» VPN: вся информация в этой теме

abugnsk о_0
Покурил, успокоился и начал сначала...
На впн серваке маршрут в "чужую локалку" указывается в оснастке RRAS (Статические маршруты->правой кнопкой->новый статический маршрут-> в поле интерфейс ставим созданное ВПН подключение в поля айпи и маска забиваем сетевой диапазон той сети в которую будем ходить и галку поставить не забываем) и шлюза там НЕ будет(!!!!) вместо него будет указан интерфейс вызова по требованию(!!!!). Это важный момент. Так должно быть с обеих сторон.

Цитата:

и соответсвенно немогу написать маршрут

- какой, где? Если на впн сервере, то я уже выше описал, если речь про какой-либо комп из лок сети, то проще маршрут указать на основном шлюзе (это в том случае если шлюз и ВПНсервак - разные ПК).

И не забывайте про то что маршруты должны быть корректны на обоих сторонах ВПН канала.

Камрады помогите решить задачку плизз!
Дано:
Головной офис, поднятый VPN сервер, сервер с 1C и терминальным доступом, контроллер домена.
Часть клиентов использует доступ к терминалке через ADSL-роутеры с настроенными VPN-каналами. Вторая часть использует доступ через терминал.
Требуется:
Заставить клиентов 3G ходить в домен, а уж потом юзать терминал по VPN.

Ogent Smith
Дык ето, не понимаю как вы это представляете. Сначала пользователь входит в домен, затем стартует VPN, а потом входит через VPN в терминал? Я так понимаю что по VPN он как раз и ходит чтоб в доменную сеть попасть, а затем постучаться на терминал.
Или у вас уже и так все работает как вам нужно или я не понял чего вы хотите.

abugnsk
Тут меня посетила мысль по-поводу вашего не понимания. Если меня правильно осенило, то вы путаетесь в шлюзе и IP-шнике который на этот шлюз смотрит.


Цитата:

то что я пытался указать:
192.168.200.0 255.255.255.0 10.0.0.3 10.0.0.3 - вот в моем понимании такой маршрут, но это не верно и не работает.

Маршрут не правильный! Шлюз и интерфейс через который вы осуществляете доступ к шлюзу не могут быть одним и темже.

10.0.0.3 будет являться шлюзом в сеть 192.168.200.0 если он (ip -10.0.0.3) соответствует ПК с внутрисетевым адресом - 192.168.200.254, но с ним еще надо связаться через какой-то интерфейс который с ним находится в одной подсети.
По факту у вас создается 4 виртуальных IP:
10.0.0.1 и 10.0.0.2 на одной стороне
10.0.2.1 и 10.0.2.2 на другой
так как соединение сервер-сервер двунаправленное.

192.168.200.254 ВПН_В выделяет клиентам адреса из диапазона 10,0,0,1-10
192.168.201.133 ВПН_А выделяет клиентам адреса из диапазона 10,0,2,1-10

А подключается к В, В - взял себе адрес 10,0,0,1 а компу А выдал адрес - 10,0,0,2. Теперь для А маршрут в сеть за компом В будет пролегать через адрес 10,0,0,1 на который смотрит его виртаульный 10,0,0,2
С другой стороны ситуация аналогична:
В подключился к А, А - взял себе адрес 10,0,2,1 а компу В выдал адрес - 10,0,2,2. Теперь для В маршрут в сеть за компом А будет пролегать через адрес 10,0,2,1 на который смотрит его виртаульный 10,0,2,2.
Маршрут из А в В
192.168.200.0 255.255.255.0 10.0.0.1 10.0.0.2
из В в А
192.168.201.0 255.255.255.0 10.0.2.1 10.0.2.2
Вроде так.
Если требуется сделать вызов по требованию, то лучше добавлять маршрут через RRAS.
IP-10.0.0.1, 10.0.0.2, 10.0.2.1, 10.0.2.2 - примерные не факт что ваш сервак выдает вам именно их.

Вот только что сделал подключение удаленной сетки 192.168.2.0/24 к головному офису 192.168.7.0/24 по VPN и без всякого извращения над техникой.

