» VPN: вся информация в этой теме

eap
Цитата:

Правильно ли я понимаю

В общем, да. Достаточно будет пробросить, скажем, 443 порт, и удаленные клиенты могут коннектиться и чувствовать себя
как в локалке главного офиса. Ничего больше пробрасывать не надо.
Можно вообще поставить в центре сервер, в филиале - бридж, и объединить обе локалки.

vlary, в VPN не особо силен - настраивал только подключение удаленных клиентов по OpenVPN к офисной сети для удаленной работы в терминале и доступа к файлопомойке. Так что несколько ламерских вопросов по SoftEther VPN.
1. При подключении к серверу бриджем, маски подсетей должны быть одинаковые? Или разные, и идет маршрутизация подсети 192.168.0.ХХХ одного офиса через бридж в подсеть 192.168.1.ХХХ второго и наоборот?
2. Возможно подключение к серверу только одного бриджа, или нескольких?
3. При подключенном бридже, возможно ли подключение к серверу еще и нескольких клиентов?
(Короче, аппетит приходит во время еды)

eap 1. Возможны разные варианты. Можно делать LAN to LAN (Using L2 Bridge), можно делать LAN to LAN (Using L3 IP Routing), и еще кое-что...
2. Да 3. Да
Я все-таки рекомендую зайти на офсайт и ознакомиться с документацией.
Там все наглядно и в картинках.

vlary, спасибо! Да конечно - и на сайт разработчика, и в принципе проработать теорию и матчасть нужно. Чем и займусь.
По результату отпишусь.
- По поводу ответа на второй вопрос - я его понял не задумываясь...

+    2693    – [:||||:]    Поделиться    2014-02-14 12:12 #426807    
Работаю социологом, в мессенджерах идёт текучая переписка по проекту.
Ekaterina: Проект такой-то, вопрос 23 разбит на два экрана, соединяем обратно, или оставляем?
я: да
Ekaterina: э?
я: Так
я: Катя
я: Я девушка
Ekaterina: ок
я: когда девушка отвечает да, это ДА на первый вариант
я: а когда мужчина - то на второй
Ekaterina: ооо...
я: см "Различия мужской и женской логики", том 25ый
Ekaterina: ок

eap
Цитата:

По поводу ответа на второй вопрос - я его понял не задумываясь...

Ну, собственно, я тоже отвечал не задумываясь.
Хотя если бы он был сформулирован по-другому, типа
"2. Возможно ли подключение к серверу более одного бриджа?",
мне не пришлось бы демонстрировать мужскую логику
Но возможно, формулировки вопросов - это уже том 26-й.
А вообще примечание зачетное, мне понравилось...

Всем добрый день.
Имею провайдера, который дает интернет через ADSL (вход. 1024 кб/с, исход 256 кб/с). При этом рубит Skype и доступ к некоторым сайтам. Хочу использовать vpn соединение, что бы получить полный доступ к ресурсам интернета. Причем пользователей будет от 10 до 20 компов.
Вопросы:
1. можно ли это сделать с помощью vpn соединения?
2. При использовании спутникового инета использовал сервер Kerio для контроля за трафиком. А как с vpn ставить на сервер или каждый должен настроить на своем компе?
3. какие будут потери, например упадет сильно скорость при шифровании данных (с моими исходными данными) и Skype будет работать плохо.

Заранее всем спасибо

crocandy
1. Да
2. Если имеется целая сеть, то целесообразнее создать одно VPN подключение для всей сети.
3. Естественно, что шифрование, доболнительная служебная информация несколько
снизит пропускную способность, конкретный процент зависит от конкретного типа VPN.
Насчет Skype для 20 человек при аплинке 256 кб/с я бы не обольшался,
хотя если одновременно будут разговаривать 1-2 человека (без видео),
то может и прокатить.

