» VPN: вся информация в этой теме

Есть машина с адресом ip1, она подключеня к АДСЛ-модему (роутер режим модема). Есть машина ip2, которая объединена в сеть с машиной ip1 и использует её в качестве шлюза.

Задача: сделать так, чтоб машина ip2 имела полный, неограниченный доступ в интернет, при этом машина ip1 имела доступ только на один сайт, оставаясь шлюзом для машины ip2.

Как это сделать, подскажите пожалуйста.

Если использовать авторизацию сквида, то как сделать так, чтоб машина ip1 не видела интернет без сквида?

Попробуй ВИнРоут. Создаешь Правила на доступ для ip2 -> ADSL через NAT. С пометкой разрешить ВСЕ. И создай правило для ip1 -> один сайт, только уже без NAT. Все остальное удали. И получится 3-и правила. 1-е: Доступ 2-й машины в инет, 2-е: доступ 1-й машины на 1 сайт, 3-е: запретить все остальное.

Только учти, при такой настройке, у тебя не будет доступа с ip2 к ip1.

всем сдрасте...
есть такой вопрос, можно ли завернуть в впн только одно приложение, при этом пустив весь остальной траф напрямую?
если можно то подскажите как...
система winxp или linux.

Сеть в офисе - десяток машин. Сервер 2003 - через него все идут в инет. Сервер подключен к провайдеру по VPN.
Проблема - иногда в районе летит электричество и сервер перезагружается - но автоматически с провайдером не соединяется. Т.е. надо приезжать, заходить на сервер, кликать по ярлыку, соединяться и уезжать.
Вопрос - как сделать чтобы при загрузке сервер автоматически соединялся. Ярлык в автозагрузку не функционирует.

Спасибо.

Попробуйте rasdial в батник впихнуть.
Ссылки по поводу:
http://www.coast.ru/utils/faq/winnt/197.html
http://it.bakinity.biz/smart.php?cat=2&id=82

asd01:

Цитата:

Подскажите, как можно соединить 2 компа из разных сетей, если ни на одном нет и не будет внешнего ip.

На быструю руку, за десять минут на всё про всё? http://www.hamachi.cc/

Цитата:

Сеть в офисе - десяток машин. Сервер 2003 - через него все идут в инет. Сервер подключен к провайдеру по VPN.
Проблема - иногда в районе летит электричество и сервер перезагружается - но автоматически с провайдером не соединяется. Т.е. надо приезжать, заходить на сервер, кликать по ярлыку, соединяться и уезжать.
Вопрос - как сделать чтобы при загрузке сервер автоматически соединялся. Ярлык в автозагрузку не функционирует.

Спасибо.

подними сервер RRAS настрой! как? смотри тут
_http://www.smart-soft.ru/?page=rasvpn

Требуется поддерживать VPN соединение. Всё бы ничего, ставишь в настройках подключаться столько-то раз после обрыва и все дела, но когда сервер, к которому надо подключиться - в дауне, и прошла какая-то часть попыток соединиться, то винда почему-то записывает этот IP адрес как бы в черный список. Т.е. даже когда сервак опять живой, то сколько не подключайся, а винда клиента постоянно будет думать, что сервак в дауне, пока её не перезагрузишь. Кто выход из этого положения знает?
и где вообще находятся настройки всех VPN соединений?

8kay8
Как я понимаю, речь идет о WinXP. Причем, скорей всего, о SP2. Никакого черного списка нет. Просто в XP есть такой глюк - если подключить VPN, а потом его сразу отключить, то сразу после этого может не получиться подключиться. Причем, не каким соединением подключаться и к какому серверу.
Попробуй проверить мои слова - создай еще одно соединение, которое будет коннектиться на другой сервер. Уверен, результат будет такой же:
Соединение с <IP>...
Ожидание около пол-минуты
Ошибка 800.

Я где-то читал что проблема решается перезапуском служб. Но не помню каких именно. Перестал заниматься этой проблемой за ненадобностью - отказался от VPN.

Кстати, попробуй подождать минут 5 и попробовать соединиться. То есть время повтора после разрыва поставь по-больше. Если не получится в автоматическом режиме, то попробуй в ручном. Чисто по опыту: никогда не жми на кнопку отмена в окне, где написано: Соединение с <IP>. Лучше дождись, пока появится ошибка 800...а вообще может так получиться, что он долго будет писать Соединине с <IP>...а потом соединится.

