» VPN: вся информация в этой теме

Ruppert

Как открыть порты я знаю, но как в модеме Zyxel 660 HT разрешить протокол GRE 47?
Подскажите плиз...

aak1980
С такой железякой я не знаком. Инструкцию почитайте. Там, наверняка, всё просто.

aak1980
сначала тебе совет - поинтересуйся, а не режет ли твой пров этот протокол...
довольно часто провайдеры фильтруют траф этого протокола...

Доброго времени суток. Подскажите пожалуйста решение нижеследующей проблемы:

Существует локальная сеть, разбитая на подгруппы 100-112 (получается 12 подгрупп) - кабеля с каждой подгруппы включаются непосредственно в VLAN - который обрубает брудкасты.
Естественно пользователям очень не нравится, когда они не могут поиграть в любимый ФлэтАут с людьми с другой подгруппы..

Возникла идея поднять VPN сервер, люди подключатся туда, получают АйПи адрес от 192.168.99.2-192.168.99.254, и спокойно играют..
Но брудкасты не проходят в VPN соединение..

Отслеживая коннекты игрушки через файрвол, она подаёт запрос на 192.168.107.255
Как заставить её стучаться именно через VPN подключение?

Шлюз 192.168.107.254 (если изменить, не будет работать сеть)


Может кто нибудь знает другие типы решения данной проблемы?

akaBeast

Цитата:

Шлюз 192.168.107.254 (если изменить, не будет работать сеть)

я в локалке использовал в клиенте redirect-gateway и сеть нормально работала.

А без redirect-gateway ты никак не заставишь броадкасты идти в туннель ОпенВПНа.

А подробнее можно?

Модем Zyxel 660 HT, vpn сервак встроенный в xp, сделал мэпинг порта 1723 на машинку c серваком, разрешил порты 1723 и протокол gre47 выскакивает ошибка 721 мля, помогите плиз.

Привет!

Есть проблема. Как решить отваливание VPN соединения с сервером win 2003 server.
если подключаться через локалку то по два раза на день отваливается, если через инет то чуть ли ни каждые 15 мин. инет у меня оптика с двух сторон скорость хорошая пингуются сервера с клиентов с задержкой 3мс, работаю с сервером терминалов.

день добрый!!!
ПОМОГИТЕ разобраться - непашет VPN
Имеем Linux - OpenSWAN
Вот что лог пишет
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #14: max number of retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #14: starting keying attempt 2 of an unlimited number
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #15: initiating Main Mode
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #15: ignoring Vendor ID payload [4048b7d56ebce88525e7de7f00d6c2d3c0000000]
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #15: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #15: ignoring Vendor ID payload [Cisco-Unity]
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #15: ignoring Vendor ID payload [XAUTH]
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #15: ignoring Vendor ID payload [4cccb4f576062f7c633edfd762db6f69]
Nov 21 15:35:35 gate pluto[3974]: "Ekaterinburg" #15: ignoring Vendor ID payload [1f07f70eaa6514d3b0fa96542a500100]
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: received Vendor ID payload [Dead Peer Detection]
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: Main mode peer ID is ID_FQDN: '@pixel.uralmash.ru'
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: ISAKMP SA established
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #16: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: ignoring informational payload, type NO_PROPOSAL_CHOSEN
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: received and ignored informational message
Nov 21 15:35:36 gate pluto[3974]: "Ekaterinburg" #15: received Delete SA payload: deleting ISAKMP State #15
Nov 21 15:35:36 gate pluto[3974]: packet from 197.60.5.42:500: received and ignored informational message
И так по кругу

