» VPN: вся информация в этой теме

Tim2000
попробуй создать, а потом удалить.

Карочи посмторел ща - если сервисы ИСЫ отключены - ICF не запустить никак. Если сервисы ИСЫ выключить, и запустить ICF - то ИСА включается, а ICF говорит что ему нечего делать и вырубается.

Добавлено:
se111

Цитата:

попробуй создать, а потом удалить.

попробовал, не помогло.. (
ерунда какая-то

Tim2000
попробуй стопнуть службу маршрутизация и удаленный доступ а затем поднять ее с помощью
"Manage Your Server" - не помню как по русски.

у меня точно такая же проблема была когда я вручную стартанул "маршрутизация и удаленный доступ" соответственно появились "Входяшие соединения" потом стопнул службу, "Входяшие соединения" пропали и не мог понять чего же виндовс от меня хочет.

посмотри еще в журнале событий - может там есть чё нить по этому поводу.

Я сижу под vpn. Хочу поднять внешний ftp. Реально?
Смысл в том, что бы на ftp возможно было достучаться из (через) инета.

Кто что посоветует?

AlessTO
www.2ip.ru реальный ip высвечивает? - если да, то попробуй www.dyndns.com

se111

Цитата:

попробуй стопнуть службу маршрутизация и удаленный доступ а затем поднять ее с помощью
"Manage Your Server" - не помню как по русски.

у меня точно такая же проблема была когда я вручную стартанул "маршрутизация и удаленный доступ" соответственно появились "Входяшие соединения" потом стопнул службу, "Входяшие соединения" пропали и не мог понять чего же виндовс от меня хочет.

посмотри еще в журнале событий - может там есть чё нить по этому поводу.

Спасибо конечно за отзывы, но не помогает(( если руками запускать службу RRAS - то да, действительно появляется одно входящее соединение. При отключении службы - это подключение проподает. При поднятии vpn через Мастера настройки сервера - пишет "В настоящее время на компьютере ... включен Брандмауер(ICF). Чтобы настроить RRAS, отключите ICF и повторите попытку".
ПИПЕЦ ПРОСТА МАСДАЙ МОСК компосирует((((((((

Tim2000

Цитата:

действительно появляется одно входящее соединение

ты его удалил? надо удалить.

se111
удалял..
так-с, секунду.. вобщем:
- руками включаю RRAS
- удаляю появивщийся входящий коннект
- поднимаю впн через Мастер настройки сервера.
так?

Добавлено:
ещё я высматрел такую штуку - если этот инкоминг коннект удалить - то служба RRAS сама переходит в состояние Отключена.

Tim2000

Цитата:

так-с, секунду.. вобщем:
- руками включаю RRAS
- удаляю появивщийся входящий коннект
- поднимаю впн через Мастер настройки сервера.
так?

да. - не помогает?

se111

Цитата:

не помогает?

нет, так и пишет что ICF запущен.. плин, ну и попа.

Tim2000
выложи точный текст ошибки(ругани на запущенный ICF) и покажи результат net start

Привет всем!
Подскажите плиз как правильно настроить роутиинг между двумя VPN соединениями на одном компьютере. Одно соединение смотрит в инет (корбина) другое в корпоративную сеть. Диапазон IP пересекается - так что мне надо что бы некотрый IP роутились на VPN сервер корпоративной сети. Проблема так же в том что таблица маршрутизации - динамическая.
Вот как она меняться при подключении VPN сервера корпоративной сети:

Цитата:

10.0.0.0 255.0.0.0 10.1.7.2 10.1.7.2 1
10.0.0.0 255.0.0.0 10.227.184.1 10.227.188.241 1

10.1.7.2 - интерфейс в корпоративную сеть.
Спасибо!

se111


1) Ошибка:
"В настоящее время на компьютере Srv1 включен Брандмауер подключения к Интернету (ICF). Чтобы настроить RRAS, отключите ICF и повторите попытку"

2) >net start
These Windows services are started:

Application Layer Gateway Service
Automatic Updates
COM+ Event System
Computer Browser
Cryptographic Services
DefWatch
DHCP Client
Distributed File System
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
GARANT. Platform F1 Server
Help and Support
Intel Alert Handler
Intel File Transfer
Intel PDS
IPSEC Services
Logical Disk Manager
Machine Debug Manager
Microsoft Firewall
Microsoft ISA Server Control
Microsoft ISA Server Job Scheduler
Microsoft ISA Server Storage
Microsoft Search
MSSQL$MSFW
MSSQLSERVER
Network Connections
Network Location Awareness (NLA)
NT LM Security Support Provider
Plug and Play
Print Spooler
Protected Storage
Remote Access Connection Manager
Remote Administrator Service
Remote Procedure Call (RPC)
Remote Registry
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
SQLSERVERAGENT
Symantec AntiVirus Server
Symantec System Center Discovery Service
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Terminal Services
TrafficFilter Service
Uninterruptible Power Supply
Windows Audio
Windows Management Instrumentation
Windows Time
Wireless Configuration
Workstation

The command completed successfully.

