Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» VPN: вся информация в этой теме

Автор: bytilka
Дата сообщения: 18.03.2006 15:04
Спасибо за ответы! Мужики теперь такая фигня: Клиент коннектиться-все ок,но почему то сетку не видит =( Даже пинговаться не хочет. Не подскажете что это может быть?
Автор: Master_Alex
Дата сообщения: 19.03.2006 14:02
Venchik
Ну протокол такой, как и все остальные. Портов у него нет. Протокол GRE номер 47.
Напр. протокол TCP - это номер 6.
Автор: Venchik
Дата сообщения: 19.03.2006 23:02
Master_Alex, а можете кратко рассказать что есть GRE и как он связан с VPN?
Автор: bytilka
Дата сообщения: 20.03.2006 07:24
Так мужики никто не знает в чем дело,если клиент коннектиться а сети не видит? Странная чепуха =)
Автор: Venchik
Дата сообщения: 20.03.2006 08:50
bytilka, возможно, не прописаны правила, которые дают VPN клиентам возможность пинговать машины, стоящие за роутером.
Автор: Master_Alex
Дата сообщения: 20.03.2006 09:53
Venchik

это чистой воды RTFM, предлагаю для начала прочесть всё что есть в шапке этой темы.
Автор: JWH1
Дата сообщения: 22.03.2006 11:40
На сервере 2003 настроен ВПН серевер раньше клиенты спокойно подключались
Теперь установил контроллер домена, все вроде заработало.
Но в настройках пользователей на вкладке "Входящие звонки" написано "не удается инициализировать страницу входящего звонка", а именно здесь должно настраиваться можноли пользователю удаленный доступ и с какими правилами.
Может кто нибудь сталкивался.
Автор: Palza
Дата сообщения: 29.03.2006 19:33
Можно ли как-нибудь различить компьютер, который вошел в сеть в офисе, от того, который по VPN через тнтернет(это необходимо для DHCP, чтобы MS ISA мог отнести этот компьюткр либо к клиетам VPN, либо к internal)
Автор: Lamerok
Дата сообщения: 30.03.2006 12:07
Здорова, отцы!
Имеем:
ISA Server 2004 Std ( он же VPN сервер)
Контроллер домена с установленным CA
Удаленный компутер.

По PPTP все работает без проблем, но при попытке прикрутить сертификаты и завести L2TP в логах VPN сервера наблюдаем следующее:


Код: The user administrator@mydomain.ru connected from xxx.xxx.xxx.xxx but failed an authentication attempt due to the following reason: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
Автор: Leecher
Дата сообщения: 30.03.2006 14:30
Palza
VPN как раздает адреса? Статически?
Тогда исключить этот диапазон из scope основного DHCP
Автор: vii
Дата сообщения: 01.04.2006 05:52
Прочитал первую страницу и несколько последних. Для своей задачи ответа не нашел. Так что, сильно не бейте, если было уже.
Есть ВПН-девайс (конкретно Citrix Access Gateway, хотя мне кажется, что это не важно). Он стоит в удаленной сети. Я с ним соединяюсь (с пом. клиента) и получается типа point-site. Т.е. все отлично: вся удаленная сетка видна, как на ладони.
Как мне это чудо превратить в site-site? Т.е. хочу, чтобы вся моя локалка ходила в удаленную сетку.
Сейчас все машины в локалке соединяются с интренетом через раутер, т.е., как я понимаю, просто прописать им меня шлюзом не получится.
Локальные адреса подсетей разные (типа 192.168.1.0 и 192.168.2.0).
В принципе, есть возможность запустить ВПН клиента на машине с 2-мя сетевухами, но я не уверен, что это поможет.
Буду рад любым мыслям.
Автор: Mobil84
Дата сообщения: 03.04.2006 22:18
Что такое "SSL VPN"? где можно почитать описания? желательно на русском....
Автор: mactepit
Дата сообщения: 04.04.2006 07:13
подскажите пожалуйста как лучше организовать соединение через VPN в офисе на 10 машин, где 7 из них ноуты и 4 из них вечно кочуют по всей стране у меня в офисе стоит сервер где Windows 2003 поднят домен но включены только стационарки ноуты я пока не решился внедрить также в офисе установлена мини АТС и кстати на серваке только одна сетевая карта. Как это лучше реализовать но вобще надо вам сказать что ноуты я все таки включу в домен так как было указание сверху их включить в домен блин я представляю конечно сколько проблем будет с этим но всетаки.
Спасибо вам заранее за поддержку.
Автор: Rotten
Дата сообщения: 04.04.2006 13:56
да Mobil84
меня тож интересует как вобычному VPN серверу на винде прикрутить сертификаты.
охота и шифрование и логин и пароли пользователей и ещё сертификаты.. всё таки важные данные.
и ещё вопрос
PPP adapter ss:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.1.185
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.185
DNS Servers . . . . . . . . . . . : 192.168.1.14

это я сказал давать айпи из пула.. это нормлаьно что у него шлюз тот же айпишник что и дался или лучше ВРСЗ поднять мелкое и пусть бегает по DHCP?