Настройки

netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
219.172.123.188 0.0.0.0 255.255.255.252 U 0 0 0 eth1
219.172.123.188 0.0.0.0 255.255.255.252 U 0 0 0 ipsec0
192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 219.172.123.189 0.0.0.0 UG 0 0 0 eth1

cat /proc/net/ipsec_tncfg
ipsec0 -> eth1 mtu=16260(1500) -> 1500

ipsec auto --status
000 interface ipsec0/eth1 219.172.123.190

eth1 inet addr:219.172.123.190 Bcast:219.172.123.191 Mask:255.255.255.252

ipsec0 inet addr:219.172.123.190 Mask:255.255.255.252

кусок фаера
Chain IPSECPHYSICAL (1 references)
target prot opt in out source destination
ACCEPT 47 -- eth1 * 0.0.0.0/0 0.0.0.0/0
ACCEPT esp -- eth1 * 0.0.0.0/0 0.0.0.0/0
ACCEPT ah -- eth1 * 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp spt:500 dpt:500
ACCEPT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:4500

/etc/ipsec.conf
config setup
    interfaces="%defaultroute "
    klipsdebug="none"
    plutodebug="none"
    plutoload=%search
    plutostart=%search
    uniqueids=yes
    nat_traversal=yes
    virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.4.0/255.255.255.0,%v4:!10.11.0.0/255.255.0.0

conn %default
    keyingtries=0
    disablearrivalcheck=no

conn Ekaterinburg #RED
    left=219.172.123.190
    leftnexthop=%defaultroute
    leftsubnet=192.168.4.0/255.255.255.0
    right=197.60.5.42
    rightsubnet=10.11.0.0/255.255.0.0
    rightnexthop=%defaultroute
    leftid="@соответствующие DNS имя"
    rightid="@соответствующие DNS имя"
    ike=3des-md5-modp1536,3des-md5-modp1024
    esp=3des-md5
    ikelifetime=1h
    keylife=8h
    dpddelay=30
    dpdtimeout=120
    dpdaction=restart
    pfs=yes
    authby=secret
    auto=start
pre-shared-key 123456

на той стороне Cisco
С такими настройками
name 10.11.0.0 blabla-network
asdm location blabla-network 255.255.0.0 inside

access-list outside_cryptomap_40_1 extended permit ip blabla-network 255.255.0.0 192.168.4.0 255.255.255.0


crypto map outside_map 40 match address outside_cryptomap_40_1
crypto map outside_map 40 set peer 219.172.123.190
crypto map outside_map 40 set transform-set ESP-DES-MD5
crypto map outside_map 40 set nat-t-disable
crypto map outside_map interface outside

isakmp enable outside

tunnel-group 219.172.123.190 type ipsec-l2l
tunnel-group 219.172.123.190 ipsec-attributes
pre-shared-key 123456

Имеем: Windows 2003 Server Ent. - Он же DC + DHCP
Еще один Windows 2003 Server Ent. + ISA2006 EE

Хочу сделать, чтобы одному vpn пользователю при соединении выдавался статический ip адрес, но в AD, в свойствах пользователя в закладке Dial In, данное поле не активно.

В настоящий момент в RRAS & ISA настроены выдачу ip адресов через DHCP.

Заранее благодарен за помощь!

vk222
сейчас у тебя уровень домена стоит в режиме совместимости Mixed, подними до native и всё будет активно.

se111,

Извиняюсь, что не отправляюсь rtfm'ить, а задаю вопрос тут, а чем грозит такое изменение? У меня еще exchange на DC. Данное изменение никак не повлияет на работоспособность?

Есть ли другие варианты, чтобы назначить статический адрес?

Заранее благодарен!

Добавлено:
В свойствах домена написано: Windows 2000 mixed, но кнопочки, Change, на которую ссылается microsoft почему-то нет Не подскажите как в этом случае поменять mixed mode на native mode?

Заранее благодарен!

Всем большое спасибо! Поднял домен до native (даже перезагрузка не потребовалась) и все заработало.

