» VPN: вся информация в этой теме

valhalla

Цитата:

Можно.

Как? Стандартными виндовыми средствами, третьесторонними прогами?
Я делал так: на клиенте, который
Цитата:

будет называться сервером

, разрешил входящие соединения, в т.ч. с VPN.
На другом настроил соединение к рабочему месту с помощью VPN, указав адрес "сервера".
(Такой момент - айпишник указывал внутренней сети, не интернета.)
Указываю юзера, ввожу пароль (пробовал и на аккаунты без пароля, и с ним).
Не принимает (логин-пароль правильные, проверено).
После 2 попыток сбрасывает на "попытаться снова/изменить настройки/и т.д...."
ОСи: на "сервере" ХР сервиспак 2, на "клиенте" Виста х64.

softes

Цитата:

Как? Стандартными виндовыми средствами, третьесторонними прогами?

есть отличная прога - OpenVPN называется... И зачем вообще логин/пароль??? по сертификатам...

softes

Цитата:

Как? Стандартными виндовыми средствами, третьесторонними прогами?

И тем и другим. На данный момент здесь обсуждается использование третьей проги - openvpn - как наиболее гибкого и простого решения. Можно сделать штатными средствами - см. ipsec в шапке. Ты настроил только клиента. И вообще смотришь не в том направлении.

valhalla, fantome


вроде шифруеца... вопрос - каким местом !???

Цитата:

поменял содержимое в статик.тхт (т.е. они разные на КЛИ и СРВ), сокет всеравно устанавливается, все пинги ходят...

Вот лог на [more=srv]srv:

Wed Aug 08 15:28:18 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Aug 08 15:28:18 2007 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Aug 08 15:28:18 2007 Static Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Wed Aug 08 15:28:18 2007 Static Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Aug 08 15:28:18 2007 Static Decrypt: Cipher 'DES-CBC' initialized with 64 bit key
Wed Aug 08 15:28:18 2007 Static Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Aug 08 15:28:18 2007 LZO compression initialized
Wed Aug 08 15:28:19 2007 TAP-WIN32 device [srv] opened: \\.\Global\{881F961E-B28C-4F05-82DD-B00A09D249EF}.tap
Wed Aug 08 15:28:19 2007 TAP-Win32 Driver Version 8.4
Wed Aug 08 15:28:19 2007 TAP-Win32 MTU=1500
Wed Aug 08 15:28:19 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.3.0.5/255.255.255.252 on interface

{881F961E-B28C-4F05-82DD-B00A09D249EF} [DHCP-serv: 10.3.0.6, lease-time: 31536000]
Wed Aug 08 15:28:19 2007 Successful ARP Flush on interface [2] {881F961E-B28C-4F05-82DD-B00A09D249EF}
Wed Aug 08 15:28:19 2007 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Aug 08 15:28:19 2007 Local Options hash (VER=V4): '400353f3'
Wed Aug 08 15:28:19 2007 Expected Remote Options hash (VER=V4): '01d57233'
Wed Aug 08 15:28:19 2007 UDPv4 link local (bound): [undef]:5002
Wed Aug 08 15:28:19 2007 UDPv4 link remote: [undef]
Wed Aug 08 15:29:25 2007 Peer Connection Initiated with 192.168.246.1:5002
Wed Aug 08 15:29:26 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed Aug 08 15:29:26 2007 route ADD 0.0.0.0 MASK 255.255.255.255 10.3.0.6
Wed Aug 08 15:29:26 2007 Route addition via IPAPI succeeded
Wed Aug 08 15:29:26 2007 Initialization Sequence Completed[/more], вот на [more=cli]cli:

Wed Aug 08 16:29:14 2007 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Aug 08 16:29:14 2007 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Aug 08 16:29:15 2007 Static Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Wed Aug 08 16:29:15 2007 Static Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Aug 08 16:29:15 2007 Static Decrypt: Cipher 'DES-CBC' initialized with 64 bit key
Wed Aug 08 16:29:15 2007 Static Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
Wed Aug 08 16:29:15 2007 LZO compression initialized
Wed Aug 08 16:29:24 2007 TAP-WIN32 device [cli] opened: \\.\Global\{F85B86C5-090F-4C55-BDF3-9F063A227390}.tap
Wed Aug 08 16:29:24 2007 TAP-Win32 Driver Version 8.4
Wed Aug 08 16:29:24 2007 TAP-Win32 MTU=1500
Wed Aug 08 16:29:24 2007 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.3.0.6/255.255.255.252 on interface

{F85B86C5-090F-4C55-BDF3-9F063A227390} [DHCP-serv: 10.3.0.5, lease-time: 31536000]
Wed Aug 08 16:29:24 2007 Successful ARP Flush on interface [65541] {F85B86C5-090F-4C55-BDF3-9F063A227390}
Wed Aug 08 16:29:24 2007 Data Channel MTU parms [ L:1541 D:1450 EF:41 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Aug 08 16:29:24 2007 Local Options hash (VER=V4): '01d57233'
Wed Aug 08 16:29:24 2007 Expected Remote Options hash (VER=V4): '400353f3'
Wed Aug 08 16:29:24 2007 UDPv4 link local (bound): [undef]:5002
Wed Aug 08 16:29:24 2007 UDPv4 link remote: 192.168.246.129:5002
Wed Aug 08 16:29:31 2007 Peer Connection Initiated with 192.168.246.129:5002
Wed Aug 08 16:29:31 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:31 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:33 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:33 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:34 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:34 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:35 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:35 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:36 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:36 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:37 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:37 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:38 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:38 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:39 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:40 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:41 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:41 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:42 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:42 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:43 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:43 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:44 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:44 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:46 2007 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Aug 08 16:29:46 2007 Route: Waiting for TUN/TAP interface to come up...
Wed Aug 08 16:29:47 2007 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed Aug 08 16:29:47 2007 route ADD 0.0.0.0 MASK 255.255.255.255 10.3.0.5
Wed Aug 08 16:29:47 2007 Route addition via IPAPI succeeded
Wed Aug 08 16:29:47 2007 Initialization Sequence Completed[/more]

Цитата:

И вообще смотришь не в том направлении

valhalla
Куда смотреть-то? На OpenVPN?

perdun

Цитата:

вроде шифруеца... вопрос - каким местом !???

а что смущает???

на клиенте

Цитата:

Wed Aug 08 16:29:15 2007 Static Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Wed Aug 08 16:29:15 2007 Static Decrypt: Cipher 'DES-CBC' initialized with 64 bit key

инициализация ключа и алгоритма шифрования...

на сервере

Цитата:

Wed Aug 08 15:28:18 2007 Static Encrypt: Cipher 'DES-CBC' initialized with 64 bit key
Wed Aug 08 15:28:18 2007 Static Decrypt: Cipher 'DES-CBC' initialized with 64 bit key

всё пучком... ИМХО, но может я не понимаю чего... Но и вопроса четкого не вижу...

fantome
дык ключи-то РАЗНЫЕ! не должно быть соединения! иль я чего непанимаю в криптографии... или... одно из двух

Добавлено:
и почему 64-ю битами шифрутся?

