» VPN: вся информация в этой теме

Господа знатоки, помогите справиться с проблемой. Локалка, соединение vpn, настройки все нормально. Проблема в том, что на стареньком ноуте, который в принципе в данный момент нужен для интернета, соединение не всегда работает.
Помогает только перезагрузка, причем иногда несколько раз.
Нет соединения вообще, ни доступа в локалку, ни в инет.
Я уже все журналы перерыла, не особо в этом и разбираюсь, может службы какие нужные выключены, хотя по возможности оставлены, если сомневаюсь, либо железо глючит.
В журнале, описание примерно таково: служба IPSEC не смогла получить адрес (адрес установлен автоматически, по требованию прова), то права какие-то не поделили. Вобщем запуталась я. Где еще порыть?
Есть большое подозрение что на комп было вторжение и перекрыли кислород.

Vivien
отключение/включение сетевой карты без перезагрузки пробовала?
у сетевой карты адрес статический?

ShriEkeR
Насколько я сейчас стала это отслеживать, IP внутренний, адрес меняется через какое-то время, а вообще должен автоматом получать, DNS и DHCP, так вот когда нет соединения, то и в настройках сетевой карты, адрес не получен, нули.
Попробовала отключать карту через диспетчер и в подключениях, глючит все. Не получает корректно адрес и ошибка маски. Не хватает одного 255.

Мне хотя бы понять в железе дело или еще в чем.
Вот выдержка из журнала:
[more]Компьютер не имеет назначенного адреса (с помощью DHCP-cервера) для сетевого адаптера с сетевым адресом 00E09101AFA2. Произошла следующая ошибка:
Превышен таймаут семафора. . Компьютер продолжит попытки получить свой собственный адрес от DHCP-сервера.

Драйвер обозревателя сети инициировал выборы в сети \Device\NetBT_Tcpip_{9B2C6F1B-0CA4-483F-8918-5E90FE420463}, так как был остановлен основной обозреватель сети.[/more]

Ситуация такая:
Есть Winserv2k3 с одной сетевой картой. Он подключен в инет через домовую сеть. Надо поднять на нем сервер VPN, причем так чтобы VPN был внутри локалки. К тому же надо настроить NAT с VPN на сетевой адаптер сервера. Вопрос как?
Сорри если непонятно Пишите разъясню

2 All
Дано две системы:
1. Windows XP SP2 (русская); VPN, настроенный на подключение пользователей; галочка "Включать домен входа в Windows" снята. Подключение завершается ошибкой 691: "Доступ запрещен, поскольку такие имя пользователя или пароль недопустимы в этом домене". Проверялось на двух пользователях, логины/пароли вводились в том числе и копированием из буфера обмена, т.е. ошибки исключены.

2. Свежеустановленная Windows XP SP3 (английская) с аналогичными настройками VPN, распахнув свою двоичную душу, принимает входящие подключения.

Гуглил и яндекс'ил без каких-либо положительных результатов (неправильные логин\пароль; закончились деньги на счету провайдера; снимите галочку "...входа в домен").

Есть варианты решения проблемы?

reff
3: незавершенная сессия, либо подождать, либо перегрузить комп.
И 4 - ответ на все нашего прова: вирусы....

Vivien

Цитата:

3: незавершенная сессия

На "первом" ПК входящих VPN-сессий отродясь не было.

Цитата:

либо перегрузить комп

Хм, вряд ли поможет. Попробую.

Цитата:

И 4 - ответ на все нашего прова: вирусы

Ответ некомпетентных специалистов. Это не мой вариант.

reff
Я не очень конечно в этом разбираюсь, но если эти ПК пользователей, то ввести вручную и сохранить, перезагрузить, если нет соединения, и попробовать еще раз.
Поскольку данная ошибка именно "незавершенная сессия" у провайдера. Я звонила и мне завершали, правда первое соединение было настроено сразу правильно.

P.S насчет 4 это да, так девица в техподдержке любит говорить.

Vivien
Внесу ясность. Это один реальный ПК (он был упомянут первым) и один виртуальный (под управлением Windows XP SP3). У обоих ПК один пользователь — я. Провайдер никоим образом не задействован, поскольку соединение с localhost заканчивается всё той же ошибкой.

Цитата:

P.S насчет 4 это да, так девица в техподдержке любит говорить

Я и сам слышал нечто подобное от славных представителей техсуппорта. После расстановок точек над "i" сотрудник, ответивший на звонок, переключает меня на более технически подкованного коллегу.