Исходные данные (специально не стандартные):
ОФИС
VPN сервер на w2k3 с одним интерфейсом 192.168.7.32
Инет раздается через шлюз 192.168.7.13
DHCP на w2k 192.168.7.24
Клиенты ХР

УДАЛЕНКА
Выход в инет и подключение к офису с одной машины с ХР с двумя интерфейсами, из которых локальный - 192.168.2.1

Решение:
ОФИС
Чтобы удаленка была видна клиентам из офиса, раздаю офисным клиентам маршрут 192.168.0.0/16 (можно было и 192.168.2.0/24) через 192.168.7.32 посредством DHCP (option 249). Нужно это потому, что шлюз по умолчанию не совпадает с VPN маршрутизатором. (Не забыть бы добавить этот постоянный маршрут на машинах со статической адресацией.)
VPN настраиваю на раздачу адресов из диапазона, а не на ретрансляцию, поскольку интерфейс всего один. Диапазон значения не имеет, но в моем случае это подсеть 192.168.6.240/28.
Настраиваю учетку AD для пользователя, под которым подключается к VPN удаленная сетка, на выдачу постоянного IP (192.168.6.241) и установку статического маршрута 192.168.2.0/24 через заданный IP. (Как сделать то же самое без AD, не знаю. Буду признателен, если кто сообщит).
С офисной сеткой покончено!

УДАЛЕНКА
Тут все просто! Всего то нужно добавить постоянный маршрут на единственной машине (192.168.2.1):

Код: route add 192.168.7.0 MASK 255.255.255.0 192.168.6.241 METRIC 1

Помогите пожалуйста разобраться в организации раздачи интернета сервером клиенту, через большую локальную сеть. Оба компьютера под управлением Win7 финальной версии.

Существует большая локальная сеть местного провайдера. Сервер находится за роутером, на котором установлено перенаправление портов 1723 и 47 на этот сервер. На сервере создано ожидание входящих подключений по VPN со стандартными настройками (шифрование "не обязательно", выдачей адреса из диапазона DHCP роутера). Ранее всё то же самое было настроено на том же компьютере (сервер) под управлением Win2k3, и все работало как надо.

Под Win7 клиенту удается установить соединение с сервером и получить адрес из диапазона, заданного в настройках VPN. Однако , доступа к локальной сети и интернету клиент не получает, хотя в настройках VPN это указано. При этом сервер успешно пингует клиента.

В чем может быть проблема? Что мы делаем не так?

Заранее спасибо за ответы.

placebocommunity
Делаете все так, но не доделываете.
Должны случиться еще две вещи:
1) сеть, которую раздает VPN сервер должна знать о клиенте, а 2) клиент об этой сети.

ipconfig /all на клиенте, и route print на клиенте и сервере при установленном с клиентом соединении.

SERVER


Код: Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет

Адаптер PPP RAS (Dial In) Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : RAS (Dial In) Interface
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 1.1.1.100(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Контроллер Marvell Yukon 88E8056 PCI-E Gi
gabit Ethernet
Физический адрес. . . . . . . . . : 00-18-F3-75-B5-BC
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::844:5976:3167:e86e%13(Основной)
IPv4-адрес. . . . . . . . . . . . : 1.1.1.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 5 декабря 2009 г. 23:57:12
Срок аренды истекает. . . . . . . . . . : 7 декабря 2009 г. 21:51:23
Основной шлюз. . . . . . . . . : 1.1.1.200
DHCP-сервер. . . . . . . . . . . : 1.1.1.200
IAID DHCPv6 . . . . . . . . . . . : 301996275
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-12-94-51-C0-00-18-F3-75-A2-45

DNS-серверы. . . . . . . . . . . : 1.1.1.200
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{BBEF7153-0A52-43ED-8B0B-D69A3C092326}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер 6TO4 Adapter:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft 6to4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2002:101:101::101:101(Основной)
IPv6-адрес. . . . . . . . . . . . : 2002:101:164::101:164(Основной)
Основной шлюз. . . . . . . . . : 2002:c058:6301::c058:6301
DNS-серверы. . . . . . . . . . . : 1.1.1.200
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер Подключение по локальной сети*:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2001:0:5ef5:73bc:88d:2a83:a484:e7fa(Основ
ной)
Локальный IPv6-адрес канала . . . : fe80::88d:2a83:a484:e7fa%16(Основной)
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Отключен

Туннельный адаптер Reusable ISATAP Interface {FC67A5CD-CA8E-41F7-BB4C-985855469C
A7}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

с сетью 1.1.1.0 тяжело будет справиться.

