» VPN: вся информация в этой теме

reff
Я там выше писалподробнее) - http://forum.ru-board.com/topic.cgi?forum=8&topic=0152&start=1880#10
решение - стандартный rras в win2k3 r2

ипконфиги, роутпринты и пинги под катом.
[more]

C:\Users\User>route add 192.168.1.0 mask 255.255.255.0 192.168.254.1
ОК

>route print
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.100 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.100 281
192.168.0.100 255.255.255.255 On-link 192.168.0.100 281
192.168.0.255 255.255.255.255 On-link 192.168.0.100 281
192.168.1.0 255.255.255.0 192.168.254.1 192.168.254.5 26
192.168.164.0 255.255.255.0 On-link 192.168.164.1 276
192.168.164.1 255.255.255.255 On-link 192.168.164.1 276
192.168.164.255 255.255.255.255 On-link 192.168.164.1 276
192.168.234.0 255.255.255.0 On-link 192.168.234.1 276
192.168.234.1 255.255.255.255 On-link 192.168.234.1 276
192.168.234.255 255.255.255.255 On-link 192.168.234.1 276
192.168.254.0 255.255.255.0 192.168.254.1 192.168.254.5 26
192.168.254.5 255.255.255.255 On-link 192.168.254.5 281
212.49.101.48 255.255.255.255 192.168.0.1 192.168.0.100 26
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.164.1 276
224.0.0.0 240.0.0.0 On-link 192.168.234.1 276
224.0.0.0 240.0.0.0 On-link 192.168.0.100 281
224.0.0.0 240.0.0.0 On-link 192.168.254.5 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.164.1 276
255.255.255.255 255.255.255.255 On-link 192.168.234.1 276
255.255.255.255 255.255.255.255 On-link 192.168.0.100 281
255.255.255.255 255.255.255.255 On-link 192.168.254.5 281
===========================================================================
Постоянные маршруты:
Отсутствует

IPv6 опустим.


>route add 192.168.1.0 mask 255.255.255.0 192.168.254.1
ОК

ПОсле этого пинг идет удачно в сеть 192.168.1.0/24

>ping 192.168.1.103
Ответ от 192.168.1.103: число байт=32 время=5мс TTL=62
Ответ от 192.168.1.103: число байт=32 время=4мс TTL=62

С дебаиана пинг идет тоже
# ping 192.168.1.102
64 bytes from 192.168.1.102: icmp_seq=1 ttl=128 time=0.282 ms
64 bytes from 192.168.1.102: icmp_seq=2 ttl=128 time=0.281 ms

# traceroute 192.168.254.3
traceroute to 192.168.254.3 (192.168.254.3), 30 hops max, 40 byte packets
1 192.168.1.1 (192.168.1.1) 1.016 ms 1.066 ms 1.060 ms
2 192.168.1.102 (192.168.1.102) 1.118 ms 1.292 ms 1.295 ms
3 192.168.254.3 (192.168.254.3) 13.055 ms 13.739 ms 13.768 ms


# ping 192.168.254.3
64 bytes from 192.168.254.3: icmp_seq=1 ttl=127 time=4.14 ms
64 bytes from 192.168.254.3: icmp_seq=2 ttl=127 time=4.03 ms



маршрут в филиал тоже кинул....

>tracert 192.168.2.99
1 4 ms 3 ms 3 ms 192.168.254.1
2 3 ms 3 ms 3 ms 192.168.1.1
3 129 ms 125 ms 149 ms 10.0.1.2
4 123 ms 126 ms 124 ms 192.168.2.99

Трэйс с маршрутизатора
traceroute to 192.168.254.3 (192.168.254.3), 32 hops max, 40 byte packets
1 192.168.1.102 (192.168.1.102) 2.553 ms 2.361 ms 2.222 ms
2 192.168.254.3 (192.168.254.3) 6.515 ms 4.974 ms 4.940 ms



Попробовл подолюиться на вебадминки в филиале! ПУстило!
какраз таки на 192.168.2.99


Видимо косяк гдето в маршрутах на rras server, осталось разобраться, где)
Хотя вроде нужный нам марщрут имеется.

