» VPN: вся информация в этой теме

Уважаемые, помогите разгребсти ситуевину!
Есть VPN (входящий), есть GPRS (исходящий), VPN пингуется, все замечательно,
а вместе работать не хотят, И-нет падает сразу. У меня GPRS Explorer, так там на
графиках реально видно, как скорость соединения в ноль падает.
Что за ...?

Как можно создать VPN соединение (сам ярлык на конкретной машинке) без использования мастера настройки, идеальный вариант через GP. У меня сейчас стоит задача подключения по VPN множества машин, и меня совсем не прельщает бегать по 100 компов и создавать эти ярлыки через мастера настроек. Выполняется ли это какой нить командой или еще как? ... Можно ли копировать?
где вообще система хранит информацию об этом? winXP и win2000

topcom, на "чистой" машине (в сетевых подключениях только локальная сеть), создай необходимые впн'ы с необходимыми тебе настройками. все это будет жить в
...\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk


Добавлено:
Возвращусь своей теме от 19.05.07 о подключении принтера ВПН-клиента.
Спасибо nfops за помощь. По ip-адрес клиента (\\192.168.0.91\HP1100) на сервере локальные принтера подключаются. А как бы этот процесс автоматизировать - ведь при каждом новом впн-подключении IP меняется. Можно все это осуществить без поднятия днс/винс?
И второй впрос - если у клиента будет настроен принт-сервер вне выдаваемого диапазона ip (192.168.0.80-192.168.0.90, принтер 192.168.0.91) будет ли принтер доступен с сервера ч/з впн по своему ip?

v1ct0r

спасибо!

Уважаемые, помогите разрулить такую ситуацию - есть центральный офис, win 2003 + ISA 2006 с внешним IP, есть филиал в доступом в инет, но без внешнего IP (c серым), в филиале стоит сервер win2003, ADSL роутер D-Link 2500U, свич D-Link 1005D, рабочий комп. Сначала ADSL роутер был подключен к свичу, и имел ip 192.168.1.250, на рабочем компе был настроен шлюз по умолчанию на этот Ip, и на сервере тоже, при этих настройках - vpn клиент был создан на сервере и успешно подключался к центральному офису. После установки в сервак второй сетевой карты, подключения к ней ADSL роутера, установки на серваке ISA 2004, vpn клиент на сервере перестал подключаться с выдачей ошибки 619. Настройки на ISA филиала сделал такие:
правило - VPN OUT - PPTP - Local Host - External - All Users
На сервере филиала сетевые интерфейсы настроены так:
LocalNet - ip: 192.168.1.25, mask 255.255.255.0, Default Gateway - пусто, DNS - 192.168.1.10 (локальный DNS)
Inet - ip: 192.168.11.11, mask 255.255.255.0, Defaul Gateway - 192.168.11.10 (ip ADSL роутера), DNS - 192.168.11.11

При этих настройках с филиала спокойно хожу в инет, а vpn никак - уже неделю бьюсь...
На сервак в центральном офисе с других филиалов по vpn подключаюсь без проблем, пробовал подключаться с тем же пользователем - все ок... Но с этого филиала не получается... Я уже склоняюсь, что дело в ADSL роутере..., но ведь раньше ходило все..

С Уважением, Александр..

Доброго времени суток!
Может быть здесь мне помогут с настройкой vpn на cisco 2611.
Есть два офиса в разных концах города в одном(где нахожусь я) стоит cisco, через которую настроена подача интернета на наши компы по dhcp, в другом все идет через сервак с керио.
Есть необходимость дать доступ к моей сети из другого офиса,что бы юзеры оттуда спокойно могли получить доступ к ресурсам моей сети.Я уже мучаюсь почти месяц, перелопатил кучу мануалов и прочей литературы и ничего толкового не получается.Помогите пожалуйста и желательно на каком нить примере,а то я наверное скоро сойду с ума.)))