Добавлено:
понял DHCP и он не подцепляеться не видит его кричит ошибка 733 . если просто пул адресов задать то всё ок. подскажите в чём дело?
Автор: Mobil84
Дата сообщения: 04.04.2006 19:56
Rotten
мне бы по этой теме хотя бы теорию...
"SSL VPN"
Автор: mactepit
Дата сообщения: 05.04.2006 09:22
Mobil84
куда тебе выслать ?
Автор: Aisman1
Дата сообщения: 05.04.2006 11:39
есть локалка, выход в Интернет через машину с UserGate (ADSL). В локалке поднял VPN сервер на Win2003 для подключения удаленных пользователей PPTP.
Если я правильно понимаю для работы по PPTP мне необходимо разрешить вход/выход TCP 1723 и протокол IP 47 (GRE). Т.е. в UserGate маппинг портов TCP 1723 с внешнего на внутренний интерфейс сделать. А как быть с протоколом IP 47?
Кто сталкивался именно с UserGate + VPN? Подскажите пожалуйста
Автор: Scrabby
Дата сообщения: 05.04.2006 20:12
Народ, подскажите пожалуйста как правильно настроить маршрутизацию, если ситуация такая:
на работе сеть 192.168.0.0 - 192.168.0.255. Существует шлюз 192.168.0.1 с двумя интерфейсами (один - АДСЛ выход в инет со статическим внешним адресом, другой смотрит в локалку), на нем - kerio winroute отвечает за нат и раздачу инета.
Возникла необходимость поднять на ВинРоуте его собственный VPN, чтобы из дома можно было заходить в сеть через инет. Все сделал, дома поставил kerio vpn client, все нормально, подключился к внешнему адресу рабочей тачки, соединение не рвется, адрес дан 172.27.38.2, но я не могу видеть рабочие тачки, в т.ч. сервер и все остальные, не вижу также и их ресурсы... проблемы с маршрутизацией, наверное дело именно в этом... вопрос в другом: как настроить маршруты? глупо, но я не знаю
Да, кстати, дома у меня локалка с выходом в инет через шлюз, 10.0.0.0 с маской 255.255.0.0, адреса назначаются через дхцп, мой - 10.0.1.137...

вот лог впн клиента:

[05/04/2006 20:58:23] GUI: connecting to '193.124.xxx.xxx'
[05/04/2006 20:58:23] D[VPN client] VPNClient[0002] - connecting to 193.124.xxx.xxx:4090, username Scrab
[05/04/2006 20:58:23] D[VPN client] VPNClient[0002] - server name resolved - 193.124.xxx.xxx
[05/04/2006 20:58:23] D[VPN client] VPNClient[0002] - route to server added, gw = 10.0.5.14 (adapter 0x2)
[05/04/2006 20:58:23] D[VPN client] VPNClient[0002] - local TCP address = 10.0.1.137:1610
[05/04/2006 20:58:27] D[VPN client] VPNClient[0002] - SSL connection successfully established
[05/04/2006 20:58:27] D[VPN SSL] Certificate checked, result = 0x00000805, revocation checking disabled in Internet Options
[05/04/2006 20:58:27] D[VPN client] VPNClient[0002] - sending VERSION message, version = 2
[05/04/2006 20:58:28] D[VPN client] VPNClient[0002] - received VERSION message, version = 2
[05/04/2006 20:58:29] D[Cipher] BLF[1/1]: generating blowfish parameters
[05/04/2006 20:58:29] D[Cipher] BLF[1/1]: allocated memory for blowfish cipher configuration.
[05/04/2006 20:58:29] D[Cipher] BLF[1/1]: blowfish parameters randomized
[05/04/2006 20:58:29] D[Cipher] BLF[1/1]: blowfish parameters generated
[05/04/2006 20:58:29] D[Cipher] BLF[1/1]: generating config message
[05/04/2006 20:58:29] D[Cipher] BLF[1/1]: generating config message
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002] - received R_IPCONFIG message, IP = 172.27.38.2/255.255.255.0, CEP = 3600 s.
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002] - connection added in driver.
[05/04/2006 20:58:30] D[Cipher] BLF[1/1]: generating config message
[05/04/2006 20:58:30] D[Cipher] BLF[1/1]: generating config message
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002]: primary cipher added in driver
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002] - driver started sending secret to 193.124.xxx.xxx:4090.
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002] - waiting for SECRET_RECEIVED from 193.124.xxx.xxx:4090
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002] - SECRET_RECEIVED received
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002] - driver stopped sending secret to 193.124.xxx.xxx:4090.
[05/04/2006 20:58:30] ОК (10): Соединение установлено успешно.
[05/04/2006 20:58:30] D[VPN client] VPNClient[0002] - received ROUTES message

Как вы наверное знаете, керио впн клиент создает новое подключение kerio vpn, а также keriо vpn adapter в устройствах с адресом 169.254.28.99 ( у меня)... короче запутка какая-то...