2 All
Проблема не решена. Вопрос актуален.

Прошу прощения но вопрос мучающий меня наверно приведет к суициду
есть главный офис со статиком и есть удаленные тоже со статиком. везде WinXP. в половине есть D-Link роутеры в другой нет. Там где есть D-L поднял железные VPN и все, песня, а как быть с Остальными. Нужна скажем так "Вывернутая Звезда" - Удаленное Админство по VPN удаленных машин (ключевое слово VPN)

Еще раз прошу прощения если в тему. Если кто знает куда - перенаправьте.

Tunis
Э-э-э... А поставить на всех Dlink'и не рассматривается как вариант?
Или openvpn?

BONDBIG

Цитата:

Э-э-э... А поставить на всех Dlink'и

Как вариант рассматривается но контора денег не даст только зухеля 600 на вход

Цитата:

Или openvpn?

Мне кажется тоже не выход т.к. если виновый клиент не вопрос то винового сервера нет он только для *никса или я не прав?

А что за Длинки-то? Супер дорогие прям?
Вообще задачу по поднятию ВПН ты себе сам придумал, или сверху спустилось?
openvpn есть и под виндовс.

Добавлено:
в конце концов поставь hamachi

Господа, доброго времени суток!
Позвольте вопрос: ИСП даёт нам инет по впн, можно-ли как-нибудь сделать так, чтобы подключение переподключалось например каждые 8 часов (08-00, 16-00, 00-00) ?

можно, даю наводку: rasdial + планировщик.

BONDBIG
супер, спасибо

Провайдер раздаем нам в филиале интернет по Ethernet-сети
через VPN (pptp), в туннеле "серые" адреса,
т.к. в "белые" адреса они транслируются на NAT-сервере провайдера.

Как выяснилось, с нашим VPN-сервером успешно удается установить соединение,
также по pptp.

У нас несколько этих VPN-каналов от провайдера,
но они низкоскоростные - высокие скорости не дает.

Можно ли организовать распределение ИСХОДЯЩЕГО трафика по типу round-robin?

Вот что пишут:
http://bmrc.berkeley.edu/people/chaffee/linux_pptp.html
"There are some limitations. Currently, only one inside machine can have an open virtual circuit to an outside machine X. If another inside machine connects to machine X, the first inside machine will lose its connection because packets will be intermixed. This problem exists because this protocol is not port based."

Так и хорошо, что "GRE is not port-based"!
У каждого VPN-соединения после трансляции через NAT будет один и тот же внешний IP-адрес,
проверено!
Значит и наш VPN-сервер без проблем примет эти GRE-пакеты.

Я прав, стоит пытаться?
Тогда какой утилитой для проверки рекомендуете воспользоваться?

Round-robin - ИМХО есть зло. Т.к. когда клиенту приходят куски данных с разных IP - он с "чужого" IP просто будет отбрасывать. Хотя, если у вас со стороны прова NAT - можно и попробовать...
Можно поставиль Linux-роутер, и настроить распараллеливание нагрузки. Когда каждый новый маршрут к узлу будет случайным образом направляться через одно из внешних подключений (ключевые слова - nexthop, equalize). Можно настроить и "вес" каждого маршрута (в зависимости от пропускной способности). У меня подобная система в тестовом режиме работала с 2мя разными провами. Подробнее - в Linux Advanced Routing HOWTO.
Минус - желательно периодически чистить таблицу маршрутов (инфа - с какого-то форума, сам особо не заморачивался). Реализовывается элементарно.

Цитата:

Round-robin - ИМХО есть зло. Т.к. когда клиенту приходят куски данных с разных IP - он с "чужого" IP просто будет отбрасывать. Хотя, если у вас со стороны прова NAT - можно и попробовать...

Вот именно, будет отбрасывать.
И даже если с одного IP-адреса, но с разны портов - тоже будет отбрасывать.

Вот и я предположил, вероятность есть что это заработает, т.к. протокол "GRE is not port-based".
Т.е. через Интернет к VPN-серверу будут приходить GRE-пакеты с одного IP-адреса
(сервера провайдера),
и не важно будет, как они попали на сервер провайдера.

Но точно не уверен - знаний не хватает.

Осталось выбрать какой-либо LiveCD, в котором нужные функции,
и попробовать. Задам вопрос в этой теме:
http://forum.ru-board.com/topic.cgi?forum=8&topic=24052&start=40#lt

Зачем LiveCD? Ставится какой-то дистрибутив, и на нем экспериментируется... Поднять 2-3 линка к провайдеру, сделать на них round-robin вручную, и проверить реальную скорость.
P.S. ИМХО стоит обратить внимание на FreeBSD - там round-robin легко организовывается

Господа, и дамы..
Приветствую! Позвольте поинтересоватся:
у нас пров даёт инет по впн (pptp), есть ли какой adsl-модем, чтоб в нём можно было настроить автоматическое соединение с провом, как например в случае с PPPoE?

