клиенту (в данном случае соединению как я понимаю) IP адреса отличные от LANовских ? т.е. может ли LAN и VPN подключение иметь один и тот же IP ?

nikson89
Цитата:

т.е. может ли LAN и VPN подключение иметь один и тот же IP ?

На локальном компе - однозначно нет, не только айпи, но и подсети должны быть разные. А вот VPN-сервер вполне может назначить VPN-клиенту свободный адрес из диапазона своей локальной сети.

vlary
идем дальше, что сулит для впн-клиента, если впн-сервер ему назначит IP из диапазона своей сети?