Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» VPN: вся информация в этой теме

Автор: AdUser
Дата сообщения: 04.09.2007 15:39
А под Винду2003 это можно сделать? Если учитывать, что Линухи и БСД я могу только установить, то я справлюсь с подъемом ВПН и настройкой его?
Автор: greenfox
Дата сообщения: 05.09.2007 10:10
hi all!
Вопрос такого плана, при установке впн-ов (по мимо установки новых маршрутов и гейтов, что лечится способом описанным в шапке) они ещё прописывают свои dns сервера... Возможно ли как то указать системе автоматом использовать dns только основного лан соеденения? (знаю можно например ручками netsh подправить на соот-м интерфейсе днс сервера, но имхо неудобно)? Ну или линк на доку где описывается процесс приоретизации настроек на интерфейсах....
thx a lot!
Автор: perdun
Дата сообщения: 05.09.2007 13:22
поднял овпн под 2к3, логи на клиенте говорят, маршрут поднят:

Wed Sep 05 17:10:23 2007 us=273984 TAP-Win32 Driver Version 8.4
Wed Sep 05 17:10:23 2007 us=274292 TAP-Win32 MTU=1500
Wed Sep 05 17:10:23 2007 us=274632 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.3.0.29/255.255.255.252 on interface {C17B2490-B6EA-40A8-A21C-2E6D97AC6CF3} [DHCP-serv: 10.3.0.30, lease-time: 31536000]
Wed Sep 05 17:10:23 2007 us=279620 Successful ARP Flush on interface [262146] {C17B2490-B6EA-40A8-A21C-2E6D97AC6CF3}
Wed Sep 05 17:10:23 2007 us=362493 Data Channel MTU parms [ L:1541 D:1450 EF:41EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 05 17:10:23 2007 us=363160 Local Options String: 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,ifconfig 10.3.0.30 10.3.0.29,comp-lzo,cipher DES-CBC,auth MD5,keysize 64,secret'
Wed Sep 05 17:10:23 2007 us=363646 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,ifconfig 10.3.0.29 10.3.0.30,comp-lzo,cipher DES-CBC,auth MD5,keysize 64,secret'
Wed Sep 05 17:10:23 2007 us=364172 Local Options hash (VER=V4): '5435cd61'
Wed Sep 05 17:10:23 2007 us=364587 Expected Remote Options hash (VER=V4): '20f750a7'
Wed Sep 05 17:10:23 2007 us=365069 Socket Buffers: R=[8192->8192] S=[8192->8192]

Wed Sep 05 17:10:23 2007 us=365465 UDPv4 link local (bound): [undef]:4000
Wed Sep 05 17:10:23 2007 us=365777 UDPv4 link remote: 212.x.x.x:4000
Wed Sep 05 17:10:28 2007 us=545298 Peer Connection Initiated with 212.x.x.x:4000
Wed Sep 05 17:10:30 2007 us=605250 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed Sep 05 17:10:30 2007 us=605883 route ADD 0.0.0.0 MASK 255.255.255.255 10.3.0.30
Wed Sep 05 17:10:30 2007 us=622161 Route addition via IPAPI succeeded
Wed Sep 05 17:10:30 2007 us=622633 Initialization Sequence Completed

и даже
Wed Sep 05 16:51:36 2007 us=309504 OpenVPN STATISTICS
Wed Sep 05 16:51:36 2007 us=309749 Updated,Wed Sep 05 16:51:36 2007
Wed Sep 05 16:51:36 2007 us=309896 TUN/TAP read bytes,0
Wed Sep 05 16:51:36 2007 us=310042 TUN/TAP write bytes,0
Wed Sep 05 16:51:36 2007 us=310188 TCP/UDP read bytes,3488
Wed Sep 05 16:51:36 2007 us=310329 TCP/UDP write bytes,3488
Wed Sep 05 16:51:36 2007 us=310470 Auth read bytes,1097
Wed Sep 05 16:51:36 2007 us=310619 pre-compress bytes,152
Wed Sep 05 16:51:36 2007 us=310758 post-compress bytes,150
Wed Sep 05 16:51:36 2007 us=310898 pre-decompress bytes,150
Wed Sep 05 16:51:36 2007 us=311036 post-decompress bytes,152
Wed Sep 05 16:51:36 2007 us=311236 TAP-WIN32 driver status,"State=AT?c Err=[(null)/0] #O=28 Tx=[365,0,0] Rx=[7,0,0] IrpQ=[1,1,16]PktQ=[0,53,64]"
Wed Sep 05 16:51:36 2007 us=311493 END

