» VPN: вся информация в этой теме

Перечитал форум, может из-за невнимательности или еще из-за чего но кое-что я так и не понял. Помогите пожалуста розобратся в обших чертах.
1. VPN можно организовать как програмно так и апаратно. Если программно - то связь только односторонняя и максимум один тунель?
2. Если я хочу поднять ВПН между 20 объектами, где каждый объект имеет внутринию локалку как это будет выглядеть? т.е. в сетевом окружении я вижу 20 разныых сетей?
3. Насколько актуально ставить сервер на каждый объект (п.2). или реально хватит одного. На каждом объекте будет хранится база данных (маленькая).?
4. За цену 20 -30 тыс.руб. реально взять маршрутизатор (с vpn) с поддержкой до 100 - 50 тунелей?

BuBlo
т.е. тебе надо 20 обьектов связать???
обьект у тебя по сути некоторая сеть с серыми IP и выходом в инет...
А насколько удалены обьекты между собой???

В общем, поставь задачу... То что ты описал - это только вопросы... А что сделать хочешь-то??? Или что надо сделать???

Пиши...

Ну да я хочу связать 20 объектов, все они в разный городах расположенных рядом друг с другом (в каждом городе примерно по три таких объекта). Все имеют выход в инет, и статичный ip адрес. Под объектом я имел в виду небольшую сеть (примерно 5-10 ком. соединеных через хаб) местами чисто одиночные компы.

BuBlo
1. нет. в случае с программным сервером - как настроишь, но ставить сервера надо будет на всех объектах. в случае с аппаратными - к тому что как настроишь еще будут налогаться еще и реализованые на железке возможности
2. можешь увидеть, а можешь не увидеть. если они все будут частью домена или хотябы поставить dns и wins сервера в одном из офисов, то увидишь. в противном случае - нет.
3. для "двусторонних отношений" ставить серваки/дивайсы с реализацией впн-серверов на каждом объекте
4. не знаю

BuBlo
для связи сетей можно взять cisco SOHO(естественно по одной на каждую сеть)...
Для отдельных компов можно поднять OpenVPN...

Я предлагаю топологию типа звезды... Т.е. выбирается один центр и все остальные туннели строятся к нему. На этом же центре поднимаем OpenVPN(это программа) и одиночные компы подключаются к нему... На центральном компе надо будет настроить маршрутизацию между сетями.

в случае с ограниченной пропускной способностью "центра звезды" или ограничения по объемам трафика в "центре звезды", лучше "объекты" связать напрямую и маршрутизацию реализовывать непосредственно на объектах. мороки больше, но будет более менее оптимизировано с точки зрения потоков передаваемой инфы

BuBlo
Хотя тоже самое можно реализовать и без cisco вообще...
Но между сетями придется поднимать peer-to-peer(используя щзутмзт естественно).

Но программные средства дадут нагрузку на систему...

P.S: могу помочь в реализации. контакт через ПМ.

Добавлено:
enver
как я понял, необходимо связать все сети...
поэтому связывать каждого с каждым не оптимально... очень много геммороя...
Притом же я не увидел точного техзадания, поэтому говорю что и как сделать лучше.

Выбирать же будет BuBlo

Нужно поднять VPN-сервер на Вин ХР (или ОпенВПН). Подскажите где инфу почитать ?

BuBlo

по хорошему, 2 способа:
1. железки (не обязательно циски, можно и какие нить не самые дешевые роутеры типа тренднета, линксис - примерно по 70-150 уёв)
2. компы. Я бы на границы каждой сети ставил Unix - гемору меньше, защишен лучше Win. С лицензирвоанием проще )
Ну или WinXP с нормальным софтовым файером (типа Керио, например).