немно информации о сети:
внешний ip: 89.179.*.*
внутренний диапазон: 192.168.10.0-192.168.10.255

enito
если я прально понял, то Вы хотите поднять туннель между двумя офисами?
С одной стороны циска, а с другой - программный роутер?
Адреса во второй сети как выдаются и в каком диапазоне?

Да,пытаюсь поднять тунел,но пока безуспешно.адреса во второй сети прописываются руками,в диапазоне: 10.0.10.0-10.0.10.255( что-то вроде этого)

Мужики! Такой вопрос, есть офис в другом городе, нужно настроить VPN соединение с центральным офисом ЧЕРЕЗ ИНТЕРНЕТ.Как это сделать.Смирился и жду помощи

Podorojnik
типа, а чо есть из железа??? какие сети в офисах??? Какой тип подключения офисов к инету??? статические ли внешние ай-пи???

Добавлено:
enito
ну на циске тебе надо настроить криптомап и ACL. Это в режиме глобальной конфигурации команда crypto map. И повесить его на внешний интерфейс.
А вот как IPSec настроить на керио хз... С керио я так плотно не работал.

по циске могу доки скинуть на эту тему...

А ACL примерно вот так должен выглядеть:
access-list 100 permit 192.168.10.0 0.0.0.255 10.0.10.0 0.0.0.255
access-list 100 permit 10.0.10.0 0.0.0.255 192.168.10.0 0.0.0.255

затем его надо подцепить в криптомап...

fantome
если не трудно, скинь ссылки на мануал.буду весьма длягодарен

www.ciscopress.com

http://rapidshare.com/files/42110761/Cisco.Press.IPSec.VPN.Design.Apr.2005.ISBN1587051117.chm.html

будут вопросы - спрашивай...

там в мануале много примеров, какой выбрать мне?

enito

Цитата:

там в мануале много примеров, какой выбрать мне?

мануал - не пошаговое руководство... Он как учебное пособие... Тебе необходимо сделать нечто подобное.

openvpn.
Схема такая. Терминальный сервер (openvpn-сервер). В локальной сети Openvpn-клиент. Как сделать так, чтобы сервер видел локальную сеть, находящуюся за openvpn-клиентом?

valhalla

Цитата:

Как сделать так, чтобы сервер видел локальную сеть, находящуюся за openvpn-клиентом?

боюсь, что это невозможно... В таком варианте лучше p2p поднимать... Можно также с использованием OpenVPN это сделать(поднять р2р)...

Вопрос знатокам:
система 2003, настроил VPN на адсл-модем. Теперь ситуация изменилась - сервер без модема, инетом пользуется от сети. Но инет раздавать он должен. Как настроить? Фактически там стоит одна сетевая карта, чтобы выбрать внешним интерфейсом? (раньше в качестве его использовался модем).
Настравивал по инструкции с http://smart-soft.ru/?page=tidoc

И аналогичный вопрос, чисто для себя - если интернет обычный, по диалапу, такой же вопрос, что необходимо изменить?

Apiko
а как инет с локалкой у тебя связаны? Если через роутер, то запрещаешь на роутере всем доступ в инет, кроме сервера, на сервер ставишь проксю и всех клиентов пускаешь через сервер.

fantome:

инет без роутера, от модема идет на сервер, сервер на FreeBSD. доступа к серверу нету. Но инет есть на моем компьютере, от которого и требуется раздавать инет по ВПН. На самом сервере, куда подключен модем - насколько я понимаю голая система, без прокси, без всего. Ибо адми н даже не знает, кто сидит в инете, а кто нет. И никак не может отселедить. Даже логов не остается. Ему там что-то намутили на скорую руку, а он сам ни бэ ни мэ. только кнопку ресет нажать модет.

Вот и итребуется раздавать его инет со своей машины.

Цитата:

Вот и итребуется раздавать его инет со своей машины.