в логах на сервере пишет:

Wed Sep 05 16:42:15 2007 us=597396 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Sep 05 16:42:15 2007 us=599592 Route: Waiting for TUN/TAP interface to come up...
Wed Sep 05 16:42:16 2007 us=98387 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Wed Sep 05 16:42:16 2007 us=100606 route ADD 0.0.0.0 MASK 255.255.255.255 10.3.0.29
Wed Sep 05 16:42:16 2007 us=115345 Route addition via IPAPI succeeded
Wed Sep 05 16:42:16 2007 us=116526 Initialization Sequence Completed With Errors
( see http://openvpn.net/faq.html#dhcpclientserv )

"решение" по ссылке не помогло - с дхцп все в порядке (служба работает)

Где копать????
Автор: emil9
Дата сообщения: 05.09.2007 14:32
Друзья подскажите пожалуйста, весь мозг себе уже сьел, а настроить не могу.
С работы через впн подключаюсь к серваку 2003, потом радмином в удаленную локалку бегаю , все нормально. То же самое делаю дома, нивкакую не получается. Проверял на сервере настройки впн. Там в файере иса сервера 2004 все нормально. Для входящих впн соединений интернал доступен. В чем может быть загвоздка, где смотреть? Добавлю что на работе статический айпишник, дома динамический, однако в иса сервере 2004 вроде фильтрация по диапазонам адресов не задана.
Автор: perdun
Дата сообщения: 05.09.2007 15:07

Цитата:
Где копать????

ура! все раскопал... в интерфейсе на серваке заколотил параметры руками...
тока непонятна, почему из конфига ниче не принимал
emil9
впн и опенвпен немного разные вещи... пров может рубить GRE-протокол, к-рый использует виндовый впн...
Автор: emil9
Дата сообщения: 05.09.2007 17:10

Цитата:
пров может рубить GRE-протокол

а я про опенвпн и не говорю. насчет протокола это вряд ли, ведь с работы я вижу локалку.
Автор: perdun
Дата сообщения: 06.09.2007 00:02
те, конктишся с одного прова и там и там? если нет - 100 пудей фаер рубит удп либо гре...
танцы с бубном (нмап) обычно помогают...
Автор: emil9
Дата сообщения: 06.09.2007 09:39

Цитата:
те, конктишся с одного прова и там и там

не, дома стрим стоит, а на работе корбина чтоли. если не трудно,можно поподробней обьяснить что делать? можно в ПМ
Автор: Akryl
Дата сообщения: 06.09.2007 12:43
Кто-нибудь пробывал подключаться к VPN с компа на котором установлена Vista?
Поделитесь опытом настройки.
Проблема в следующем: есть сервер win2k3, vpn работает вроде нормально, проверка подлиности с сертификатами.
На сервере поднята служба сертификации, покрайней мере с машины на которой стоит win XP подключиться можно.
При попытке получить сертификат с vist-ы, через //server/certsrv страница, на которой заполняется форма для сертификата грузится не полностью (останавливается на загрузка элемента ActiveX), соответственно сертификат получить не удается.
Как можно получить сертифкат безопасности от сервера в Висте?
Автор: perdun
Дата сообщения: 06.09.2007 14:48
emil9

Цитата:
что делать?

первым делом забыть про винду с его GRE-баным впном, ставить опен, даже с элементарным конфигом (если нет хитро настроенного iptables на сервере) все должно подняться, если непопрет - nmap в руки, "щупать" доступные порты, протоколы...
Автор: spat0820
Дата сообщения: 12.09.2007 15:11
Прошу помоч советом.