Все же следует следовать рекомендациям, что для локальных сетей адреса выбираются из диапазонов:

Код: Class A 10.0.0.0 — 10.255.255.255
Class B 172.16.0.0 — 172.31.255.255
Class C 192.168.0.0 — 192.168.255.255

Цитата:

Все же следует следовать рекомендациям, что для локальных сетей адреса выбираются из диапазонов:

К сожалению, в сетях провайдера используются диапазоны, начинающиеся с этих адресов и так сделано для простоты определения принадлежности адресов к определнным сетям, без сверки по маске.


Цитата:

А вот на клиенте недопустимое значение шлюза по умолчанию.

А как установить там другое значение? И какое следует: компьютер с VPN или роутер?

ROUTE PRINT при подключении


Код:
===========================================================================
Список интерфейсов
19...........................VPN-подключение
12...00 13 a9 c0 a7 c8 ......Контроллер Marvell Yukon 88E8036 PCI-E Fast Ethern
et
11...00 13 e8 25 79 ab ......Intel(R) Wireless WiFi Link 4965AGN
1...........................Software Loopback Interface 1
18...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
15...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4 #2
13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
14...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
16...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4 #3
17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
28...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.28.148.1 10.28.148.196 4245
0.0.0.0 0.0.0.0 On-link 1.1.1.101 21
1.1.1.101 255.255.255.255 On-link 1.1.1.101 276
10.0.0.0 255.0.0.0 10.28.148.1 10.28.148.196 4246
10.28.148.0 255.255.254.0 On-link 10.28.148.196 4501
10.28.148.196 255.255.255.255 On-link 10.28.148.196 4501
10.28.149.255 255.255.255.255 On-link 10.28.148.196 4501
10.37.69.253 255.255.255.255 10.28.148.1 10.28.148.196 4246
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
192.168.0.0 255.255.248.0 10.28.148.1 10.28.148.196 4246
192.168.10.0 255.255.255.0 10.28.148.1 10.28.148.196 4246
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 10.28.148.196 4502
224.0.0.0 240.0.0.0 On-link 1.1.1.101 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 10.28.148.196 4501
255.255.255.255 255.255.255.255 On-link 1.1.1.101 276
===========================================================================
Постоянные маршруты:
Отсутствует

Цитата:

в сетях провайдера используются диапазоны, начинающиеся с этих адресов

Ну и пусть. А маски какие?

Цитата:

без сверки по маске.

Что-то очень мудренно .... Без маски у нас маршрутизация работать не будет. Как маршрут иначе расчитывать?


Цитата:

А как установить там другое значение? И какое следует: компьютер с VPN или роутер?

Не знаю как делается в семерке. Установить надо "ничего".

из таблицы маршрутизации видно что нам надо добавить один маршрут:
route add 1.1.1.0 mask 255.255.255.0 1.1.1.101 metric 1
и притом его можно будет сделать постоянным (/p) только в том случае, если адрес клиенту назначается постоянный. Иначе корректировать таблицу при каждом отключении/подключении.

Цитата:

Что-то очень мудренно .... Без маски у нас маршрутизация работать не будет. Как маршрут иначе расчитывать?

Ну, всмысле, на глаз чтобы видно было


Цитата:

Не знаю как делается в семерке. Установить надо "ничего".

В семерке, в настройках соединения выбрана галочка «использовать основной шлюз в удаленной сети». Никаких других настроек, связанных со шлюзом нет.

Вот что странно, этот же клиент без проблем соединялся с VPN-ом на w2k. Может быть какая-то проблема всё же в настроках VPN на компьютере-сервере?