Цитата:

initialized with 64 bit key

когда длина ключа 2048:
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
24207fba82c753cb5d231e5ee6701a05
96b6972ff6fa3a7ed4ed38b04cc6dc80
b9b8de96d234c0d3f6b8f976c605551f
79ea5628674357729fd50661f8026945
e7ea9b0d4d8ce528c46ccaca3d836a77
0af689a3eefec4d5fbffd5236bfe3c3b
b83c5fd56dfe7d1ccb902ccfd6462556
6318646217b06a242abbef46bdce5d0c
e1897c0f3da7989e1ab8d61c4b48c647
5273ac1f776d1d1093b0f35da569770e
e73b391bc09219a0a04b8bb6f86d23f6
9c395372948a2de62337be250b365d86
d7f45dbb151ad93916565d5d74fcf09d
b9719fa7e2d24db9e4721a37ed7d6923
1555f4abf89d7b5b3c687055bf8b0f40
137c3b92dd05ed2f2023d2759dea8138
-----END OpenVPN Static key V1-----

(на другой машине отличается последним байтом 38 -> 37)

perdun
Эх.. попробую на пальцах обьяснить - все статические ключи, сертификаты и прочее(типа параметров Диффи-Хэллмана) используются для установления связи между клиентом и сервером... Для аутентификации и обменом ключевой информации, но не ключа... По этой ключевой информации потом вычисляется сеансовый ключ для симметричного алгоритма, по которому будет шифроваться туннель...

Что еще непонятно - спрашивай...
Можно в конфиге поставить verb 9, тогда лог будет самым полным... И в нем будет видно ключевую информацию, которой обменялись клиент и сервер...

Добавлено:
нашел немного инфы об OpenVPN - http://wiki.kryukov.biz/wiki/Openvpn
может кому потребуется...

Здесь книжка про OpenVPN, которая рекомендуется на их сайте.

Добавлено:
Пароль стандартный.

softes
какой из паролей???
скинь его в ПМ, если не сложно... А то все стандартные перебрал - неполучается распаковать...

fantome
ru-board

valhalla
пасиб... чо т я туплю седня... помню, что стандартный был ру-боард, но набирал для распаковки ru-board.com

Есть софтовый vpn роутер на двух w2k3 SP2 R2 - RRAS, распределенных географически.
Два вопроса:
1. Как уменьшить служебный VPN трафик. Слишком дохрена жрет, около 1.5 мб в час. При круглосуточной работе обоих серверов, за месяц выливается в кругленькую сумму. (Безлимитки нема к сожалению)
2. Если первый вопрос решить не получилось, то появилась идея, заставить канал работать только в раб. время, т.е. с 9.00 до 20.00. Настроил Dial-out Hours на данный промежуток, сделал Idle Connection 10 минут и разрыв, vpn не рвется, т.к. сервера чета пытаются его постоянно поднять...
Попытался сделать по шедуллеру в 20.10 : rasdial vpn /disconnect, гад не отключается, пишет ошибку:
Remote Access error 753 - The connection could not be disconnected because it wa
s created by the multi-protocol router.

Че делать дальше. Ума не приложу, как разорвать соединение??? Как заставить RRAS, отключать VPN-Router в нужное мне время???

Добрый день.

Нужна помощь в настройке VPN client (winxp) to site (Juniper 5GT).
Есть ли у кого рабочий конфиг Juniper для этой задачи ?

Alexey777555
а что именно пытаетесь настроить? l2tp или pptp?
Juniper pptp не держит.

fantome
L2TP. В качестве клиента - win xp sp2.
Уже третий день мучаюсь...
Буду благодарен за любую помощь !

Alexey777555
дока по Juniper http://rapidshare.com/files/49554111/Juniper.zip.html
Я же в инете сча появлюсь тока 22... если до этого времени не справишься - помогу...

А не подскажите хорошее описание (на русском) по PKI ?