Tim2000
есть.

BONDBIG
спасибо канечно, но не могли бы Вы пару таких модемов озвучить?...

3com <3CR858-91>
ZyXEL Prestige 660HTW2
D-Link DI-804HV Broadband VPN Router
TRENDnet <TW100-S4W1CA>
TRENDnet <TW100-BRV204> Cable/DSL VPN Firewall Router
TrendNet TDM-C400

Столько хватит?
Неужели лень хотя бы тупо пробежаться по прайсам в интернете?

BONDBIG
Спасибо!
мне не лень, я просто понять не могу из описания - подойдёт или нет, вот и спрасил чтобы наверняка увериться Сэнкс...

Такой вопрос.
У нас в городе все провайдера используют эту схему.
Чтобы получить доступ в инет, нужно подключиться к локалке, потом пройти авторизацию через впн.
всегда думал, что впн нужен для доступа в локалку извне.
Я так понял, что была проблема взлома паролей к учеткам когда не было впн. Поэтому стали использовать впн.
Ну да ладно.
тем не менее как реализовать эту схему?
Дано: сервер 2003 с 2 картами (адсл и локалка). Стоит на компе юзергейт.
Допустим поднял впн на этом сервер, как установить правило доступа, чтобы только пройдя аутентификацию на впн сервере мользователи могли выходить в инет?


Заранее благодарен!

mistx
Насколько я понял, и Win2003 и юзергейт у вас пираццкие?
В таком случае сносите нафик юзегейт и ставьте ISA. Инструкций типа "веселые картинки" в интернете навалом для ИСы.
А еще более правильное решение - OpenVPN. Но тут уже с "веселыми картинками" посложнее, нужно включать мозг.

Добрый день!
Прошу помочь мне балбесу

Необходимо присоеденится к удалённому офмсу:

[ куда присоединяемся ]
стоит: Dlink DI 804HV (VPN Router)
Создал в нём настройки VPN Тунеля.
LAN port: 192.168.0.100\24

В один из его портов воткнут шлюз (машинка с двумя сетевухами, в качестве билинга).

-----------------------------------
ipconfig машинки с билингом:
Ethernet1# LAN port: 192.168.1.13\24
DNS : 192.168.1.3
Ethernet2# в D-link : 192.168.0.101\24
Gateway: 192.168.0.100
-----------------------------------
-----------------------------------
ipconfig локальных машин:
IP: : 192.168.1.0\24
Gateway : 192.168.1.13
DNS : 192.168.1.3
-----------------------------------

В таблице маршрутизации D-link написал:
192.168.1.0 255.255.255.0 192.168.0.101 1
192.168.1.255 255.255.255.255 192.168.0.101 1

[ откуда присоединяемся ]

на другом конце клиент WinXp (сеть, откуда я хочу приконнектится):
VPN соединение проходит, но сеть 192.168.1.0\24 я не вижу.
C D-Link видны только 192.168.0.101 и 192.168.1.13 интерфейсы. (т.е. только люз с билингом)


(Пробовал непосредственно с D-link пингануть 192.168.1.3 DNS сервер - не видит)

Как настроить маршрутизацию, или в чём проблема??

Всем привет нужна помощь, нужно поднять впн прочитал все топики пробовал по разному и не получилось Имеется сервер 2003, модем АДСЛ зухел 791 престиж - стоит-роутером--192.168.0.1-----подключен к свичу, сеть рабочая группа 10 компов все подключены к инету через шлюз 192.168.0.1--стат-адрес - 217.ххх.ххх.хххРРАС пробовал по разному использовал все советы во всех топиках, сеть 192.168.0.2 и по возрастанию, когда модем ставлю мостом то сдругого конца города по rdp соединяюсь без проблем но нужно чтоб был роутером
С другой стороны точно также, только модем 192.168.1.1--- ip 90.ххх.ххх..ххх
подскажите по подробней пожалуйста как сделать впн

BONDBIG

Цитата:

Насколько я понял, и Win2003 и юзергейт у вас пираццкие?

Да нет. как раз наоборот. раньше стояла пиратская иса, снесли.

стоит юг. Брать ису начальство за 80000 не желает, за 3 юг для них проще.

"веселые картинки" - это о чем?

смысл даже не во внутренней сети и не в юге.
Допустим нужно, чтобы извне юзеры входили только через впн на внутренний сайт. Как это реализовать без исы?????
даже пробывал на исе. никак не выходит. Не могу настроить политику на впн.
захожу на сайт как с впн так и без него