А у меня клиенты так и не регистрируют свои A- и PTR-записи. Вообще странно. После подключения клиенты даже не пытаются RENEW/UPDATE сделать, а просто LDAP запрашивают о чём-то. И всё, и тишина. Но если пнуть их ipconfig/registerdns, то быстренько всё регистрируется. Причём зарегистрированной записью почему-то владеет SYSTEM, а не клиент. В общем, нихрена не понятно и работает всё, не так, как описано в спецификациях. По идее, если я запретил DHCP-серваку регистровать записи по запросу клиентов, то клиенты сами должны регистрироваться, а следовательно записи должны принадлежить клиентам (ну A-запись точно). Но подозреваю, что регистрирует записи сам RRAS-сервер, потому что в случае штатного отключения он записи клиентов удаляет из DNS.

господа, доброго времени суток!
столкнулся с такой странностью в работе впн-клиента под вин 2000: на этапе создания соединения, при выборе его типа, доступно лишь два пункта из пяти, а именно: входящие соединения и через обычный модем, остальные три пункта (включая и подключение к частной сети) недоступны.
смотрел службы, вроде все, что требуется включено.
в какую сторону смотреть при решении данной проблемы?
заранее благодарен!

Добавлено:
вопрос снят
извиняюсь за беспокойство

titan83
Ну так расскажи, как решил проблему.

VPN initiation, termination and pass-through

Есть вопрос. Собираюсь поднимать ВПН соединение для офиса. Планируется запуск 1с юзерами из дома через инет под ВинХП. Насколько я понял мне необходим маршрутизатор с поддержкой ВПН. Маршрутизаторы в свою очередь могут работать сами как ВПН-сервера либо просто поддерживать VPN pass-through. Во втором случае они просто пропускают через себя ВПН тунель, а сам ВПН сервер должен находиться в середине сети. Я правильно понимаю? Если так, то как вы думаете, подойдёт ли для моей задачи 3Com OfficeConnect Secure Router (3CR860-95), имеется в виду подключить удалённых пользователей в локальной сети лишь средствами роутера?

Уважаемые знатоки, имею следующую ситуацию:
домен (10.0.0.х), одноранговую сеть филиала (10.0.2.х), в домене win 2003 serv для VPN, в одноранговой так же win 2003 serv для VPN, серваки VPN друг друга видят и видят сети друг друга, но клиентские компы видят только свои сети и серваки VPN. Командой Route добавлены маршруты до сетей назначения, однако ситуация не меняеццо. Т.е. комп доменной сети видит сервак VPN однораговой сети, а сети за ним не видит. При этом сервак однораговой постоянно при попытке соединения выдаёт запрос пароля и дальше не пускает.
Мож кто сталкивался знает что делать. Заранее спасибо.

Такой вопрос.

Можно ли указать гдето чтобы ВПН подключение происходило только с ИП который я могу указать на ВПН сервере ?

danu2000
Можно
Изучай политики удалённого доступа и правила фильтрации на внешнем интерфейсе.

На протяжении всего периода после подключения оптоволоконного интеренета выскакивает сообщение сетевой кабель не подключен...перестает на сетевухе мигать зеленый диод...приходится вытаскивать шнур из разъема RJ45 и обратно заталкивать и по новой подключаться...максимум соединение стояло 24 часа...бывает что за час несколько раз рвется...
Как можно решить проблему?

Доброго времени суток!
Вопрос.

имеем 2 офиса, в каждом стоит Win2003 и рутер 3CR858-91.

Как настроить vpn на рутерах, чтобы можно было видеть (обмениваться информацией и т.д.) клиентские компы из одного офиса в другом и наоборот.

Сейчас рутер (и там и там) служит для доступа в инет, раздает DHCP локальным компьютерам и как фаервол.

В идеале создать одну локальную сеть для обоих офисов, плюс будут еще офисы с такими же рутерами и виндой...

Вот подробный интерфейс настройки впн в рутере....

Заранее очень благодарен за ответ...




VPN Tunnel Parameters - IPSec

Tunnel Type - IPSecL2TP \ IPSecPPTP

Tunnel Name -

Remote VPN Gateway - IP\ANY

IP Address/Host Name -

Remote Secure Group:

Remote Party ID - ID_IPV4_ADDR \ ID_USER_FQDN

Remote Network Address - . . .

