» VPN: вся информация в этой теме

attaattaatta


Спасибо большое! Вот она женская логика...даже в голову не пришло..что у меня службы отключены

Mariya23 Так обычно и не приходит в голову эти службы отключать

---

http://decker.no-ip.org/forum/index.php?showtopic=6208

Несколько входящих VPN подключений в WinXP.

Подскажите направление решения проблемы
Есть клиент (Win7) за немоим прокси (т. е. много неудобных ограничений). Есть сервер (ubuntu linux), к которому есть полный доступ через интернет по ssh (белый IP, все можно разрешать/запрещать и т. п.). Сервер за роутером, но тоже моим.
Задача - снять ограничения с клиента, взаимодействуя с интернетом через сервер.

Пока тесты с linux-клиентом.
Получилось установить соединение с помощью OpenVPN (через порт tcp), но при включении на сервере опции "перенаправить весь внешний траффик клиентов сквозь ВПН" (и соответствующего маскарадинг), на клиенте интернет пропадает. Все по описанию на сайте OpenVPN делал, как дебажить?
Соединение установлено, пинг между клиентом и сервером проходит.
На сервере (tun0: 10.8.0.1):
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.8.0.0/24 anywhere

(клиент 10.8.0.6)

Нашел решение в troubleshooting.

Здравствуйте,
подскажите плиз
Имеется удалённый компьютер, который подключается посредством OpenVPN к сети организации. У компьютера IP 172.16.8.2, у организации адресация 192.168.20.* Возникла необходимость, что бы данный компьютер посредством VPN-соединения через нашу сеть попадал в другую сеть с адресацией 192.168.0.* для работы по RDP. По идее, нужно прописать статический маршрут, но есть одно НО: адресация сети, через которую удалённый компьютер выходит в инет так же имеет адресацию 192.168.0.* Я правильно понимаю, что прописывание статического маршрута для доступа к сети 192.168.0.* посредством VPN в итоге отрубит компьютеру и инет, и VPN, который работает через этот инет, т.к. трафик локальной сети будет заворачиваться на VPN? Есть ли иное решение?

Цитата:

винда 2003 sp2

маршрутизация и удаленный доступ, там поднял RRAS при VPN

пытаюсь подключиться к инету, а мне ошибку:

Произошла ошибка при подключение интерфейса.
Протокол управления PPP-связью был прерван.

Чё за борода ? я этого не писал.
Я уж даже забыл,как я описывал проблему...грёбаные модераторы.

Нужно быстро и качественно объединить две локалки в одну. Экспериментировать часами с настройками не дадут, да и находятся они достаточно далеко друг от друга, а я один.
Понимаю, что подобные проблемы уже 100 раз обсуждались, но в сетевых технологиях я не силен. Начал читать, гуглить, но каша в голове сгущается, а времени в обрез...

В моем случае у меня большая свобода действий, т.е. я могу как угодно по своему усмотрению сконфигурировать сеть и серваки.

Условия:
1) Локалки простые одноранговые, без AD.
Горстка компов (соединены обычной сеткой 100МБит) и ноутов (входят в локалку ч/з WiFi рутер).
Все это дело выходит в инет ч/з сервак, у которого установлен ADSL мопед.
Локалка №2 отличается тем, что нет WiFi.

2) Провайдер один. Выдает два IP: внешний динамический и внутренний статический.

3) Возможно провайдер блокирует VPN (как проверить?), т.к. создание абонентами локальных сетей не разрешено.

4) Минимальные расходы на железо, желательно вообще без расходов... ну могу прикупить ADSL модемы, т.к. в обоих случаях стоят модемы прова.

Планирую поставить на серваки Win 2003 Ent x86 SP2 (R2). Могу поставить 2008.
Ограничений в выборе софта нет, т.е. могу поставить ISA, OpenVPN... что угодно... за варез ничего не будет.

В идеале, конечно, ищу инфу/ссылку, где будет четко и понятно (для опытного юзера) разжевано как-то вроде этого: Чтобы получить А сделайте Б, чтобы иметь фичу Х, то в таком-то месте натыкайте вот так...

Естественно, на такой вариант особо не надеюсь поэтому также буду очень признателен за любую помощь и подсказки.