Далее настраивается маршрутизаци. Лучше всего смешанная топология (звезда с ответвлениями), но тут уж думать нада (если что - стучись, подскажу - у самого 6 удаленных объектов ))

aleks2133
openvpn.org
opennet.ru
google рулит, как всегда

Извените за флейм. Спасибо что помогли, сейчас я тех задания пока не могу дать так как не опридился до конца (да и не от меня зависит еще). Пока я себе представляю что всетаки один из объектов будет центром, ну а все второстепенные будут к нему подключатся. Также в планах поставить всетаки киску на каждый из объектов. Роль файлсервера будет играть один из компов сети (ставить на него планирую win2003server или XP). В данный момент ищу фирму которая возмется за настройку итд

ребят, вопрос есть

2003 сервер. стоял впн, долго стол, работал
в последнее вреся стал вылетать
после вылета не коннектится, помогает только перезагрузка
после перезагрузки вылетает 2 сообщения оо ошибке хоста
вот последнее что сохранил

это проблема настроек или сама винда умирает?

Помогите плз разобраться получится ли у меня то, что задумал
Контора состоит из Управления(40 компов) и 4 филиалов(в среднем по 3 компа). И там и там - одноранговая локалка.
1) Управление скоро будет подключено к интернет через 2 Мбит радиоканал ЗАО "Квантум"(по договору в моем распоряжении 5 реальных IP и сколько угодно серых. нужны реальные? и не свою ли VPN они меня включат? ).
2) Филиалы планирую подключить к инету через ADSL-модемы(опять нужны будут реальные IP?).
3) В Управе подниму PDC сервак Win2003.
4) IP-адреса Управы и филиалов переведу в одну подсеть 10.0.0.x.
5) Создам на PDC VPN-сервер(лучше виндовый или сторонний?) и настрою VPN-туннели от филиалов к VPN-серверу Управы.
6) Получу единый домен!

Lexa111
А что будет если канал оборвётся ?
Как слиенты домена работать будут ? Контролер то недоступен.
В этом случае может сделать один домен и 4-е раб. группы ?

Перестало работать VPN соединение между WinXP и WinXP: 721 ошибка, долго проверяет пароль и логин.
WinXP -> Win2k3 Server без проблем.

Удаление и создание заново на удалённой ведомой машине ничего не даёт
Никто не сталкивался?

Здравствуйте.
Помогите пожалуйста решить данную проблему
Есть DC(2003) + RRAS + корневой изолированный ЦС (все на одной машине). Необходимо настроить vpn подключение для удаленного пользователя (XPSP2) по l2tp с использованием EAP сертификатов.
На клиенте установлен сертификат от данного ЦС для проверки подлинности клиента (установлен в хранилище локального пользователя). Этот сертификат при подключении клиента определяется системой как подходящий для ЕАР. На сервер ставлю сертификат для проверки подлинности сервера (ставлю в хранилище локального пользователя). При настройке политики удаленного доступа (редактировать профиль -> проверка подлинности-> методы ЕАР) выбираю тип Smart Card or other certificate. Жму изменить, чтобы указать какой сертификат использовать
при попытке коннекта со стороны клиента получаю следующее сообщение после проверки логина и пароля:

ошибка 0х8009030С Попытка входа в систему неудачна

Посодействуйте пожалуйста в решении данной проблемы. Желательно не давать ссылки на базу знаний майкрософт. Спасибо

to kostik
1. железки (не обязательно циски, можно и какие нить не самые дешевые роутеры типа тренднета, линксис - примерно по 70-150 уёв)

а можно поподробнее про эти железки.
А хочется следующего:
есть инет. Подключение к нему осуществляется следующим образом:
ПК подключен через выделенку и получает динамический АйПи из приватного диапазона, если нужен инет то осуществляется VPN соединение с сервером провайдера и получаем былый АйПи. Одновременно доступен и инет и локалка. Есть так-же еще один комп (LAN) и КПК (через WiFi). Так вот хотелось-бы узнать есть ли такая железка, которая осуществляла бы подключение к локалке и инету мои железки, а то подымать на своем компе всякие soft решеня не хотелось бы по многим причинам.

Lexa111
лучше создать дерево доменов... Управа - корневой, а остальные - подчиненные...
притом же локалки желательно зашитить фаером...
по своему опыту говорю - для сетей лучше всего подходят циски и ща еще новая техника появилась от компании Juniper, но они дороже и по функциональности обгоняют циски.
А вот на цисках или juniper'ах потом поднимать туннели между сетями.

Но дерево доменов создавать не обязательно. Можно и без него обойтись...