Добрый день
В компании имеется компьютер с расшаренным логическим диском, который подцеплен к рабочему ноутбуку как виртуальный. Для подключения извне фирма предлагает использовать AT&T Global Network Client.
Однако у нас, как у подразделения, используется VPN Client Cisco. Подключение к сети компании проходит успешно, но необходимый ресурс доступен только по http-протоколу. Синхронизация каталогов через robocopy невозможна. Может ли это быть связано с использованием иного VPN-клиента или проблема в ограничении прав на доступ извне? Или неверном обращении к ресурсу?
Данный ресурс позиционируется компанией именно как трансферный.

Уважаемые форумчане!
Помогите в таком вопросе. Есть 3 компьютера в разных точках города. На одном из компов я поднял VPN (Windоws 7) сервер. настроил подключение на другом компьютере. Скажем так все получилось.
Но я уперся в такой факт:
Во первых почему к серверу может одновременно подключиться только 1 клиент (и как это обойти)?
Во вторых как увидеть через эту сеть расшаренные папки?
В третьих как поиграть в игры если ни одна игра не видит этот туннель?
Заранее благодарен за ответы!

Kukuev
Цитата:

Может ли это быть связано с использованием иного VPN-клиента или проблема в ограничении прав на доступ извне?

Никоим образом. Любой VPN-клиент
позволяет удаленному пользователю подключаться к локальной сети
и чувствовать себя так, будто он реально в этой сети находится
(монтировать дисковые шары, подключаться к любому порту любого локального ресурса).
VPN Client Cisco - не исключение. Настрой правильно сервер, чтобы он выдавал клиентам
айпишники из диапазона локалки, и все дела.
DaviDovish
Цитата:

Во первых почему к серверу может одновременно подключиться только 1 клиен

Потому, что ты так настроил сервер.
Забей на родной виндузовый VPN сервер, поставь SoftEther VPN Server
Настрой подключение типа L2TP/IPSec в режиме бриджа, создай логины/пароли для каждого юзера, если в сети нет DHCP сервера, то клиенты могут сами установить
себе нужные айпишники в настройках.
Да, придется почитать документацию, но она на сайте имеется и достаточно подробная.

Прошу прощения, если что не так: не сисадмин ни разу, просто end user со всеми вытекающими Итак, в чем проблема: есть VPN generic IKEv2 и к ней надо подключиться на ноутбуке с Win7. Проблема в том, что VPN проверяет доступ по EAP-MSCHAPv2 с PSK, а в Win7 я что-то не нахожу как этот самый PSK прописать: только логин/пароль. Советы "поменяй чё-нить в VPN" не проходят: никто там ничего для меня менять не будет, выдают только PSK и логин/пароль.
Сильно прошу помочь каким-нибудь советом.

98SEUser
Цитата:

а в Win7 я что-то не нахожу как этот самый PSK прописать

Плохо искал, видимо...
PSK прописывается в свойствах подключения, вкладка "Безопасность",
кнопка "Параметры IPSec"

Та-а-ак, как яхту назовёшь, так она и поплывёт
В моём случае, это означает некорректно поставленный вопрос. Уточняю (ну, я так воображаю, по крайней мере): у меня в Win7 можно выбрать Microsoft IKEv2, а там нет PSK. А вот Generic IKEv2, где есть возможность PSK я не нашел. Хотя ещё раз переискал по Вашему совету. Что-то можно сделать в этой ситуации (ну там, чего-нибудь подгрузить, например)?
P.S. может, я в силу компьютерной недалекости что-то делаю не так?
1. Создаю VPN-соединение
2. Оставляю подключение на потом
3. Иду в изменение параметров адаптеров, там наблюдаю VPN-соединение (WAN Mini port IKEv2)
4. Открываю его свойства -> безопасность, ставлю тип соединения VPN IKEv2, обязательное шифрование
5. Имею возможность выбора 3 типов проверки подлинности: PEAP, Microsoft EAP-MSCHAPv2 и ч/з сертификаты.
6. При выборе Microsoft IKEv2 возможности задать PSK действительно нет (подсмотрел в настройках рабочего VPN-сервера, соединяющего по данному протоколу), а вот Generic IKEv2 в моём меню нет. Отсюда и повторный вопрос: как получить именно Generic IKE v2 на Win7?