Tim2000
давай в аську. подумаем чё можно сделать. номерок у меня в профиле.

se111
стукнулсо.

А вообще господа, я понял тут дело в ISA
заставел-таки работать, могу даже со своего компа к серваку по впн зацепиться, но вот проблемма теперь другая - из инета к серваку не могу подцепиться.. есть может предложения?

se111
Ну какой под vpn реал-ip? Разумеется общий на всех. Мну дается вида 10.0...., а на том конце ip сервера, т.е. совершенно иного вида.

пробовал golden ftp, но "оно" предназначено для локалки..
Может попробовать поюзать OpenVPN? Есть смысл?

Tim2000
ты куда то не туда стукнулся.

опубликуй сервер на 1721 порту
возможно понадобится разрешить ip фрагменты.
а вообще это сюда.
http://forum.ru-board.com/topic.cgi?forum=8&topic=20506&start=1280#lt


Добавлено:
AlessTO
тогда забудь.
хотя бы на одной стороне должен быть реальный ip.

se111
сэнкс, но чета не катит всё равно.. пойду в тему исы.

AlessTO

Цитата:

Может попробовать поюзать OpenVPN? Есть смысл?

ИМХО это лучшее, что есть для VPN. Кроме того что, это просто хорошая прога, она еще портирована и для Windows и для *nix. У меня она работает на фряхе и на винде ХР. Лучше когда есть отдельный шлюз в инет и на нем стоит OpenVPN.

Срочно нужен совет/помощь

Проблема: VPN-клиент после подключения к домену не обновляет DNS-запись.

Стенд:
1) VPN-сервер: Win 2003.
Развёрнуты следующие сервисы:
-- RRAS (является клиентом RADIUS)
-- DHCP Relay Agent (адреса VPN-клиентам выдаются DHCP-сервером во внутренней сети, конфигурация будет приведена ниже)
-- Манагер подключений

2) DC-сервер: Win 2003 ent.
Развёрнуты следующие сервисы:
-- IAS
-- DDNS
-- AD
-- DHCP
-- CA

Конфигурация:
VPN-сервер имеет два сетевых интерфейса (IntraA и Inter). Интерфейс Intra подключен к локальной сети, а Inter к условно внешней сети (к примеру, к Интернет). На VPN-сервере настроена служба RRAS, клиент RADIUS и клиент пересылки DHCP-запросов с интерфейса Inter. IP Intra 192.168.0.2/24 (dns: 192.168.0.1), IP Inter 10.0.0.2/24.

DC-сервер имеет один сетевой интерфейс (IntraB), подключенный к локальной сети с параметрами IP 192.168.0.1/24 dns:127.0.0.1. На DC-сервере, в частности, настроена служба IAS, связанная с AD, и DHCP-сервер (выдаёт адреса в диапазоне от 192.168.0.100 по 192.168.0.200).

Описание прецендента:
Пользователь подключается к Inter-интерфейсу VPN-сервера. Проходит проверку и получает доступ в сеть. Но в DNS запись о подключённом клиенте не обновляется. Это приводит к ряду сложностей. В чём может быть причина?

Ruppert
вот эту галку поставь
Ссылка

и плюс к этому надо добавить разрешение на запись учетке компьютера** (см примечание)
в свойствах DNS сервера, точнее в свойствах нужно зоны dns сервера.

** а вот тут я точно не помню(чесное слово забыл) то ли Radius туда добавить надо, толи DHCP
ну тут ты уж сам проверь если не один то другой.

se111, спасибо )

Картинка, увы, пока не открывается, но потом посмотрю. Думаю, там показана галка что-то вроде "Регистрировать адреса этого подключения в DNS" из панельки конфигурирования интерфейса. Но эта галка стоит, но всё равно клиенты в DNS не регистрируются через VPN. Если просто комп к локалке подрубить, то сразу всё регистрируется, а через VPN -- нефига. Задобался уже, неделю бьюсь. IP-адреса разрешаются без проблем по всем клиентам с любого компьютера, а в DNS пусто.

se111
Картинка посмотрел ) Эта галка актуальна для клиентов которые не могут передавать 81-вый сигнал. Но у меня клиенты ХР, они умеют передавать 81-сигнал. И если нахватать пакетов, то видно, что клиенты 81-вый сигнал передают.

