» VPN: вся информация в этой теме

Здравствуйте, имеется WatchGuard XTM 525.
Необходимо подключить филиалы по VPN.
Подключение на данный момент выполнено по PPTP с устройства Keenetik Lite II.
Доступ к ресурсам центрального офиса есть, но обратной связи нет.
Пробую поднять VPN тоннель между филиалом и оффисом по L2TP между стоящим рядом ноутбуком на котором установлена SoftEther и связь через 3G модем.
Прошу помощи. Уточню любые необходимые данные.

ElektroStep
Цитата:

Доступ к ресурсам центрального офиса есть, но обратной связи нет.

А какой обратной связи ты ожидаешь? И причина односторонней видимости
обычно либо НАТ, либо фаервол.
Цитата:

на котором установлена SoftEther

Тут есть темка по SoftEther, там линки на офсайт.
А на офсайте документация по связи типа LAN-to-LAN в изобилии.
Что не получается сделать по мануалам?

Обратную связь имею в виду, не могу достучаться до ресурсов филиала.
Вопрос в следующем: VPN подключение позволяет обоим участникам получить доступ к ресурсам друг друга или только в одну сторону?

ElektroStep
Цитата:

VPN подключение позволяет обоим участникам получить доступ
к ресурсам друг друга или только в одну сторону?

Как правило - в обе стороны. При правильно настроенной маршрутизации.
Пинговаться все должно в обе стороны. А вот доступ к ресурсам - это уже
вопрос настроек. Иногда даже в локальной сети его непросто получить,
об этом куча вопросов как в здешнем разделе, так и в виндузовом.
У многих ХР и "семерку" не получается по сети подружить.

Кому не трудно, протестите работает или нет, скажите с какими настройками подключается

vpn323364610.softether.net
user test
pas 1122
key 123

xaker7
Цитата:

Кому не трудно, протестите работает или нет

Работает, но не до конца. Пишет "сервер не назначил адрес".
Нужно либо назначить в настройках локального бриджа конкретный айпи для юзера test,
либо использовать DHCP сервер для этого.
Настройки на винде (использовал ХР) стандартные.
В свойствах подключения протокол L2TP/IPSec, в закладке Безопасность
выбрал "расширенные параметры", там отметил чекбоксы CHAP, MS CHAP, MS CHAP v2.
Ну дальнейшее видимо больше подходит для здешней темы по softether

Цитата:

При правильно настроенной маршрутизации.

Имеет место быть динамическая маршрутизация?


Добавлено:
Разобрался в чем проблема моя была:
Блокировал шлюз на моей стороне.
Необходимо было создать правило.
Теперь курю отличия протоколов VPN. Спасибо!

И я спрошу, может кто подскажет
VPN сервер сделан на windowsxp sp3. Как можно регистрировать подключения vpn-клиентов (время входа/выхода, имя клиента, желательно IP). Может есть скриптик или программа мониторинга.

Boxa_winxp
Цитата:

VPN сервер сделан на windowsxp sp3

Очень информативно. Есть куча разновидностей VPN серверов,
каждая со своими особенностями авторизации и логирования.

vlary
Имеется ввиду внутренними средствами windoowsxp (RAS сервер), протокол PPTP

Boxa_winxp
Цитата:

Имеется ввиду внутренними средствами windoowsxp

Тогда видимо обработка журнала винды, она все пишет туда.

В том то и дело нифига толком не пишет (только в безопасности 680 событие: Аудит успеха /Вход учетной записи / пользователь такой-то, и время)
Мне бы: пользователь вошел, тогда, с такого IP / пользователь вышел, тогда

Есть площадка с серверами, и есть порядка 10 офисов разных размеров по стране. В офисах постоянно работают где-то 100 чел, из дома, ну 10 максимум.