Цитата:

Ну, всмысле, на глаз чтобы видно было

Порочная практика.

Цитата:

этот же клиент без проблем соединялся с VPN-ом на w2k

А не понял что существует проблема подключения, то есть установление соединения, с VPN сервером.

Цитата:

проблема всё же в настроках VPN на компьютере-сервере?

а что выявило сравнение с тем что работает?!

Цитата:

а что выявило сравнение с тем что работает?!

Это сравнение постфактум, т.к. теперь компьютер под управлением w7, а не w2k. Но на клиенте никакие настройки не менялись, а вы говорите настройки сервера в порядке.

Давайте тогда пойдем с конца. Со стороны клиента.
После установления соединения и добавления маршрута что дают команды ping 1.1.1.100 и tracert 1.1.1.100 на стороне клиента?

Господа, подскажите какой VPN клиент можно использовать на Windows7 для выхода в интернет через прокси сервер. На ХР работал Aventail, но в семерке он уже не работает.

Ситуация такая, на работе настроил VPN туннель между двумя сетями с помощью роутера d-link DI-808HV, теперь возникла идея попытаться с домашнего компа зайти в рабочую сеть, на роутере DI-808HV настроил dynamic VPN включил серверный режим, создал пользователя и пароль, IPsec pre-share key, количество туннелей на роутере увеличил больше чем 1))... там вроде все прaвильно, теперь зона моего дома состоит из следующего: adsl модем d-link DSL-2600U, получаеющего динамический IP адрес, комп с системой ХРюша зафаршированная 3-ий раз... IP модема - 192.168.1.1, моего компа - 192.168.1.2 как теперь соединиться с рабочей сетью не знаю((.... прошу помощи....

Пробовал мануалы с сайта д-линк, вроде делал по пунктам, но ничего не получилось, попытки были настроить ВПН соединение с системы мастером подключений, на модеме настроил NАТ по UDP 500 на ip 192.168.1.2, пытался также по мануалам в политике локальной безопасности настроить IP безопасность на локальном компьютере, создав новые правила на туннели, но ничего не получилось, на модеме есть возможность создания туннелей IPsec и PPTP, попытался сначала PPTP, не получилось, затем Ipsec, то же также...

ЗЫ: прошу сильно не пинать, как говорится я только учусь;)... так что прошу давать более или менее внятные советы... еще раз всех благодарю за предоставленные отзывы заранее...

Код: C:\Users\dM>ping 1.1.1.100

Обмен пакетами с 1.1.1.100 по с 32 байтами данных:
Ответ от 1.1.1.100: число байт=32 время=1мс TTL=128
Ответ от 1.1.1.100: число байт=32 время=1мс TTL=128
Ответ от 1.1.1.100: число байт=32 время=1мс TTL=128
Ответ от 1.1.1.100: число байт=32 время=2мс TTL=128

Статистика Ping для 1.1.1.100:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 2 мсек, Среднее = 1 мсек

C:\Users\dM>tracert 1.1.1.100

Трассировка маршрута к BONES [1.1.1.100]
с максимальным числом прыжков 30:

1 1 ms 1 ms 1 ms BONES [1.1.1.100]

Трассировка завершена.

placebocommunity
Хорошо, один PPP интерфейс сервера виден.
Такой-же результат должен быть и при тестировании адреса 1.1.1.1
А вот тестирование шлюза (1.1.1.200) ничего не даст, потому что шлюз не знает, что пакет нужно отправить на интерфейс PPP сервера. И объяснить ему при такой конфигурации сети будет не очень красиво.

На шлюзе надо будет добавить маршрут
route add 1.1.1.101 MASK 255.255.255.255 1.1.1.100 metric 1 /p*
* (/p) если адрес клиенту назначается автоматически.

Тогда и тестирование адреса шлюза (ping & tracert) даст положительный результат.

Добавлено:
PS но правильней было бы все-же сделать нормальную локальную сеть из любого из рекомендуемых диапазонов.

Добавлено:
serik1986

Цитата:

попытки были настроить ВПН соединение с системы мастером подключений,

В смысле с домашнего модема?