OpenVPN в режиме bridge это может. Подробное описание на их сайте.
Может соединятся через единственный tcp порт, так что запретить в данном случае сложно.

ChiPnGo

Цитата:

OpenVPN в режиме bridge это может. Подробное описание на их сайте.
Может соединятся через единственный tcp порт, так что запретить в данном случае сложно.

Спасибо за инфу... мне вот тоже опенвпн советуют. Очень важна стабильность. А еще немаловажно удобство использования и скорость реализации всего механизма...

Задача, почти такая же, как и у timsky

Нужно объединить офис и 3 торговые точки, для работы 1С. Думаю, единственный вариант - VPN.
Времени на настройку мало, и работу точек с офисом тормозить нельзя. От инфы на форумах реально каша в голове, впн ранее не поднимал.

Офис - одноранговая сеть на 3 ПК под виндой + 2003 сервер с базой 1С, AD нет.
Точки - ПК с доступом в интерент через adsl-модем.
Провайдеры - разные.
Бюджет - не ограничен.

Подойдёт ли для моих целей OpenVPN? Можно ли использовать имеющийся 2003 сервер?

В какую сторону плыть при таких раскладах? Дайте направление, а дальше уж я сам. Понять, с чего начать - сложнее всего.

amtonio
В "Офисе" белый IP-адрес (не обязательно статический)?
Цитата:

Можно ли использовать имеющийся 2003 сервер?

Да, наверняка сможете использовать.
Цитата:

Подойдёт ли для моих целей OpenVPN?

Да. У Вас есть выбор: реализация VPN в Windows Server 2003 или доставить на этот же сервер OpenVPN. Имхо, первый вариант проще.

Еще один вариант — использование SSH-туннелей и заворачивания трафика от 1С в эти туннели.

Цитата:

В "Офисе" белый IP-адрес (не обязательно статический)?

Возможно его подключить. Это необходимо, чтобы "точки" могли подключиться к серверу извне?

Цитата:

Да. У Вас есть выбор: реализация VPN в Windows Server 2003 или доставить на этот же сервер OpenVPN. Имхо, первый вариант проще.

В таком случае на "точках" создаётся PPTP-соединение с указанием адреса сервера? Больше на точках ничего делать не надо?

amtonio
Цитата:

Это необходимо, чтобы "точки" могли подключиться к серверу извне?

Да. Вариант — использовать еще одно устройство (сервер, маршрутизатор) с белым адресом и подключать к нему 3 ПК и сервер. Но, имхо, это усложнит задачу.
Цитата:

В таком случае на "точках" создаётся PPTP-соединение с указанием адреса сервера?

Да, именно так.
Цитата:

Больше на точках ничего делать не надо?

Возможно, понадобится подсказать клиентской части 1С новые координаты расположения БД/файлов. Точнее не подскажу.

AD заводить для этого нужно? Или достаточно настроить сервер на роль сервера удаленного доступа?

amtonio
Цитата:

AD заводить для этого нужно?

Нет, можно обойтись без AD.

reff

Цитата:

У Вас есть выбор: реализация VPN в Windows Server 2003 или доставить на этот же сервер OpenVPN. Имхо, первый вариант проще.

А можно подробнее насчет реализации VPN в Windows Server 2003?
Я что-то начал, но так ничего и не получилось. Нарыл кучу всяких топиков на форумах, инфу на technet.microsoft.com, всякие статьи, начитался, но все не то
В итоге делал по этой инструкции: http://www.compdoc.ru/network/local/conf_vpn_w2k/
Но там без пол литра не разберешься, сегодня думаю предпринять вторую попытку поднятия родного Виндового ВПН.

Впервые в жизни поднимал на Сервере 2003 DNS и DHCP - разобрался быстро, а вот с ВПН и что-то совсем никак
Неужели нет простой и понятной инструкции о том, как это сделать родными ср-вами Винды?

Экспериментировал на домашнем компе (Win 7 x64 En) в VMware 7.1.2:

0) Дома у меня инет раздается через ADSL Роутер (D-Link 2540U). IP: 192.168.1.1

1) Создал 2 виртуальные локалки.
2) В каждой локалке по 2 машины: Server 2003 и ХР.

3) Машины ХР имеют только одну сетевуху, которая смотрит в локалку (LAN). IP получают по DHCP от Серверов, об этом ниже.