Remote Subnet Mask- . . .


Local Secure Group:

Local Party ID - ID_IPV4_ADDR \ ID_USER_FQDN

Network Address - . . .

Subnet Mask - . . .


Phase I IKE parameters:

Key Management - IKE Main Mode \ IKE Aggressive Mode

SA attribute - Oakley-Pre-3DES-SHA-1024 \Oakley-Pre-3DES-MD5-1024
\Oakley-Pre-DES-SHA-1024 \Oakley-Pre-DES-MD5-1024
\Oakley-Pre-3DES-SHA-768\ Oakley-Pre-3DES-MD5-768
\Oakley-Pre-DES-SHA-768 \Oakley-Pre-DES-MD5-768
Oakley-Pre-3DES-MD5-1536

Pre-shared Key -

Phase II IPSec Parameters:

Authentication Algorithm - MD5 \ SHA1

Encrypt Algorithm - DES \ 3DES

Key lifetime - (>=300sec.) sec.

PFS - (тут галочку можно поставить)

Diffie-Hellman Group - Group 1 \ Group 2 \ Group 5 (по умолчанию 2)

IKE Keep Alive - (тут галочку можно поставить)

через спутник пинг всегда больше 500

Привет всем!

Уже давно ищу решение следующей проблемы.

В Windows Server 2003 есть очень удобная штука "маршрутизация и удалённый доступ", через которую можно создать VPN-соединение, которое будет автоматически подключаться (что важно, без залогинивания конкретного юзера в систему), и переподключаться при разрыве соединения без лишних сообщений и вопросов.

В XP и Висте такой штучки естественно нет. Организовать автоматическое подключение и переподключение конечно же можно даже штатными средствами, но при разрывах будут появляться дурацкие сообщения, всплывающие поверх всех окон и отвлекающие от работы, а также для подключения необходимо будет залогиниваться в систему под каким-либо юзером. Есть конечно же и разные Dial-Up звонилки, которые обеспечивают автоматическое подключение и переподключение без лишнего шума, но они также не обеспечивают подключение без залогинивания, а также большинство не поддерживают Висту и pppoe-соединения.

А теперь собственно вопрос. Исходя из всего вышеописанного, как можно разрешить проблему автоматического подключения PPPOE-соединения без залогинивания в систему, а также автоматического переподключения в Windows Vista, и обеспечить отсутствие идиотских предупреждений при разрывах связи?

Цитата:

как можно разрешить проблему автоматического подключения PPPOE-соединения без залогинивания в систему

Если подключение ADSL то включить модем маршрутизатором и pppoe соединение настроить в нем.

Добавлено:
OtsHELLnik
Что значат "не видят" они не пингуются или не отображаются в "сетевом окружении"? Если ping не идет проверь чтобы у клиентов их vpn-сервер был прописан маршрутизатором и в rras включи nat на vpn соединении

Kivlov
Windows XP: nnCron Lite (умет стартовать сервисом и звонить любый соединения)
Windows Vista: еслит не ошибаюсь - собственный планировщик + WMI/WSH

Подключаю VPN (стандартный виндовый, интернет по adsl), пропадает сеть - ни один сайт не открывается. Отключаю VPN - все снова в норме. Так и должно быть или как-то можно настроить?

softes
Это потому что при настройке впн по умолчанию стоит галка "использовать шлюз в удаленной сети", соотв. твой комп начинает ломиться в инет через шлюз впн. Сними эту галку (но тогда, вероятно, потеряешь доступ в сеть впн, нужно доп. маршруты прописывать).
Читай тему - этот вопрос поднимался 1001 раз уже.

BONDBIG
Спасибо, это в шапке действительно, как так не заметил

Kivlov

Цитата:

как можно разрешить проблему автоматического подключения PPPOE-соединения без залогинивания в систему

попробуй написать батник типа:

Код: rasdial имясоединения логин пароль