вот роут принт у меня на домашней тачке:

C:\Documents and Settings\Scrab>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 01 6c a9 35 93 ...... NVIDIA nForce Networking Controller - ╠шэшяюЁ
ырэшЁют∙шър яръхЄют
0x30004 ...44 45 53 54 90 08 ...... Kerio VPN adapter
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.0.5.14 10.0.1.137 20
10.0.0.0 255.255.0.0 10.0.1.137 10.0.1.137 20
10.0.1.137 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.0.1.137 10.0.1.137 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.28.0 255.255.255.0 169.254.28.99 169.254.28.99 20
169.254.28.99 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.28.99 169.254.28.99 20
224.0.0.0 240.0.0.0 10.0.1.137 10.0.1.137 20
224.0.0.0 240.0.0.0 169.254.28.99 169.254.28.99 20
255.255.255.255 255.255.255.255 10.0.1.137 10.0.1.137 1
255.255.255.255 255.255.255.255 169.254.28.99 169.254.28.99 1
Основной шлюз: 10.0.5.14
===========================================================================
Постоянные маршруты:
Отсутствует

Пожалуйста, помогите настроить маршрутизацию! Буду очень и очень благодарен!!!
Автор: mashinka
Дата сообщения: 07.04.2006 12:43
доброго времени суток

в пару предложений )
у меня большая сетка и там где-то внутри находится впн сервер. как только подключаюсь по впн, перестают пинговаться айпишники (!, даже не имена) сетки, зато пингуется гугль, рамблер и тд )
а я еще хочу в сетку ходить...

Добавлено:
>_<

не ну я галочку убрал, тока теперь нета нет :( подключение отображается, сетка пингуется, да вот нета нет...

и подскажите кто днс сервер какой в нет
Автор: Master_Alex
Дата сообщения: 07.04.2006 17:06
mashinka
проконсультируйтесь с вашим администратором
Автор: Megapepper
Дата сообщения: 07.04.2006 17:31
У меня такой вопрос. Как занатить VPN под winXP. Именно занатить (т.е. через NAT а не через ICS) средствами самой винды. Нашел в винде тулзу netsh (вроде умеет все тоже что умеет RRAS в серверных виндах). Локалку через нее занатил без проблем. А вот с vpn не получается.
ICS не подходит, потому как надо натить и саму внешнюю локалку, и VPN. А ICS это не умеет.
Автор: vii
Дата сообщения: 11.04.2006 23:40
3 вопроса.

1. На 2003 сервере установил VPN-сервер. Делал Custom configuration, галки на VPN и LAN routing, остальное все по дефолту. Только пул адресов для клиентов задал.
Получается так:
Клиент подключается и получает доступ к VPN-серверу. Остальные машины даже не пингуются.
Делал то же самое в другой сети (и не раз) - все отлично.
Галки на раутинге стоят, Windows файервола нет. Что еще можно проверить?

2. В той же сети другой сервер после серии экспериментов пришел к такому состоянию:
Клиент подключается, и нечего не пингуется, даже сам сервер.
После установки соединения клиенту выдается правильный адрес из пула. В свойствах установленного соединения (в details) видно, к примеру:
Сервер 192.168.11.251
Клиент 192.168.11.252
Не пингуется даже 192.168.11.251.
Пробовал сносить VPN-сервер и ставить его заново - ничего не меняется.
В логах никаких специфичных вещей не видно. Куда копать?

3. Можно ли сделать site-to-site VPN, если в обоих сетях сервера с одним сетевым адаптером? К интернеру подключены через раутер. Нужно как минимум из одной сети видеть всю другую сеть.
Я вот нашел картинку. (Которая Site-to-Site RRAS with router)
http://www.chicagotech.net/vpnsolutions.htm#3.%20Site%20to%20Site%20VPN
На вид как раз то, что мне нужно. Где можно почитать? В наличии Win2003 Enterprises Edition. ISA net.
Автор: vii
Дата сообщения: 14.04.2006 18:10
По пункту 2.
Уже башку сломал... Такое впечатление, что на сервере проблема с раутингом. Вот таблица. Что тут неправильно?