Цитата:

на роутере DI-808HV настроил dynamic VPN включил серверный режим,

С маршрутизатором надо устанавливать VPN соединение.

Здравствуйте товарищи! Форум смотрел-насколько сил хватило, гугл не помог...
Проблема следующая: за роутером стоят серваки Vpn (pptp), на один из оных порт на роутере 20 на 1723 перекидывает... Как заставить клиента средствами windows xp ломиться на ip на 20-ый порт?
1723-1723 проверял-работает... x.x.x.x:20 - не помогает.
Премного благодарен.

Добавлено:
http://gaers1.narod.ru/files/PPTP.cmd
Нашел сей вариант.


Добавлено:
Еще мысли выслушаю.

Нет, ничего из этого не помогло, даже смена сети на рекомендуемый диапазон.

В итоге проблема была решена запуском под виртуальной машиной w2k3, который после тех же самых настроек на раз-два начал раздавать сеть.

placebocommunity

Цитата:

Нет, ничего из этого не помогло, даже смена сети на рекомендуемый диапазон.

Странно. Ведь не у одного меня нормально работает без VM.

Цитата:

Странно. Ведь не у одного меня нормально работает без VM.

Вы же говорили что не пробовали под w7 настраивать vpn?

placebocommunity
А Вы таки да или юморист, или читать не умеете

Если есть VPN-Router к которому подключен интернет и локальная сеть, в локальной есть сервер-win2003.
Нужно настроить vpn сервер, и сделать так, чтобы удаленно (по интернету) конектились vpn клиенты и автоматически получали локальные сетевые настройки.

Вот нашел статью как это сделать:
_http://system-administrators.info/?p=418

Вопрос, на роутере какие-то настройки надо делать?

все настроил, только не понятно, как сделать так, чтобы VPN-клиентами выдавались ip-адреса из локальной сети.

zepterman
нужно или ретрансляцию DHCP настраивать на VPN сервере, или если нет DHCP сервера, то настроить VPN сервер на отдачу клиентам IP из нужного диапазона.

Здравствуйте форумчане, помогите справится с проблемкой:
Есть локальная городская сеть 10.0.0.0, подключение к интернету осуществляется с помощью VPN (логин пароль), есть малая сеть 192.168.50.0 основанная на роутере TL-WR542G использующая городскую сеть.
Проблема состоит в том чтобы подключить два кампа из этой же городской сети к малой.
В роутере возможности создания VPN сервера нет!
Для этого на одном из ПК малой сети на основе W7 был создан VPN сервер, стандартными возможностями виндовс, VPN тунель создаётся, но дальше всё глухо . Нет обмена пакетами.

При этом у подключаемых процесс идёт (пакеты тикают), только толку ноль!
Адреса пользователи туннеля получают динамические. У них они показываться, на сервере пишет не подключено.
Соединение Роутер - городская сеть - Rassia PPTP.
В роутере прописан статический маршрут 10.0.0.0 mask 255.0.0.0 10.10.X.X (нужно для работы с сервисами городской сети), так же прописан Forwarding порт для контакта VPN:
ID Service Ports IP Address Protocol

7 1723 192.168.50.100 TCP Enabled
(малая сеть ПК с сервером)

Без роутера с прямым подключением ПК к городской сети и созданием отдельного VPN подключения для интернета, Проблемный VPN тунель работает у пользователей есть доступ к малой сети и интернету. При подключении через роутер только тунель! При этом у пользователей пингующих 10.10.Х.Х, пингуется динамический адрес выданный роутеру при подключении Rassia PPTP.
Как быть не знаю Подскажите пожалуйста, извиняюсь за каламбур

YurDoC

Цитата:

извиняюсь за каламбур

С этого и надо начать. Привести мысли в порядок. Тогда и сообществу станет понятно что и как.

P.S. Правильно сформулированный вопрос содержит в себе 50% ответа.
P.P.S. Краткость сестра таланта.

Лучше лишний ipconfig /all или route print, чем длинное и непонятное описание.

А какие програмы, существуют для настройки VPN?