Добрый день. У меня проблема. Никак немогу поднять одновременно два VPN подключения. Объясню зачем мне это нужно. У нас в сети идет разделение интернета на два потока: мировой инет и локальный. У каждого типа свое имя и пароль (т.е. для локала - одна учетка, для внешки - другая). Так вот, решил я поднять одновременно два подключения по двум учеткам (чтобы каждый раз не переподключаться и одновременно быть в локале и инете). Но при попытке подключить второе VPN после первого, выскакивает "Ошибка: 633: Модем или другое устройство связи уже используется или не настроено." Выйти из этой ситуации помогла программа Cfos (не cfos speed). Эта программа эмулирует модем через com порт и создает свое, как-бы dialup подключение (но работает как VPN). В итоге виндовское VPN (локальное подключение) и Cfos'ское (мировое) отлично работаю вместе. После этого я прописал в винде соответствующие маршруты для этих подключений, все круто стало, внешка и локал у меня работают одновременно без проблем.
Но дело в том, что программа базируется как ускоритель интернета и она платная (триал срок 30 дней). Так вот, неужели в винде нельзя одновременно поднять два VPN без этих ухищрений? Посоветуйте, а то я не знаю, что уже делать...

strptr

Цитата:

А не подскажите хорошее описание (на русском) по PKI ?

посмотри на intuit.ru - там у них был курс по инфраструктуре открытых ключей...

fantome,приветствую !
Проблему с VPN на Juniper пока так и не решил.

А может ли вообще Juniper работать со стандартным win xp vpn клиентом (l2tp/ipsec) ?
Можно ли при настройки dialup vpn обойтись без PKI (сертификатов), а только preshared key ?

Alexey777555

Цитата:

А может ли вообще Juniper работать со стандартным win xp vpn клиентом (l2tp/ipsec) ?

да, может... l2tp он держит... У тебя вроде нетскрин, если не ошибаюсь... а он держит.... Правда я с ним сам недавно работать начал... Есть еще чему учиться....


Цитата:

Можно ли при настройки dialup vpn обойтись без PKI (сертификатов), а только preshared key ?

а чем сертификаты не устраивают?

Добавлено:
Alexey777555

Цитата:

Можно ли при настройки dialup vpn обойтись без PKI (сертификатов), а только preshared key ?

сча в доке, которую я выложил, на 275 странице об этом сказано - L2TP over IPSec - настраиваем в Agressive mode - можно использовать сертификаты или прешаредкей...

Цитата:

а чем сертификаты не устраивают?

С preshared key проще. Да и просто интересно.
В мануале к Juniper напасанно :"NOTE: To provide authentication when using WIndows 2000 without the NetScreen-Remote, you must use certificates"
То есть если я использую VPN клиент win xp (а не Netscreen) я не могу работать в agressive mode и соответственно не могу использовать preshared key ?

Alexey777555
Да, увидел

Цитата:

– For Windows 2000: L2TP-over-IPSec with Main mode negotiations using certificates

ну тогды делать сертификаты...
Сертификаты - это более безопасный способ, меж прочим...

Не понятно, в чем причина того, что нельзя использовать preshared key в чистом виндовом клиенте. По моему это означает, что либо сам клиент либо Juniper строго не следуют RFC для L2TP/IPsec где одназначно указана возможность использования preshared key.

Не понятным еще остался и тот момент как сервер "понимает", что используется preshared key или сертификат ? Читая описание протокола я там этого не обнаружил.

Еще не понятно почему в настройках к Juniper по любому требуется вводить preshared key (VPNs > AutoKey Advanced > Gateway > Edit), даже если использовать сертификаты ?...

Alexey777555

Цитата:

Еще не понятно почему в настройках к Juniper по любому требуется вводить preshared key

так по умолчанию он вроде в агрессив мод конфигуриться... А там мона использовать либо одно из, либо и то и то...

fantome, а Вам удалось настроить Juniper на работу со стандартным win xp vpn клиентом ?

Никто не в курсе, как подключить майкрософтовый RADIUS сервер IAS для аутентификации пользователей VPN? Перечитал мануалы, но там несколько неполная информация.

Alexey777555

Цитата:

а Вам удалось настроить Juniper на работу со стандартным win xp vpn клиентом ?

да. Но мы сертификаты использовали... Настраивали сообща, так как я админ-безопасник...

fantome, а можете описать алгоритм настройки с сертификатами ? хотя бы в общем.