Код: IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 14 22 24 0a 96 ...... Intel(R) Advanced Network Services Virtual Adapter
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.11.4 192.168.11.21 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.11.0 255.255.255.0 192.168.11.21 192.168.11.21 10
192.168.11.21 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.11.251 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.11.252 255.255.255.255 192.168.11.251 192.168.11.251 1
192.168.11.255 255.255.255.255 192.168.11.21 192.168.11.21 10
207.237.37.26 255.255.255.255 192.168.11.4 192.168.11.21 10
224.0.0.0 240.0.0.0 192.168.11.21 192.168.11.21 10
255.255.255.255 255.255.255.255 192.168.11.21 192.168.11.21 1
Default Gateway: 192.168.11.4
===========================================================================
Persistent Routes:
None
Автор: seiken
Дата сообщения: 14.04.2006 21:07
Есть проблема настройки VPN на базе w2k3 с использованием EAP и сертификатов. Поставил сервер, установил ЦС (standalone root), установил RRAS и настроил на VPN, указал EAP, аутентификация через RADIUS. Выдал серверу сертификаты IPSec и проверка подлинности сервера, а клиенту - IPSec и проверка подлинности клиента. Все выданные сертификаты и на клиенте, и на сервере видны через mmc. Но при попытке подключения на клиенте немедленно возникает ошибка №798: невозможно найти сертификат, который мог быть использован EAP. Хотя все сертификаты по идее на месте. Кто-нибудь сталкивался с такой проблемой?
Автор: vii
Дата сообщения: 18.04.2006 21:16
Вроде бы с 2003 я разобрался.
Получилось site-to-site VPN. Но для этого пришлось включить NAT на исходящем сервере.
А как такое сделать на 2000? Там даже фишки такой нет.
Я сделал новый интерфейс для demand-dial.
Сейчас с сервера вся удаленная сеть видна. Как на ней NAT поднять, чтобы можно было остальным машинам route прописать?

Добавлено:
Всем спасибо, разобрался.
Еще один вопрос. Если я хочу, чтобы удаленная сетка видела мою, надо оттуда так же настраивать доступ на мой VPN сервер или можно и без этого обойтись?
Автор: mactepit
Дата сообщения: 20.04.2006 09:10
Windows 2003 Server оснастка IIS по умолчанию занимает 80 порт что создавало проблемы с работой некоторых программ, которые также по умолчанию занимают 80 порт приходилось перебивать порты вручную что создавало дополнительные проблемы.
Было принято решение удалить оснастку IIS в результате освободился порт 80 что очень упростило работу программ но обнаруживается что не работают пинги в командной строке. Команды ping, ipconfig он расценивает как "command ping is not recognized as internal or external command, operable programm or batch file". Может это изза того что я удалил эту оснастку?
Заранее большое спасибо за поддержу.

Добавлено:
Кстати я ее удалил из панели управления Add and remove components ну так вот вдобавок ко всему я хотел восстановить ее но не смог т.к он не запускает ее и выдает сообщение что "Setup library wbemupgd.dll couldn't be loaded or function OcEntry couldn't be found. Contact your system administrator. The specific error code is 0x7e." Вот такое вот сообщеньице. Посмотрел файл wbemupgd.dll он лежит в директории систем рут в единственном экземпляре ну вроде как и должно быть да? или нет? Что мне сейчас делать? Есть вариант восстановить Винду до какой то точки восстановления но не потеряю ли я своих настроек в Модуле Администрирования? Все это происходит на контроллере же. Или сделать Backup хотя в сущности это же то же самое да? Потому как когда я его делал я ему задал Бэкапнуть и системные данные.
Что мне делать ? Помогите пожалуйста.
Автор: Mapleserg
Дата сообщения: 23.04.2006 15:13
Может глупый вопрос, но просветите, плиз...
Есть 1-й комп с Вин ХР про СП2, 2-й комп с Вин ХР про СП1а, оба имеют выход в инет с постоянным айпи. На первом создана возможность подключаться к нему через VPN, на втором установлено VPN-подключение к первому. VPN-подключение запускается, работает (хотя и второй комп через него в инет выйти на может).
Вопрос первый (главный) - можно ли со второго компа видеть расшаренные папки на первом и если можно, то как это устроить? Сейчас не видно ничего.
Ну второй и дополнительный - почему все же при запуске VPN-а не получается выйти в инет со второго (т.е., используя инет-подключение первого)?
Автор: 1nvisible
Дата сообщения: 28.04.2006 21:30
Люди добые, подскажите, пожалуйста, как пофиксить невозможность подключения более одного клиента к серверу Win XP SP2. Все время пишет "Подключение данного типа уже используется".
Автор: Vby
Дата сообщения: 28.04.2006 23:40
1nvisible
Поставить серверную ОС
Автор: 1nvisible
Дата сообщения: 29.04.2006 11:32
Vby
К сожалению, не могу, т.к. нужно именно под XP.
В теме уже обсуждалось, что где-то в реестре хранится число открытых для VPN портов (которое в 2003 сервере настраивается через консоль), никто не знает где оно?

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697

Предыдущая тема: Белый-Черный лист


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.