Люде - помогите пожалуста - нужен скрипт или может прога(звонилка какая)...чтобы умел звонить до провайдера по VPN, умел перезванивать при разрыве и главное стартовать как сервис - пожалуста!...

Цитата:

Кстати, попробуй подождать минут 5 и попробовать соединиться. То есть время повтора после разрыва поставь по-больше. Если не получится в автоматическом режиме, то попробуй в ручном. Чисто по опыту: никогда не жми на кнопку отмена в окне, где написано: Соединение с <IP>. Лучше дождись, пока появится ошибка 800...а вообще может так получиться, что он долго будет писать Соединине с <IP>...а потом соединится.

да не в этом дело. никакой отмены нет. я уже проблему рассказал, но вот решения пока не нашёл. я ничего не нажимаю, комп работает сутками и его никто не трогает. а вот если сервак загнётся, маршрута нет, то винда до следующей перезагрузки ни в какую с ним соединяться не хочет в тот же момент пишет, что сервер не доступен. и это продолжается до тех пор пока этот клиентский комп не перезагрузишь. даже если ждать сутки, а потом попробовать подключиться - ничего не выйдет

8kay8, это тот самый глюк, о котором я говорю, только с немного другим проявлением. Попробуй рестартануть службы сетевые. И попробуй поиграться с другим подключением.

Добавлено:
iknow
nncron тебе подойдет, я думаю.

Venchik
да - действительно...проще некуда!...все остальные звонилки по сравнению с ним просто хлам!....хде мой мосх был раньше!...

Цитата:

это тот самый глюк, о котором я говорю, только с немного другим проявлением. Попробуй рестартануть службы сетевые. И попробуй поиграться с другим подключением.

ну не буду же я клиенту говорить как надо службу перезапускать. другого решения нет?

8kay8
А, ну если клиенту, то это надо обращаться в техподдержку Microsoft.
В Windows 98 таких проблем нет.

есть две подсети в разных здания, в каждом здании есть выделенный канал в инет.
трубуется огрганизовать vpn туннель через инет между 2-мя зданиями.
здание 1 - VPN - здание 2
10,1,1,0/16 10,0,0,0/16

в каждом здании есть контроллер домена обслуживающий свой сайт.
адреса раздаются по DHCP
нужно чтоб все кроме DHCP трафика по каналу проходило.
для этого в здании 2 есть сервер смотрящий двумя линками в инет (на каждом свой ай-пи)
и двумя линкам во внутрь (один в локалку другой в сторону другого сайта в 3-м здании имеюго подсеть 10,2,2,0/16) на сервере стоит Трафик инспектор (он умеет ставить файрвол между локальными интерфейсами)

подумываю что необходим еще один внешний ай-пи - реальный,
тогда я в трафик инспекторе смогу его завести как 3-й локальный интерфес и соответственноне не придется думать о том как резать DHCP.

думаю что это не безопасно....
можно ли два сервера соединить посредством VPN так чтобы на обеих сторонах принимались подключения только от второй стороны и никакие другие, с инета и.т.д.
Т е. чтоб вообще никакие соединения на этот интерфес не принимались, а только VPN и только от другой стороны.?

с чего начать настройку VPN?
для выхода в инет использую NAT.
я думаю будут проблеммы с маршрутизацией...... никогда ее не настраивал
какие шлюзы для каких подсетей прописать ?

Настройка VPN сервера под серверными ОС Win 2000/2003
http://www.it-service.su/dokum/serv_vpn.htm

Всем доброго дня!
Обращаюсь к экспертам.
Есть такая тема - нужно объединить VPN-сетью 5 офисов компании (Германия, Польша, Белоруссия, Россия, везде свои локалки). Основная цель здесь - объединение телефонного пространства всех офисов и использование VoIP-шлюзов . Как представляется - это даст экономию в средствах на переговорах. Не придется платить тел. оператору за услуги - только за инет-траффик Это так?
Линии у всех мегабитные и выше.
Подскажите, что необходимо (из оборудования и софта) на Ваш взгляд?
Можно ли обойтись своими силами, без привлечения компаний-интеграторов?
Заранее спасибо всем за ответы

Можно ли работать с NAT прокси-сервера (например, UserGate 4.0) из разных подсетей, используя VPN?

Я опишу достаточно подробно, чтобы не возникало неправильного понимания проблемы.
Буду благодарен за ответы.

Есть городская домашняя сеть. Она включает в себя несколько районов, каждому из которых присвоен определённый диапазон адресов (10.1.255.255, 10.2.255.255 .... 10.15.255.255 ). Провайдер, предоставляющий услуги городской сети, также предоставляет свой доступ в интернет через VPN-соединение (но речь будет идти не об этом VPN-соединении).