Ставишь NT/2000/2003 Server и юзаешь PPTP линк либо OpenVPN/прочий аналогичный софт. С PPTP я работал, с OpenVPN нет, потому распишу для PPTP.
Ставится Kerio Winroute Firewall (либо Kerio Winroute Pro 4.1.25 - но под 2003/ХР не всегда ставится, от чего зависит - хз). Создаются DialIn аккаунты, настраивается DialIn подключение, в Kerio Winroute Firewall для DialIn создается правило - доступ к сетевой карточке для всех служб, использовать NAT. Можно попробовать и заюзать виндовый НАТ - но я не пробовал.

Это все будет нормально работать, но админ при памяти может попалить - т.к. с твоего компа будут идти пакеты с разным TTL.

По настройке входящих ВПН - гугл рулит. вот пару линков:
http://isaserver.ru/forums/thread/2468.aspx
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ru/library/ServerHelp/00c498a8-95e7-4780-942e-c4594b01f615.mspx?mfr=true

Apiko

Цитата:

Вот и итребуется раздавать его инет со своей машины.

наиболее просто это сделать следующим образом:
ставишь на свой комп две сетевухи - в одну из них втыкаешь модем. А вторую втыкаешь в свитч, подключенный к локалке... На компе ставишь прокси-сервер - можно любой и настраиваешь клиентов на свой прокси.

Цитата:

ставишь на свой комп две сетевухи

Если не ошибаюсь, была задача раздавать инет во внутреннюю сеть а для прокси 2я сетевуха с другим адресом - вообще излишество
Да и челу ВПН нужен...

Xirss

Цитата:

а для прокси 2я сетевуха с другим адресом - вообще излишество

Вы действительно так считаете? Что же в таком случае делать, если интернет приходит в офис в виде RJ45/витой пары, а не USB/ADSL-девайса?

Цитата:

Вы действительно так считаете? Что же в таком случае делать, если интернет приходит в офис в виде RJ45/витой пары, а не USB/ADSL-девайса?

2 ип адреса для сетевой карты еще никто не отменял

Xirss

Цитата:

была задача раздавать инет во внутреннюю сеть

спасибо за напоминание, но задачу я помню.
и исходя из задачи предлагаю решение, но не настаиваю на том, что только оно правильное. Это один из вариантов.

Инет надо раздать, а также вести учет трафика, насколько я понимаю... И закрыть пользователям доступ в инет напрямую...

Добавлено:
Xirss

Цитата:

2 ип адреса для сетевой карты еще никто не отменял

интересно и как же вы на компе на сетевую пропишите два IP???
ссылку на ман в студию...

Цитата:

интересно и как же вы на компе на сетевую пропишите два IP???
ссылку на ман в студию...

Свойства tcp/ip - дополнительно. Там добавляются ИП адреса с подсетями, основные шлюзы и т.д. Есть точно начиная с НТ4 (насчет 9х - не уверен, но вполне может быть).

Xirss
да, такое возможно. Я такое на цисках видел... Не думал, что винда на такое способна...

Но моё личное мнение в т ом, что это не есть хорошо на один интерфейс два IP прописывать... Сетевуха - не роутер...
И потом я не уверен, что при такой конфигурации прокси будет корректно работать. Проверить бы это, но не на чем...

Прокси-то работать будет (ему-то какая разница), а вот NAT при наличии одной сетюхи - только через ВПН линк...

Xirss
но при прописывании на одной сетевухи двух IP не получиться завернуть всех пользователей через сервер, так как найдется умник, который сделает также как на сервере, или просто перенастроит свою сетевуху на IP модема...

исходя из условий задачи надо все же чтобы линк от модема приходил именно на сервер и никак иначе... Нельзя его в свитч пихать...

Теоретически - да.
На практике же умник должен угадать ИП модема, маску подсети, ну и + со стороны модема можно ограничить принимаемые адреса...