1) Нужно сделать VPN канал (IP SEC) между всеми, с возможностью подключения сотрудников из дома.
Т.е. к основному серверу должны быть подключены как роутеры офисов, микротики, (подключение site2site) так и пользователи с просто заведенным ВПН соединением на винде (point2site).
Возможно-ли технически организовать два типа подключений на одной железке?
Среди решений вижу дать статический ip адрес каждому офису и к ним подключаться центральным сервером на котором поднять VPN сервер point2site. Но хочется чтобы был один сервер, а остальные клиенты, т.к. некоторые офисы сидят на Yota, Mts, DLS и хз на чем ещё.
2) Какие советы по основной железке. Что сделать основным сервером?
Из вариантов: Mikrotik Core, Kerio control на мощный комп, Cisco (смущает ценник, но думаю, что можно попробовать выпросить у руководства, т.е. посоветуйте на какие модели циски обратить внимание)

10000volt
Решений 100500+, зависит от толщины кошелька и квалификации.
У меня, например, стоит в центре среднемощная циска (3825), в филиалах
всякая мелочь (17хх, 18хх, 28хх... )
Поднят DMVPN, организована общая корпоративная сеть.
На центральной циске подняты IPSec VPN WebVPN, одиночные юзеры коннектятся
либо с помощью Cisco System VPN Client. либо Cisco AnyConnect VPN Client.
На филиальских цисках вдобавок поднят L2TP/IPSec VPN Server,
клиенты могут коннектиться в свой офис непосредственно виндовым клиентом.
А если с железом и деньгами совсем напряг, можно рассмотреть чисто софтверный вариант,
например SoftEther VPN, все ссылки в той теме.

Спасибо за ответ.
Руководство не выделит 260 тысяч на 3825, а что-то менее мощное скорее всего не потянет моих 100 юзеров, да и стоить будет не намного дешевле. Начинаю посматривать в сторону Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ за 30 тыр.
По поводу, SoftEther VPN, буду рассматривать как вариант, на худой конец VPN на Win2008r2 серваке подниму. Но на винде не хотелось имхо.
Вопрос, как технически реализовано две ВПН сети одна site2site, другая point2site в рамках одного ВПН сервера? И возможно-ли это сделать на Mikrotik/Kerio control?

10000volt
Цитата:

Руководство не выделит 260 тысяч на 3825

Не обязательно брать новье. Если контора может закупать б/у,
то 3825 можно найти за 250 бакинских, а мелкие - где-то по стольнику.

Цитата:

Не обязательно брать новье. Если контора может закупать б/у, то 3825 можно найти за 250 бакинских, а мелкие - где-то по стольнику.

БУ не хотелось-бы.
Нагрузка не более 40 мбит на всех (110) пользователей, удаленный раб стол, почтовые сервера.
Во время ночного бэкапа до 100мбит несколько часов.
Посоветуйте, может есть ещё модели циски которые мне могли-бы подойти?

10000volt
Цитата:

Посоветуйте, может есть ещё модели циски которые мне могли-бы подойти?

Если исходить из необходимой производительности, то полезно почитать это:
Cisco Router Performance

Цитата:

Если исходить из необходимой производительности, то полезно почитать это:
Cisco Router Performance

Спасибо!

Добрый день! Нужна помощь в настройке vpn-туннеля между vps-сервером (CentOS 6.x) и Win7.

Win 7, пропатчен на многопользовательность, есть статичный IP, стоит он за роутером TP-LINK wr1043nd. К нему подключаются по RDP и работают на нем пользователи.

VPS-сервер только планируется к аренде. Предполагаемая ОС - CentOS 6.x. Нужно настроить туннель, чтобы пользователи при подключении к win 7 указывали IP-адрес VPS, и перенаправлялись на win 7.

Мне нужно задокументировать процесс настройки под запись (вы делаете и комментируете по голосовой связи по скайпу, и демонстрируете по аммиадмину). Я фиксирую процесс. Также нужна настройка Win7 и роутера (сделать правильные пробросы).

Помощь оплачивается

Сделал VPN сервер на Win XP.
Основной адрес этого компа 192.168.2.,2
VPN раздает 192.168.2.50 - 192.168.2.51
(всего 2 адреса специально - один для самого сервера + один для клиента).

При подключении клиента через интернет получается такой непонятный для меня момент.
Адрес клиента в своей сети 192.168.1.147
Клиент видит расшаренные ресурсы сервера по адресу как основному, так и VPN.