Предположим, что мой компьютер имеет в этой сети IP-адрес 10.1.1.2. В другом районе существует отдельная локальная сеть, содержащая компьютеры, которые имеют адреса в диапазоне (192.168.0.1 - 192.168.0.255). Притом, компьютер с IP-адресом 192.168.0.1 имеет прямое подключение к интернету через другого провайдера, и на этом компьютере установлен прокси-сервер (в данном случае это UserGate). Все компьютеры в этой локальной сети получают доступ в интернет через данный прокси-сервер и могут без проблем использовать NAT прокси-сервера, указав в качестве шлюза и в качестве DNS-сервера адрес 192.168.0.1 в настройках соединения.

Далее, компьютер с адресом 192.168.0.1 (на котором установлен UserGate 4.0 и имеется прямой доступ в интернет) также подключают к этой городской домашней сети. Он получает адрес, предположим, 10.2.1.2. Я со своего компьютера (10.1.1.2) имею полный доступ к 10.2.1.2. Я могу использовать этот прокси-сервер и получить доступ в интернет наравне с компьютерами в указанной локальной сети. Единственное, что я не могу прямо использовать - это NAT сервера.

Если бы я находился в подсети 10.2.1.*, я бы мог указать в качестве шлюза и DNS-сервера адрес 10.2.1.2. Тогда все пакеты шли бы на этот адрес, и я имел бы полноценный NAT для интернета. Но я обязан указывать в качестве шлюза и DNS-сервера адрес 10.1.0.1, иначе я не смогу получить доступ за пределы подсети 10.1.1.*.

Единственное, что я могу придумать, чтобы суметь использовать NAT - это установить VPN-соединение с адресом 10.2.1.2. Тогда я могу попасть либо в подсеть 10.2.1.*, либо в подсеть 192.168.0.*. У меня будет там свой IP-адрес. По идее, пакеты идут по этому соединению. Это словно эмуляция такого же доступа в интернет, который предоставляет провайдер городской домашней сети посредством VPN-соединения.

Я пытаюсь настроить прокси-сервер для использования NAT для того IP-адреса, под которым я попадаю в локальную сеть. Я настраиваю, но NAT у меня не работает.

Ещё я не уверен, что такой способ соединения работает. Хотя, на первый взгляд всё кажется логичным.

Меня интересуют ответы на следующие вопросы:
1) Есть ли какие-нибудь способы использовать NAT для компьютеров, которые находятся в разных подсетях?
2) Можно ли использовать NAT прокси-сервера через VPN-соединение?

Cтоит простейшая задача - объединить филиалы (их три) и головной офис (в дальнейшем под словом "офис" понимать как головной офис, так и филиалы) компании в единую сеть, используя VPN, т.е. межсайтовое соединение. Каждый офис в т.ч. и головной имеет небольшое количество рабочих станций (до 10), по 2 сервера, которые я предполагаю разделить по ролям следующим образом:

Контроллер домена
Брандмауэр на базе ISA 2004 (ну он же разумеется будет и VPN-сервером)

В этой связи у меня есть несколько вопросов:
1. Могу ли я во всех офисах использовать одну подсеть (например: 192.168.0.Х 255.255.255.0), выдавая при этом в каждом офисе TCP/IP настройки из своего, диапазона адресов, неперекрывающихся друг с другом. Т.е., например Головной офис компании получает IP-адреса в диапазоне от 192.168.0.1 до 192.168.0.20; Филиал 1 получает IP-адреса в диапазоне от 192.168.0.21 до 192.168.0.40; Филиал 2 получает IP-адреса в диапазоне от 192.168.0.41 до 192.168.0.60 и т.д. Или же необходимо каждый офис разводить в свою подсеть типа: 192.168.0.X; 192.168.1.X и т.д.? И как вообще будет идеалогически правильно реализовать эту задачу?
2. VPN соединение мне необходимо в основном потому, что необходима синхронизация между головным офисом и филиалами некой базы данных. Однако будут ли при этом доступны сетевые ресурсы Филиала 1 Филиалу 2, ну и наоборот? В идеале хочется видеть всю локальную сеть, так сказать "как на ладони", чтобы у неинформированного человека даже не появлялось мысли о том, что компьютеры в сетевом окружении территориально удалены друг от друга! Кстати, будут ли в "Сетевом окружении" появляться ВСЕ компьютеры вне зависимости от их территориального месторасположения, ведь, насколько я знаю компьютеры в сетевом окружении появляются на основании широковещательных пакетов, а они через VPN-ы по идее не должны проходить?
3. Какая должна быть аппаратная конфигурация ISA, в том смысле, что достаточно ли двух сетевых интерфейсов (IN, OUT) для налаживания работы межсайтового VPN или же нет. И существует ли какая-нибудь разница между необходимой аппаратной конфигурацией ISA-сервера в головном офисе и филиалах?