98SEUser Ну вот тебе настройка с картинками: Ссылка

Вообще-то, это другой тип соединения? L2TP? Я же спрашиваю про Generic IKEv2.
В L2TP таких сложностей и не надо: на этой самой вкладке "Безопасность" можно нажать "Дополнительные параметры" и спокойно ввести PSK для L2TP. Но причем тут мой вопрос?

98SEUser По-моему, тебе нужно обратиться за помощью к тем,
кто тебе дал логин/пароль.
Ибо IKEv2 работает действительно по логин/пароль и EAP-MSCHAPv2,
и никакого ключа там вроде как нет.
Ключ есть в L2TP/IPSec.

Проблема в том, что обращаться не к кому: сеть работает давно и исправно, но она не для Windows. Я хочу войти туда с буком. Я думаю, не надо воспроизводить официальный ответ техподдержки?

Добавлено:
И нет, все не так однозначно: я немного порылся сам, прежде просить помощи: есть MICROSOFT IKE v2 - там нет PSK, зато есть Windows и GENERIC IKE v2 - там PSK есть, зато с Windows траблы. И вот как скрестить эту лабуду, и есть мой мой вопрос (если, конечно, есть способ скрещивания)

98SEUser, Есть клиенты для подключения к VPN. Может поможет, настроек там много ......

NCP Secure Client Entry http://www.ncp-e.com/en/downloads/download-vpn-client.html
http://forum.ru-board.com/topic.cgi?forum=35&topic=36512&start=40


TheGreenBow VPN Client http://www.thegreenbow.com/vpn/vpn.html
http://forum.ru-board.com/topic.cgi?forum=35&topic=29392&start=40

Бесплатный
Shrew Soft VPN Client https://www.shrew.net/software
http://forum.ru-board.com/topic.cgi?forum=5&topic=38665

Коллеги просьба помочь с выбором

есть шлюз на win2008 на нем поднят pptp сервер и l2tp dial-in

с другой стороны стоит allied telesys 415s и строит vpn к 2008 по l2tp

сложность в том что железка 415s более 2000 транков внутри тунеля не тянет.

случается печаль при сильной загрузки когда 2000 просто не хватает, поэтому появилась идея перевести всё это на линукс роутеры ( компы с debian дистрами)

собственно есть возможность сделать паралельный (по 2 ip внешних с каждой стороны) канал и постепенно перевести туда клиентов.

попытка с openvpn получилась , но при этом машины видны только по ip а по dns не видны
где копать маршруты так как это с обоих сторон ?
и может стоит попробовать пробросить с линукса l2tp или ipsec на винду - просто не нашёл нормального мануала на это дело ...


пробрасывать pptp на винду не вижу смысла так как надо соеденить сети

ellviss
Цитата:

попытка с openvpn получилась , но при этом машины видны только по ip а по dns  не видны
где копать маршруты так как это с обоих сторон ?

При чем тут маршруты, если проблема явно с ДНС?
У вас должен быть внутри настроен один сервер (возможно со слейв в удаленной сети),
который будет знать все о ваших внутренних ресурсах.
А если вы пользуетесь ДНС прова или гугловским, то естественно что по именам ничего не видите.
Мужики-то (Гугл, провайдер) не знают! (с)

Есть вопрос по VPN следующего плана.
Имеется несколько VPN серверов софтовые и железные с различными настройками при подключении к ним с XP встроенным клиентом соединение устанавливается с маской подсети 255.255.255.255 и дополнительно (если в настройках VPN соединения снята галочка "использовать шлюз по умолчанию в удалённой сети") прописывается маршрут с маской 255.255.255.0 к подсети из которой выдан IP клиента.