Имеем два удаленных офиса. В головном ethernet роутится Dlink'om DI804HV. В другом ADSL на модеме huawei MT840, за ним ставим DI804HV для поднятия VPN ( сам ADSL модем не держит туннели ).

Вопрос - какие варианты и нюансы могут возникнуть при настройке, в случае если не поднимать L2TP/PPTP сервисы, а сделать туннель напрямую и возможно ли это вообще. Открытие порта на модеме и его редирект на 804HV.. нужно ли ? Значние MTU ? На сколько схема вообще может быть рабочей, ведь PPPoE сам по себе является тонелем.
Автор: fantome
Дата сообщения: 12.09.2007 18:53
spat0820
в принципе всё должно работать... Ставь длинки и поднимай на них IPSec-туннель...
Автор: rkit
Дата сообщения: 26.09.2007 08:31
Люди кто нибудь знает как настроить IPsec в Windows Vista?
На Windows XP все работает. На Висте настройки сделал
идентичные, но все равно не рабит...
Автор: MEDBEDb_GRIzzLY
Дата сообщения: 26.09.2007 08:48
Приветствую! Проблемка такая:
Есть 2 сети Внутренняя (192.168.0.0) и Внешняя (10.64.41.0) по которой идет VPN до сервера 10.8.0.1, и оттуда соответственно интернет.

Помогите пожалуйста подключить 2
(два!) VPN в службе Маршрутизации и удаленного доступа, при подключении второго выдается ошибка: протокол управления PPP-связью был прерван. создная VPN вне службы RRAS, подключается исправно. Как я понял надо что то в маршрутах прописать. Что и как?
Во избежании лишних вопросов: настройка RRAS произведена как здесь: http://www.smart-soft.ru/?page=rasvpn

route print:

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP ******** interface
0x2 ...00 80 48 3b 18 e4 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
I capture/filter/sheduler
0x3 ...00 d0 5c 09 81 4a ...... TechnoTrend DVBsat PCI budget Adapter - TI ca
re/filter/sheduler
0x10004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10005 ...52 54 00 da 7c 42 ...... Realtek RTL8029 PCI Ethernet NIC - TI cap
e/filter/sheduler
0x20006 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.8.0.8 81.30.215.33 1
0.128.0.0 255.240.0.0 10.68.41.1 10.68.41.182 1
10.0.0.10 255.255.255.255 127.0.0.1 127.0.0.1 50
10.8.0.1 255.255.255.255 10.68.41.1 10.68.41.182 1
10.8.0.8 255.255.255.255 81.30.215.33 81.30.215.33 1
10.8.3.1 255.255.255.255 10.68.41.1 10.68.41.182 1
10.68.41.0 255.255.255.0 10.68.41.182 10.68.41.182 20
10.68.41.182 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.68.41.182 10.68.41.182 20
81.30.215.33 255.255.255.255 127.0.0.1 127.0.0.1 50
81.255.255.255 255.255.255.255 81.30.215.33 81.30.215.33 50
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
192.168.44.0 255.255.255.0 192.168.44.21 192.168.44.21 20
192.168.44.21 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.44.255 255.255.255.255 192.168.44.21 192.168.44.21 20
224.0.0.0 240.0.0.0 10.68.41.182 10.68.41.182 20
224.0.0.0 240.0.0.0 81.30.215.33 81.30.215.33 50
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 192.168.44.21 192.168.44.21 20
255.255.255.255 255.255.255.255 10.68.41.182 10.68.41.182 1
255.255.255.255 255.255.255.255 81.30.215.33 81.30.215.33 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
255.255.255.255 255.255.255.255 192.168.44.21 192.168.44.21 1
Основной шлюз: 10.8.0.8
===========================================================================
Постоянные маршруты:
Отсутствует

Автор: Infected Switch
Дата сообщения: 26.09.2007 12:06
При объединении сетей site-to-site через IPSec в филиале режется Netbios, в результате не подключить сетевые ресурсы главного офиса. Как-то можно поправить?
Автор: MCSASE
Дата сообщения: 05.10.2007 06:50
Добрый день.
Пытаюсь настроить VPN на работе.
Поставил RRAS настроил PPTP соединение. Все работает.
Решил попробовать настроить L2TP.
Установил в сети сервера сертификации: уровня предприятия и подчиненный.
Подчиненный нормально отдает сертификаты типа "Computer" для компьютеров в локальной сети через оснастку Сертификты. Установил компьютерный сертификат на компьютер с RRAS.
Подскажите, пожалуйста, как устновить сертификат на компьютер VPN-клиента?