Добавлено:
Zadr
сходи на сайты производителей да и посмотри, что тебе больше подойдет.

помогите плизз с настройкой двух компов под игру ЕверКвест2.
Игре нужен ВПН конект

как настроить ВПН на второй комп через локальную сеть?

первый комп подключен к ОпенСкай+выделенка и находится в городской локальной сети, второй комп тоже в локальной сети.

Создал на первом компе разрешать Входящие звонки с разрешением ВПН соединения, на втором компе конект создал ВПН, все отлично конектится, но при данном соединение перестает конектится ОпенСкай...типа РРР протокол отключен или ВПН невозможен.

как настроить это все чтоб и ВПН между компами был и ОпенСкай тоже работал?

fantome


Цитата:

лучше создать дерево доменов... Управа - корневой, а остальные - подчиненные...
притом же локалки желательно зашитить фаером...

slech надоумил меня сделать домен в управе, а в филиалах оставить рабочие группы. таким образом я лишусь проблем в случае обрыва связи. твой вариант тоже хорош, тока вот в филиалах не реально будет поднять домены там машины допотопные и новых не предвидится
защитить фаером я так понял, что железным? той же циской? я бы и рад, да циски просить уже не могу - бюджет уже утвержден теперь меня стала серьезно беспокоить сама возможность такой реализации VPN теми средствами, которые я имею
как бы ты это сделал, будучи на моем месте?

Klet
Наверно когда к тебе подключаются шлюз по умолчанию меняется или маршруты не те и получается что ты не можешь подконектиться, маршрутизацию смотри route print набери в командной строке с подключеным впн и без него и смотри шлюз какой становится.

Lexa111

Цитата:

как бы ты это сделал, будучи на моем месте?

У тебя есть управа и 4 филиала - в итоге 5 разных локалок.
А что есть из железа?
Если в филиалах компы допотопные, то софтверные решения не советую - могут возникнуть тормоза страшные...

Хотя из софтверных решений для ВПН могу посоветовать использовать онесурс проект OpenVPN - он довольно легок... инфу по нему можно посмотреть здесь -
__http://openvpn.net
__http://openvpn.se

А бюджет на 1 тысчу баксов не смогут расширить?
есть довольно простые циски - SOHO. стоят примерно 200 баксов за одну штуку... Если брать несколько, то возможно будут скидки...

Опиши, что у тебя есть.. Задача твоя решаемая...

fantome
5 локалок. в филиалах одноранговые по 3 компа(P2,P3). в управе пока что тоже одноранговая, но скоро подниму домен(как только куплю сервак).
да, я тоже смотрел в сторону OpenVPN. сегодня еще раз подумал над твоим советом и созвонился с людьми, которые будут на днях подключать управу к инету радиоканалом. они поставят роутер Revolution 5000, и сказали, что этот роутер поддерживает и функцию межсетевого экрана и VPN. это так да?
получается у меня в управе уже будет железный файрвол и железная поддержка VPN. вот я крепко призадумался....
теперь надо решить какой вариант применить в филиалах. там есть телефонная связь и возможность подключить инет через ADSL-модем.
для полностью железного решения мне надо будет ставить ADSL-модем и роутер типа SOHO(кстати объясни зачем ему 4 порта 10/100Base-TX на одном из интерфейсов. можно же просто 1 порт в свитч воткнуть и все)? причем ADSL-модем с поддержкой VPN? или есть более элегантные варианты?

Отчего слетает VPN подключение? Подключение GPRS(выход) наземный, и VPN (вход) спутник.
Подключаю, оба, работают. Через время VPN слетает (без предупреждений), и соединение идет через GPRS.

Lexa111
Во первых модем - это модем. У него другие функции...
Про
Цитата:

Revolution 5000

ничего сказать не могу - не работал я с ним...


Цитата:

роутер типа SOHO(кстати объясни зачем ему 4 порта 10/100Base-TX на одном из интерфейсов

4 порта у него на внутреннем(предназначенном для локальной сети) интерфейсе. Это сделано для удобства пользователей. В тех случаях, когда у тебя компов не больше 4-х, то зачем тебе свитч покупать???
А вообще SOHO расшифровывается как for Small Office and Home Office...