4) Сервера имеют 2 сетевухи.
Одна из них (LAN) смотрит в локалку с ХР:

Цитата:

DHCP включен. . . . . . . . . . . : нет
IP-адрес. . . . . . . . . . . . : 192.168.0.1 (192.168.0.2 у второго Сервера)
Маска подсети . . . . . . . . . . . : 255.255.255.0

Вторая (WORLD) в режиме Bridged с сетевухой моего компа, т.е. напрямую подключена к локалке у меня дома.
Получает IP и прочее от моего домашнего роутера по DHCP:

Цитата:

DHCP включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.1.100 (192.168.0.200 у второго Сервера)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DHCP-сервер . . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1

Сервера получают IP по МАКу. Сервер1 получает 192.168.1.100, Сервер2 - 192.168.1.200

5) Поднял DHCP, все заработало как положено: клиенты (ХР) получают нужный IP, DNS, шлюз...
Диапазон IP адресов для Локалки1: 192.168.0.3 - 192.168.0.128
Диапазон IP адресов для Локалки2: 192.168.0.129 - 192.168.0.254
Сделал так, чтобы не было одинаковых IP адресов.

6) Включил родной NAT (ICS) на Серверах и инет появился на клиентских ХР.
traceroute выдавал нужную картину: сперва шел Сервер, потом реальный роутер в моей домашней локалке, потом мир.
Т.е. моя домашняя локалка стала как бы локалкой провайдера для этих двух виртуальных локалок. Так эти две локалки и должны функционировать по идее.

На этом удачные эксперименты закончились. Стал делать по этой инструкции: http://www.compdoc.ru/network/local/conf_vpn_w2k/ , но она написана для Server 2000 и чем дальше в лес, тем больше дров. То, что там описывается в Server 2003 уже выглядит/настраивается немного по другому и без знаний темы где-то после первой половины начинаются затыки... где, куда, чего... не понятно

И еще маленький оффтоп: Как можно обойтись без жесткого прописывания DNS провайдера в DHCP, чтобы у клиентов нормально резолвились NS? Т.е чтобы DHCP подхватывал и отдавал клентам те DNS, которые сам получил у провайдера при выходе в сеть.
Поднимал DNS на сервере, но там опять же пришлось прописывать провайдерские DNS. Да и работает Виндовый DNS как-то через одно место. Медленно и через раз вообще ничего не отдает.

PS:
DHCP сервер для целевых локалок (особенно в головном офисе) необходим.
У провайдера трафик внутри сети бесплатный и скорость хорошая, внешка платная, помегабайтная и дорогая. При подключении провайдер выдает два IP: локальный и внешний.
Главное, чтобы каждая рабочая группа выходила в инет через свое ADSL соединение, т.е. трафик расходовался отдельно.
Все, что нужно от VPN - это свободный и бесплатный файлообмен м/у филлиалами как в единой локалке.

timsky
Вы же осознаёте, что дальнейшие комментарии возможны только после [непростого и затяжного] повторения этого тестового сценария на моей виртуальной машине? =)
Цитата:

Главное, чтобы каждая рабочая группа выходила в инет через свое ADSL соединение, т.е. трафик расходовался отдельно.

Снимите галочку "Use default gateway on remote network" на клиентской стороне. Это отделит Интернет-трафик от ВПН-трафика.
p.s.: Реализация с помощью SSH-туннелей Вам не подходит?

reff

Цитата:

Снимите галочку "Use default gateway on remote network" на клиентской стороне. Это отделит Интернет-трафик от ВПН-трафика.

Об этом знаю, сделал.

Цитата:

p.s.: Реализация с помощью SSH-туннелей Вам не подходит?

Если она достаточно стабильная и надежная и есть доступный начинающему админу мануал, то да

ЗЫ:
Мне еще советуют обратить внимание на OpenVPN, но я хочу все же разобраться с тем, что уже заложено в Сервер 2003.