Пытался через веб-интерфейс получить этот сертификат(имею еще соединение через модем к локальной сети), но веб-интерфейс не имеет данного типа(computer) сертификата в шаблонах. Установил сертификат Administrator в хранилище Local Computer.

В клиентских настройках безопасности VPN соединения, установил проверку EAP с использованием сертификатов на локальном компьютере. Теперь при попытке подключения EAP ругается на неподходящий сертификат.
Автор: yorik
Дата сообщения: 05.10.2007 17:17
Помогите с настройкой и подключением VPN
Ситуация следующая

Есть SERVER (КД, АД) на Win2k3 и GATEWAY на Win2k3. Компьютер GATEWAY входит в состав домена. Установил на GATEWAY службу RRAS (VPN+NAT). С удаленного филиала соединение c GATEWAY устанавливается, но проверку подлинности не проходит.
В журнале событий:
Computer: GATEWAY
Event ID: 20014
The user Administrator has connected and failed to authenticate on port VPN5-127. The line has been disconnected.

При этом пробовал уже и под локальными учетными записями и под пользователями домена.
Автор: MCSASE
Дата сообщения: 06.10.2007 17:45
yorik

Цитата:
failed to authenticate

Этим же все сказано
Надо смотреть
1. Политики доступа: на уровне пользователей или в RASS
2. Метод авторизации
Автор: Kreks
Дата сообщения: 07.10.2007 10:13
Вобщем вот как обстоит дело.
Есть комп№1 с подключением к инету через PPPoE, есть комп№2 в локальной сети без инета.

Требуется получить полноценный инет на комп№2.

Создаем на компе№1 входящие ВПН, а на компе№2 исходящее ВПН соединение(средствами Винды).

В локалке появляется новый IP подключенного компа№2 через ВПН. Но инета на компе№2 нет.

Вопрос - Чего не хватает???

ЗЫ: Все остальные способы получения инета через прокси и т.д. не требуются, принцепиально получить инет на компе№2 именно таким способом, только средствами виндовс.
ЗЫЫ: Открытие доступа инета всем при подключении не приемлимо, так как подрозумевает настройки и использования файрвола.
Автор: Xirss
Дата сообщения: 07.10.2007 12:08

Цитата:
Вопрос - Чего не хватает???

не хватает NAT
Автор: Kreks
Дата сообщения: 07.10.2007 12:17
Сетевая карта одна. А по другому никак?
Автор: Xirss
Дата сообщения: 07.10.2007 12:24
какая разница, сколько сетюх?
без NAT никак, но для его организации не обязательно иметь 2ю сетюху. если средствами винды никак - то ставь kerio winroute firewall.
Автор: Kreks
Дата сообщения: 08.10.2007 12:17
А может можно как то маршрутами это недостоющее звено прописать?
Автор: AcidD
Дата сообщения: 11.10.2007 11:22
Всем привет. нужна ваша помощь. Суть такова. Есть VPN сервак в главном офисе. ПОднят на Isa 2004 + DHCP для расдачи адресов в нашу сетку. Понятно ISA взяла все службы маршурутизации и удаленного доступа на себя. Все работает подклучается, выдает адресс. Но скорость при этом очень маленькая. Захожу на сервак, там показут в диспечере задач - Интерфейс RAS - 28,8. При такой скорости вообще невозможно работать. Где можно это исправить все перерыл не нахожу? Помогите я в отпуск хочу

конфа

VPN на PPTP
ОС win2003sp2
Isa 2004 sp1
ширина канала 2 мегабита.

Добавлено:
Спасите бедного аитишника
Автор: DonkeyHot Lom
Дата сообщения: 13.10.2007 22:57
Подскажите кто знает как настроить VPN соединение через NAT.
На какие порты нужен forwarding?