А вот с сервера расшаренные у клиента ресурсы видны только по 192.168.2.51.
Тут всё понятно.
Пишем на сервере маршрут
route add -p 192.168.1.0 mask 255.255.255.0 192.168.2.51 if (vpn интерфейс)

и клиент становится виден и по своему основному адресу (192.168.1.147)

А вот теперь самое непонятное.
Если клиент отключится и тут же подключится опять, то он опять не виден по адресу
192.168.1.147.
По VPN адресу - всё видится.

Но маршрут в route print никуда не делся, адреса подкючения те же самые...
Помогает только удаление данного маршрута и прописывание его опять.

Что я делаю не так?

P.S. проверил на Win 7 - все так же - не видится после переподключения.

Gromzx
Цитата:

Но маршрут в route print никуда не делся

Статические маршруты хранятся в реестре. И мы их видим в выводе route print.
Но когда шлюз становится недоступен, маршрут удаляется из таблицы.
В реестре он остается. И чтобы он снова добавился в таблицу,
его нужно удалить, а потом добавить снова. Так что все правильно.

vlary

да, я видел, что в реестре запись остается.

Но как сделать так, что бы маршрут автоматически поднимался при повторном соединении клиента с сервером?

В конечном итоге, надо чтобы клиент, подключившись к терминалу, мог печатать на СВОЕМ принтере.
А для этого хочется помнить именно адрес из своей сети, а не vpn-ский...
(я понимаю, что можно задать постоянный vpn адрес и работать через него...
и всё же, как можно сделать используя только адреса компов в своих сетях?)

Gromzx
Цитата:

и всё же, как можно сделать

Соответствующим скриптом на сервере. Вместо статического маршрута добавлять его при подключении клиента.
Вот почитай это: Managing IP Routes Through WMI

Народ подскажите. Сервис cyberghostvpn.Отваливается туннель по udp и tcp к российскому серваку примерно раз в час. С зарубежными всё в порядке По новой запрашивает логин и пароль. Путь к паролю прописан в конфиге. Что может быть, как хотя бы настроить автоматическое переподключение.

Буквально недавно начал заниматься разработкой veb приложений и пришел к тому, что мне нужно шифрования трафика через VPN сервер, вот: finevpn.org. Кто юзал? Говорят, что они тормозят сильно пропускную способность. Это правда? Заранее спасибо)

dimation96 Тебе туда: Пользуетесь ли вы VPN сервисами?

Подскажите, при подключении VPN сервера в Windows 10, создается неопознанная общедоступная сеть. Так и должно быть, или нужно поменять на частную? В настройках Ethernet эта сеть не отображается, соответственно поменять тип сети не могу. Через Powershell пишет:
PS C:\Windows\System32\WindowsPowerShell\v1.0> Set-NetConnectionProfile -InterfaceIndex <32> -NetworkCategory Private
строка:1 знак:42
+ Set-NetConnectionProfile -InterfaceIndex <32> -NetworkCategory Privat ...
+ ~
Оператор "<" зарезервирован для использования в будущем.
+ CategoryInfo : ParserError: ( [], ParentContainsErrorRecordException
+ FullyQualifiedErrorId : RedirectionNotSupported
Подскажите, нужно ли это делать и если нужно, то как?

Помогите решить задачку.
Есть маршрутизаторы TL-ER6120 v1.0 с прошивкой 1.0.7 Build 20140113 Rel.63736. Они обладают двумя портами WAN. Стоит задача сделать резервирование VPN каналов.
Конфигурация сети следующая, есть центральная точка и несколько периферийных, между ними построено по одному IPsec туннелю.
В центральной точке подключили вторую линию Интернет, а на периферии по прежнему по одной.
Как сделать резервирование VPN туннелей на случай падения любого из двух подключений в центральной точке, если маршрутизатор не дает возможности построить второй туннель IPsec ругаясь на дублирование внутренних адресов удаленной сети.
При этом есть возможность настроить VPN Server/Client для PPTP и L2TP. Их я еще не пробовал настраивать.

DarkDiamond
к сожалению симулятора этой модели мне найти не удалось - поэтому глянь есть ли в текущей прошивке нечто вроде VPN TRUNK?
Если есть то задача решаема, если нет то надо искать альтернативную прошивку.

Добавлено:
ЗЫ - эмуляторы смотрел тут http://www.tp-linkru.com/emulators.html