Уффф... вроде настроил. Dial on demand поднимается, сервакам присваиваются айпишники из зарезервированных мной диапазонов:
Сервак 1 получает IP: 192.168.0.3
Сервак 2 получает IP: 192.168.0.129

Они пингуются в обеих локалках, только клиентские машины ХР не ыидны и не пингуются

Чую я, что я так и не понял, как прописывать статические маршруты. У меня там 3 соединения: VPN, LAN, WAN. Как правильно прописать?

timsky
Цитата:

Если она достаточно стабильная и надежная и есть доступный начинающему админу мануал, то да

Сопоставимо с программной реализацией VPN. Я, по возможности, настраиваю и VPN и SSH для удаленного подключения.
Цитата:

У меня там 3 соединения: VPN, LAN, WAN. Как правильно прописать?

Команда "route add /?" ответит на все ваши вопросы.

reff

Цитата:

Команда "route add /?" ответит на все ваши вопросы.

Не ответила VPN соединяетя и максимум, что я смог - это то что только сервера видны в соседних локалках.
На technet.ms.com нашел инфу (читал на английском и русском) как раз по моему вопросу, я все правильно делал.
Но как только настраиваю inbound/outbound filter - тут же файрвол начинает блочить все соответственно этим фильтрам! Они вообще сами проверяли, что написали??? Т.е. после настройки фильтров файрвол не дает ни инициировать VPN соединение, ни даже достучаться с самого сервера куда-то наружу.
Дело в том, что фильтры работают так: либо блочатся все соединения кроме тех, что прописаны, либо только эти соед-я разрешены!!! А том роутинг UDP портов 500/4500 и протокола 50 (ESP). Это мне теперь еще и все остальные порты/протоколы прописывать получается? Да еще и в 4-х местах каждый!!! Вобщем, ВПН виндовый - полная лажа.

Здравствуйте! Подскажите пожалуйста с помощью какой программы можно соединить две офисных сети в одну? В обоих сетях есть интернет, на компьютерах стоит WinXP, в одном офисе динамический ИП, в другом статический. Соедеинение в интернет через роутер. Пождскажите пожалуйста как реализовать VPN в данном случае?

Подскажите, пожалуйста, кто знает: что за параметр <drivestoredirect:s:> в файле .RDP (ярлык подключения VPN) и за что он отвечает?
На страничке "Параметры протокола удаленного рабочего стола в Windows Server 2003 и Windows XP" сайта Microsoft ничего про этот параметр нету, да и просто поиск ничего не дал...

Заранее спасибо за помощь!

Доброго. Помогите, пожалуйста, заставить UDP ходить через VPN

Суть проблемы.
Одна програмка должна обнаруживать устройства в сети, и для этого рассылает пакеты на 239.255.255.250 В локальной сети всё ок, но вот через vpn работать не хочет (впн сервер подымали под pptpd на Ubuntu и PfSense на freeBSD).
Причём на сам сервер пакет приходит, но вот дальше не рассылается.

Скрин пакета с wireshark в локальной сети. (в TTL=1 там не надо тыкать, увеличили - всё равно не ходит)

BIGNik
эм... какой еще .RDP файл для подключения VPN??? Если это всё таки ярлык для подключение удаленного рабочего стола, то вам явно не в эту тему... (что скорее всего)

А вообще параметр drivestoredirect:s: уточняет параметр redirectdrives:i:1. 2-ой говорит о том что следует мапить удаленные диски, а 1-ый уточняет какие именно...

Hkey_Current_User
Вот статейка в ней смотрите раздел UDP Broadcast...
Ну или воспользуйтесь OpenVPN с tap интерфейсом.

пнули меня из этой темы сюда, нужен толчок в нужную сторону...

Skam0789, и этому до кучи ответим...
если я все правильно понял, то вам надо на вашем роутеер настроить VPN как просит ваш провайдер...

vlh
так и поднимайте на самом сервере, если это его задачи то пускай он их и выполняет до конца...

Цитата:

так и поднимайте на самом сервере, если это его задачи то пускай он их и выполняет до конца...

то что есть в win2003 server как то не очень, то есть работать он работает,
но вот подружить с ним роутер например DIR-300 что то как то не очень...

vlh
Цитата:

скорее всего клиенту нужно дать ip из другой сети например 10.0.0.0/24

Зачем? Зачем городить огород с подсетями?
Цитата:

если это так то тогда наверное любой клиент прописав себе статический ip который выдает PPtP сервер (ну если узнает) сможет поиметь интернет?

Не оставляйте доступ по IP-адресу. Используйте связку из IP-адреса, логина и пароля.