Напрямую соединение устанавливается без проблем.
А через NAT обрывается во время проверки имени пользователя и пароля.
Автор: itavia
Дата сообщения: 19.10.2007 09:44
Подскажите пожалуйста, как на 2003 сервере можно ограничить количество одновременных VPN подключений от одного пользователя?
Вопрос задавался, ответа не могу найти.

Заранее спасибо.
Автор: DerSpinner
Дата сообщения: 23.10.2007 15:20
на висте стандартными ср-вами пробовал кто настроить IpSec ?
Автор: AskeT_13
Дата сообщения: 23.10.2007 21:47
Сильно всех приветствую!!!=) Подскажите кто действительно знает, каким образом может подниматься ВПН тунель, если интерфейсы для него отсутствуют в системе.
Теперь подробнее. Есть система ФПСУ IP Клиент(ключ USB и прога-драйвер). Так вот когда ключ вставлен и прога-драйвер запущена, поднимается ВПН тунель до банка. Банковский внутренний сервер(например IP 10.1.1.99) пингуется(но tracert не идет!!!!!) Никаких дополнительных интерфейсов в системе не возникает. И самое непонятное: даже в таблице маршрутизации ничего о маршруте к сети или хосту (10.1.1.x) нет!!!!!
Как такое может быть в принципе???????? Я бьюсь уже три дня, разработчики толком сказать ничего не могут или не хотят ссылаясь на то что типа тунель поднимается а дальше хоть трава не расти=)))))
Мне это нужно чтобы понять каким образом добавить маршрут с другой машины из локальной сети, чтобы она используя установленный тунель имела доступ к внутренним серверам банка. Шлюзом по умолчанию я машину с ВПН указать не могу, так как шлюзом является другая машина, на которую невозможно поставить драйвер-прогу. До машины с ВПН маршрут прокинуть не проблема, но как на ней настроить рутинг, если нет ВПН интерфейса???
route add 10.1.199 127.0.0.1 и аналогичные роуты пробывал не помогает, с ВПН машины серверы банка пингуются, с другой нет. При чем сама ВПН машина пингуется.
Вобщем думаю достаточно понятно описал, может возникнут у кого какие идеи, потому что у меня их больше просто уже не осталось. Большое спасибо всем откликнувшимся.
Автор: itavia
Дата сообщения: 25.10.2007 22:18
Может кто-нибудь сможет помочь в победе над одним каверзным вопросом.
Имеется связка cisco и сервер. На маршрутизаторе настроен маппинг порта 1723 на сервер.
На сервере поднят AD, ISA2004, Exchange2003 (гусары, молчать ;-)) На исе поднят VPN-сервер.
Проблема состоит в том, что до сегодняшнего дня подключиться по VPN мог и пользователь через внутреннюю сеть и через интернет.
Сегодня поставил антиспам GFI для Exchange, снес его, поставил другой антиспам, после чего сервер перестал принимать входящие подключения сервер VPN.
С горем пополам к вечеру заставил работать VPN, но он стал принимать соединения только от пользовалелей внутренней сети.
Если подключаться через внешний IP, то появляется ошибка 800, однако ISA видет эту попытку и в логах пишет что соединение отклонено.
netstat -anp TCP говорит, что прот 1723 слушается по адресу 0.0.0.0

Что же я мог такого натворить, что сервер перестал принимать входящие подключения по внешнему IP?
Автор: Podorojnik
Дата сообщения: 26.10.2007 11:20
Ребята стоит сеть и инет через маршрутизатор ASUS RX3041, то есть маршрутизатор подключен через РРРоЕ к провайдеру, а к маршрутизатору подключен свитч, на котором 4 компа, этим компам присваиваеться динамические адреса, они получаються в локалке и через нее, как я понимаю идет инет.Теперь мне надо с одного из этих 4-х компов поднять VPN на комп в другом городе, как это сделать?Пытаюсь поднять обычным образом (указывая IP), но по ходу через такую локалку не может, вопрос почему?Раздуплите, кто сталкивался

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697

Предыдущая тема: Белый-Черный лист


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.