Но на самом деле маска сети удалённой сети например 255.255.254.0 или 255.255.255.224 или вообще 255.255.0.0. Сам решаю проблему с помощью батника который прописывает маршрут 192.168.0.0 MASK 255.255.0.0 за IP полученный от VPN сервера. Просто несколько строк со всеми возможными IP нужная строчка срабатывает , остальные выдают ошибку, всё работает.
Но для простых работников работающих удалённо хочется избежать этой процедуры.
Какие есть варианты кроме использования Kerio и OpenVPN клиентов и соответствующих серверов? Хотелось бы использовать встроенные средства XP/W7.

Цитата:

Какие есть варианты кроме использования Kerio и OpenVPN клиентов и соответствующих серверов?

Есть, например, SoftEther VPN . Ставишь на винду сервер, клиент обычный встроенный в XP/W8 L2TP/IPSec
Все, что нужно клиентам (IP, маску, шлюз, ДНС, роутинг) будет выдавать DHCP сервер локалки.

Цитата:

При чем тут маршруты, если проблема явно с ДНС?
У вас должен быть внутри настроен один сервер (возможно со слейв в удаленной сети),
который будет знать все о ваших внутренних ресурсах.

вроде починил спасибо

ещё один вопрос тогда : если подключаемся через сервер, который заодно и шлюз , то машины которые подключены к другому шлюзу но в том же домене не будут видны ?

ellviss
Цитата:

машины которые подключены к другому шлюзу но в том же домене не будут видны ?

Понятие "видны" крайне неоднозначное, вплоть до визуальной видимости.
Если речь идет о видимости в оснастке "Сетевое окружение", то скорее всего нет.
Если речь идет о видимости в смысле возможности взаимно получать и отправлять сетевые
пакеты, то в случае правильно настроенного роутинга, скорее всего да.

Здравствуйте!
В принципе разобрался с SoftEther VPN.
Вопрос обывателям как сделать статический айпишник пользователям? (с английским плохо)
И еще. Как создать ФТП сервер и прикрутить его к ВПну. Да и еще такой вопрос а без клиента от SoftEther VPN нельзя ли виндовскими методами подрубиться к ВПН серваку от того же SoftEther VPN.
Заранее благодарен)

Цитата:

Понятие "видны" крайне неоднозначное, вплоть до визуальной видимости.
Если речь идет о видимости в оснастке "Сетевое окружение", то скорее всего нет.
Если речь идет о видимости в смысле возможности взаимно получать и отправлять сетевые
 пакеты, то в случае правильно настроенного роутинга, скорее всего да.

вы правы имеенно через сетевую шару (smb)

суть такова

сеть 1

192.168.1.0/24 gw 192.168.1.1 dns 192.168.1.1

также есть шлюз 192.168.1.100

сеть 2

192.168.2.0/24 gw 192.168.2.1 dns 192.168.2.1

и шлюз 192.168.2.100

между 1.100 и 2.100 висит vpn

собственно те кто соеденены через шлюзы 100 видят друг друга, а надо прописать маршрут для того чтобы был доступ к компам сидящим через шлюзы .1

(шлюзы на linux)

сейчас пинги идут в обе стороны , но rdp не работает - то есть если у машин разные шлюзы то достучаться не получается. собственно я так понимаю что проблема в маршрутах , сразу поменять у всех машин шлюз нельзя ( свои соображения) , так что помог бы совет как сделать 2 шлюза