Вроде пока всё Спасибо за Ваше терпение в прочтении столь длинного списка вопросов и не пинайте сильно, пожалуйста.

С ИСОй не делал, пробрасывал туннель с OpenVPN, потом объединял в мост внутр. локалку оффиса и VPN туннель. В таком варианте все компы находятся в одной подсети и прекрасно видны в сетевом окружении.

VladikJ

Цитата:

Настройка VPN сервера под серверными ОС Win 2000/2003

Грамотная статья, но она подразумевает, что маршрутизация УЖЕ включена. А у нас не удается её включить: говорит - отключите брандмауэр и повторите. остановили службу, отключили её автозапуск, сделали рестарт - то же самое выдает. как её еще отключить?

andrejvb

Цитата:

потом объединял в мост внутр. локалку оффиса и VPN туннель

не совсем понял этот момент. можно пояснить поподробнее?

enver

Цитата:

не совсем понял этот момент. можно пояснить поподробнее?

Ну смотри - в двух офисах локалки с адресами 192.168.0.х, адсл алимит, один постоянный ИП, второй динам. Домена нет. на шлюзовых машинах поставил KWF и ОРЕNVPN, адреса внутри - статика. 1й шлюз -192.168.0.1, 2й - 192.168.0.32
конфиг для дин ип снаружи:
# Client
remote 82.x.x.x
port 1194
proto udp
dev tap
secret "C:\\Program Files\\OpenVPN\\config\\client.key"
ifconfig 192.168.0.32 255.255.255.0

коннфиг для стат ип :
#server
port 1194
proto udp
dev tap
secret "C:\\Program Files\\OpenVPN\\config\\client.key"
ifconfig 192.168.0.1 255.255.255.0
Дальше объединяешь в мост интерфейсы Local и TAPxxx на обоих машинах у моста в настройках tcp указываешь их родные адреса, в службах устанавливаешь старт сервиса автоматом, настаиваешь правила в KWF. После перезагрузки в Сетевом окружении видиш машины обоих офисов

Доброго времени суток всем !
Вопрос может и не в топик, но все таки...
Wingate 5.2.3 на win2k3, соединение с Инет по VPN, ICS отключен. Проблем никаких, кроме : при соединении удаленного доступа - dialup (RRAS сервер установлен) NAT (на Wingate) перестает работать. Включишь/выключишь VPN - все в порядке, и так при каждом disconnect'e dialup'а. Где рыть ?

Я подключен к инету через DSL. Хочу поэкономить денег и ходить в нет через сервак на работе.
VPN настроил. Вопрос в том как сделать так, чтобы пустить мой интернет траффик через удаленный сервер. На сервере стоит Kerio WinRoute, дома тоже Kerio.

golon
VPN тоже ведь работает через Интернет, так, что боюсь трафик этим приёмом не сэкономить

PIL123
все очень даже разумно, если адрес рабочего сервера входит в список адресов, трафик на которые не считается

golon
а тебе наверое в темы по настройке Kerio тут и тут

golon

Цитата:

Хочу поэкономить денег и ходить в нет через сервак на работе.

У меня ситуация внешне похожая, разница в том что соединен из дома к серверу на работе по некоммутируемой меди (PTP соединение, SDSL connect на 2-х Nateks'aх), расстояние 1,3 км - мегабит постоянно(ничего не плачу, фирма эксплуатирует участок, а своя рука - владыка). Выигрыш налицо халява, или бонус.
У Вас ситуация иная - выход все равно через провайдера.
P.S. : Если внутригородские тарифы по ADSL гораздо ниже обычных, имеет смысл коннектиться как в Вашем посте, иначе - оставить в покое, или - через аналоговый модем (если RAS поднят на сервере на работе)

PIL123
wellwisher

В том то и дело, что в домашней зоне 1 мег = 19 копеек, а внешний по 1,7р за мегабайт, вот и получается экономия не хилая.
Поэтому и хочу перенаправит трафик на VPN соединение.