Ruppert
Каким образом компьютер который не в домене должен обновить свою запись DDNS если у него нету на это прав? я конесно не уверен на все 100%, но думаю то что у тебя подключения от имени доменного юзера мало что значат, компьютер должен быть в домене.
Чё мешает тебе проверить, то что я написал?

se111, я проверил то, что ты написал. Но дело в том, что DHCP-сервер не участвует в обновлении DNS-записей удалённых и VPN-клиентов вроде бы. Удалённые и VPN-клиенты сами должны регистрироваться в DNS, причём запрос на обновление формируется по тем же причинам, что и для клиентов со статическими адресами. DHCP в данном случае используется ислючительно для выдачи пула адресов для RRAS-сервера. RRAS-сервер выдаёт VPN-клиентам статические адреса, а записи A и PTR клиенты должы обновлять сами (естественно если клиенту предписано самому обновлять оба этих типа записей, там внизу в настройках интерфейса на вкладке DNS надо поставить две галки). Но проблема в том, что всё равно нефига не работает.
Теперь от теории к практике. Компьютер у меня в домене, я так понимаю. При входе я с помощью удалённого подключения регистрируюсь в домене. Тут вроде всё ок. Но DNS-запись не обновляется, а если удалить прежнюю, то новая не появляется. Я уже на тестовом стенде дал разрешение всем писать в зону, но толку никакого.

Добавлено:
Обновление:
В общем ситуация следующая. Если впихнуть в группу DNSUpdateProxy комп с DHCP-серваком и комп клиента VPN, то становиться возможным обновить записи в DNS через ipconfig /registerdns. Но сами клиенты автоматически, твари такие, обновляться не хотят.

Ruppert
DDNS стоит secure only?


Цитата:

Но дело в том, что DHCP-сервер не участвует в обновлении DNS-записей удалённых и VPN-клиентов вроде бы

на картинке которую я тебя дал невооруженным взглядом видно что DCHP сервер участвует в обновлении DNS A записей.

да, я забыл спросить - надеюсь суффикс домена в свойствах VPN соединения прописан?

Подскажите пожалуйста по встроенному в XP vpn серверу.
Создал vpn сервер на xp.
На dsl роутере настроил мапинг на машинку с vpn сервером.
Тоесть запросы на порт 1723 идут на эту машинку. Но мне кажется проблема где-то на сервере. Пытаюсь законнектиться с впн клиента на этот сервер по внешему статическому ip, доходит до проверки пользователя/ пароля, после этого выскакивает ошибка 729(с кодом могу ошибаться) - что мол удаленный сервер не отвечает.
Подскажите пожалуйста если пытаться залогиниться по неправильному имени/паролю какой ответ сервера будет?
И еще может быть что настройки сервера/клиента неверные?
У кого настроена такая же система, не могли бы вы посмотреть и выложить сюда настройки vpn севера и клиента, лучше все настройки включая параметры авторизации? И еще открытого порта 1723 для PPTP хватит или пинг тоже нужно открыть?

se111
В инфе по DHCP написано, и особо подчёркнуто, что DHCP-сервер не участвует в обновлении записей DNS для удалённых клиентов. Его можно за уши притянуть и заставить обновлять удалённых клиентов через DNSProxy (в основном применяется, когда клиенты не умеют 81 сигнал передавать). Ну это так, для читателей справка. В общем, подтверждение этим словам я и увидел на практике. Твоя картинка поможет только если DHCP-серваки впихнуть в группу DNSUpdateProxy, иначе они захватывают записи и никто не может их поменять, но, опять же, клиенты не будут обновлять запись, пока явно этого не сделать. Пришлось через Манагер подключений создавать схему и с помощью Действий после подключения обновлять записи через ipconfig /registerdns. Но всё равно чувство, что где-то накасячил, ибо ситуация явно ненормальная (к примеру, gpupdate ошибку выдаёт стабильно).
П.С: суффикс домена прописан, и в свойствах подключения отображается верно.

Добавлено:
aak1980
Для РРТР необходимо открыть:
на вход:
-- 1723/tcp
-- разрешить 47 протокол (47/ip)
-- и можно открыть 1723/tcp established

Если у тебя возникает 729-ка ошибка, то ты как раз не разрешил проход для 47-го протокола и РРТР трафик у тебя пролазить не может.

Ruppert
думаю здесь с избытком.

You cannot access network resources and domain name resolution is not successful when you establish a VPN connection to the corporate network from a Windows Vista-based computer

You may be unable to access the network when name resolution is performed through a VPN connection on a Windows XP-based or on a Windows Server 2003-based client computer

Implementing a DHCP Server


Цитата:

The reason that the service is called Dynamic DNS is that every time a computer comes on line or drops off line its tables are updated. As you might have guessed, such functionality is only possible when using a DHCP server.

When a new computer comes on line, DHCP assigns it an IP address. DHCP then contacts the dynamic DNS server and tells it the computer's NetBIOS name and IP address. The Dynamic DNS server then makes this information available to any computer requesting it.

Routing and Remote Access IP Addresses Register in DNS

Dynamic update


Цитата:

Important

• The DHCP Server service can perform proxy registration and update of DNS records for legacy clients that do not support dynamic updates.

The Enterprise Environment for VPNs


Цитата:

A new class of DNS servers is emerging that integrates the DHCP address assignment servers with the naming function. These have particular applicability in VPN environments. When a dial-in or VPN client requests an IP address via DHCP, the server will not only allocate an address for the PC but will also dynamically update the DNS record for the particular PC with assigned address

se111, ценная инфа, огромное спасибо. Но, к сожалению, всё упирается в "this is a problem in the Microsoft products".