Продолжаются мои хождения по мукам: после углублённого прочтения всяких текнотов от MS пришёл к однозначному выводу: на Windows 7 получить IKEv2 без сертификатов нельзя, поэтому срочненько почитал про strongSwan, генерацию сертификатов, подключился к облачному серверу и, что самое странное в моей истории, получил нечто рабочее (не валяю дурака ни разу, я ДЕЙСТВИТЕЛЬНО не сисадмин и даже не программер (!), так что можете себе представить, как это мне далось). Однако, хватит лирики:
Чего хотел добиться: ходить разными дорожными хулиганами (смарты и ноутбук) с облачного сервера через VPN в интернет с облачным IP-адресом (кажется, он называется "белый"?) Это дело вполне удалось с таким конфигом (напоминаю, strongSwan):

config setup
strictcrlpolicy=no

conn %default
ikelifetime=24h
keylife=24h
keyexchange=ikev2
dpdaction=clear
dpdtimeout=3600s
dpddelay=3600s
compress=yes
#esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096
#ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096

conn smart
rekey=no
left=%any
leftsubnet=0.0.0.0/0,::/0
leftauth=psk
leftid=ServerPubIP
right=%any
rightsourceip=192.168.2.100/29
rightauth=eap-mschapv2
rightsendcert=never
eap_identity=%any
auto=add

conn Win7
left=%any
leftauth=pubkey
leftcert=serverCert.pem
leftid=ServerPubIP
leftsubnet=0.0.0.0/0,::/0
right=%any
rightsourceip=192.168.2.100/29
rightauth=pubkey
rightcert=clientCert.pem
rightsendcert=never
rekey=no
auto=add

Конфигурация самого strongSwana:

charon {
threads = 16
dns1 = 208.67.222.222
dns2 = 208.67.220.220
}

pluto {
}

libstrongswan {
}

Собственно, первоначальная задача выполнена, но попутно встала вторая: появилась необходимость общаться смартам с Windows в сетевом окружении Windows. Естественно, этого не наблюдается (даже я понимаю, что нужно как-то работать с сетевыми именами, а у меня только внешние DNS в strongswan.config). Так вот, как это сделать оказалось совершенно выше моего разумения. Люди добрые, поможите, чем сможете, а то сами мы не местные, отстали от поезда
P.S. пинги от Win к смартам бегают, назад не знаю, потому что не имею представления как задать команду ping в смартфоне. Но думаю, что раз "туда" бегут, так и "оттуда" тоже: коннекты, по сути, идентичные.

ellviss
Цитата:

сейчас пинги идут в обе стороны , но rdp не работает

Возможно, проста фаервол винды или кашпировский или типа не дают доступ из "чужой" сети.

Цитата:

Возможно, проста фаервол винды или кашпировский или типа не дают доступ из "чужой" сети.

это было проверено сразу же - если шлюзы писать одинаковые то заходит на ура, если шлюзы разные ( с одной стороны 1.1 с другой 2.10 то нет rdp )

тут проблема как я понимаю с тем ,что

машина 192.168.1.100 с шлюзом 192.168.1.1 использует маршруты 1.1
а если изменить шлюз на 1.10 то маршруты 1.10 , но так как vpn между 1.1 и 2.10 нет то
подсеть 192.168.1.Х не видит подсеть 192.168.2.Х так как для 1.Х шлюз 1.1 а для 2.Х шлюз 1.10

ellviss
Цитата:

подсеть 192.168.1.Х не видит подсеть 192.168.2.Х

Естественно.
В сети 192.168.1.0 нужно всем хостам прописать маршрут к сети 192.168.2.0 через 192.168.1.100
В сети 192.168.2.0 нужно всем хостам прописать маршрут к сети 192.168.1.0 через 192.168.2.100
Либо прописать эти маршруты на шлюзах 192.168.1.1 и 192.168.2.1 соответственно.
Второй вариант удлиннит путь хождения пакетов за счет лишних хостов (шлюзы),
и работать будет асимметрично,
( туда - 192.168.1.Х - 192.168.1.1 - 192.168.1.100 - 192.168.2.Х),
( назад - 192.168.2.Х - 192.168.2.1 - 192.168.2.100 - 192.168.1.Х),
но его проще настроить.
Ну, а если это вдруг не заиграет, тогда первый вариант.