В филиалах тебе так и так придется делать инет... ADSL подойдет. порядка 2-3 мегабит хватит за глаза...

Про радиоканал могу посоветовать проверить его характеристики... У меня был какое-то время радиоканал - так в нем 10% потерь было... т.е. 10 из 100 пакетов терялись...

Про Revolution 5000 посоветую посмотреть в описалове сколько он может одновременно криптотуннелей поддерживать... киска SOHO держит 10 туннелей стабильно.

Добрый день.
Имеем:
Сеть. Контролер домена на Win 2K3. Еще один сервак (без роли контролера) - через который раздаётся Интернет. На нем же активирован Routing and Remote Access для работы в качестве VPN сервера. Настойки Routing and Remote Access от стандартных отличаются только тем, что в профиле Connection to MRaRA server на вкладке IP переключил радио-бутон с "Server settings determinate IP" на "Client may request an IP adress"
Кучку пользователей с разрешениями на Remote Access Permision.

А теперь самое смешное.
С одной удалённой машины - соединение создается. Причём для любого акаунта с разрешениями на VPN соединение. На всех остальных машинах - доходит до проверки пол-ля и пароля и всё. Пишет - удаленный компьютер не отвечает.
На серваке в логах появляются записи: Event Type:    Warning
Event Source:    Rasman
Event Category:    None
Event ID:    20209 Бла-бла-бла cause for this is that a firewall or router between the VPN server and the VPN client is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47).

В той конторе где работает соединение - пытался настроить соединение на другой машине - таже ситуация. Непускает. Настройки соединения на обоих машинах одинаковые...
Поотключал все файрволы. Ничего не помогает.

За 8 число - конечно прочитаю всю тему. Но если кто-то сразу подскажет - куда копать - большой спасиб.

WN688V
тебе винда ж говорит - не настроены разрешения для протокола GRE... Настройки должны быть на клиентской и серверной машине... Копай...

Цитата:

fantome

Очень смешно.

Если б ошибка была на серверной машине - неподключался бы никто. А я имею рабочее соединение.
Вторая машина с которой я пытался подключится - ставилась с нуля, кроме Офиса - никаких программ нет, брендмауеры, фаерволы не ставились.
Притянул эту машину к себе, подцепил её на внешнюю карточку ВПН-сервера - связь есть.

Думал, может провайдер удаленной конторы разрешает только одно подключение. Выключил работающую машину, пробую подключится со второй - связи все равно нет.

неделю назад в логах вижу одновременное подключение 4-х человек. Никто не жаловался.
Звонил своему прову - говорит наши настройки не меняли...

Извини конечно если оценил как грубость. А то что копать - я и так пытаюсь...

WN688V
на фаерах прова может быть запрещен протокол GRE...
А ВПН соединение может использовать либо IPSec, либо GRE...
если хочешь помощи, то настройки с работающей и настраиваемой машин в студию...

Ребята, кто-нибудь пробовал связать по VPN следующих товарищей: m0n0wall и ISA Server ?

помогите с мыслями -а то незнаю что попробовать еще

рабочая станция - Windows XP в одном городе
сервер PPTP (на D-Link роутере) в другом

все работало , пока не поменяли комптьютер с Windows XP (то есть куплен новый)
несколько раз я сам удаленно подключал этот комп -все нормально -а теперь

Итак :
на роутере настройки не менялись
рабочая станция с Windows XP -теперь новый компьютер (то есть куплен новый компьютер)

захожу удаленно средствами Radmin комп с Windows XP настраиваю все по инструкции
http://www.di-net.ru/posetup_vpn_xp.php

в результате после соединения по VPN пингуется только сам D-Link роутер или же те компьютеры у нас в сети ,на которых D-Link роутер прописан в качестве шлюза
(причем компьютеры на которых D-Link роутер прописан в качестве шлюза пингует только по IP адресу -по имени компьютера -не пингует)

а нужен доступ к другим рабочим станциям и серверам в сети у которых в качестве шлюза прописан Proxy-сервер ( эти раб станции и сервера вообще не пингуются)

подскажите -в какую сторону хоть думать?
на что это похоже?