===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.102 10
белый ip клиента 255.255.255.255 192.168.1.1 192.168.1.102 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.102 192.168.1.102 10
192.168.1.102 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.102 192.168.1.102 10
192.168.254.0 255.255.255.0 192.168.1.102 192.168.1.102 1
192.168.254.1 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.254.2 255.255.255.255 192.168.254.1 192.168.254.1 1
192.168.254.3 255.255.255.255 192.168.254.1 192.168.254.1 1
224.0.0.0 240.0.0.0 192.168.1.102 192.168.1.102 10
255.255.255.255 255.255.255.255 192.168.1.102 192.168.1.102 1
Основной шлюз: 192.168.1.1
===========================================================================
Постоянные маршруты:
Отсутствует


Трэйс с маршрутизатора в филиале:
traceroute to 192.168.254.2 (192.168.254.2), 32 hops max, 40 byte packets
1 10.0.2.1 (10.0.2.1) 107.793 ms 106.495 ms 113.498 ms
2 192.168.1.102 (192.168.1.102) 108.053 ms 106.104 ms 105.819 ms
3 * * *
[/more]

При всем при этом коротко:

Доступны ресурсы:
rras сервера
маршрутизатора
ресурсы в филиалах - (проверял телефоны, принтеры)

Недоступны ресурсы сети, в которой находится RRAS server.

С клиента пингуеся все.
Клиент пингуется из сети, в которой стоит rras.
При пинге из филиалов, последний доступный узел - rras server.

По идее на rras server мне не надо прописывать маршруты, они появились автоматом при запуске rras.
Не ясно из-за чего пинг из 192.168.1.0/24 проходит, а из 192.168.2.0/24 - нет.



Добавлено:
Ах да, естественно я прописывал на клиенте (192.168.254.3)
[more]
route add 192.168.1.0 mask 255.255.255.0 192.168.254.3
route add 192.168.2.0 mask 255.255.255.0 192.168.254.3
route add 192.168.3.0 mask 255.255.255.0 192.168.254.3
[/more]

Добавлено:
на клиенте был запущен vmwareauthтуда и долбился телнетом - удачно.
[more]
# telnet 192.168.254.2 912
Trying 192.168.254.3...
Connected to 192.168.254.3.
Escape character is '^]'.
220 VMware Authentication Daemon Version 1.0, ServerDaemonProtocol:SOAP, MKSDisplayProtocol:VNC ,
[/more]

Добавлено:
Клиенты доступны для машин, находящихся в одной сети с сервером...
запустил shttp на клиенте, удачно скачал файл...
теперь я вообще ничего не понимаю...

Добавлено:
Подшаманил, подкрутил стат. маршруты на маршрутизаторах в филиалах, теперь клиенты пингуются отовсюд, ресуры так же доступны....

Сделал по фэншую, подсеть для впн 10.255.255.0/24....)

Добрый день!
Возможно ли в win xp sp3 создать более 1 vpn соединения, а то ругается!
Заранее спасибо!

Цитата:

Возможно ли в win xp sp3 создать более 1 vpn соединения, а то ругается!

ЖЖош суко !!!

Цитата:

Цитата:Возможно ли в win xp sp3 создать более 1 vpn соединения, а то ругается!


ЖЖош суко !!!

Вы сомневаетесь???
Что ж так??? вот почитайте.
http://decker.no-ip.org/forum/index.php?showtopic=6208
У меня получилось. Сцуко!

Ресурсы сети, в которой лежт сервант, попрежнему недоступны...
Уже начинается тихая истерика...)

alexseystu

Цитата:

Для организации VPN через L2TP нужен статический публичный IP адрес - все верно.

Для сервера VPN однозначно нужен. Зачем он нужен клиенту VPN?????
Почему тогда VPN через L2TP работает при подключении с динамических адресов ADSL и Wi-Fi?????

bs2003
Цитата:

Почему тогда VPN через L2TP работает при подключении с динамических адресов ADSL и Wi-Fi?

Потому что провайдеры не блокируют работу необходимых протоколов/портов и не продают услугу VPN-подключения за дополнительные деньги.

bs2003


Цитата:

Для сервера VPN однозначно нужен. Зачем он нужен клиенту VPN?????

VPN клиенту он не нужен!
VPN-соединение - шифрованный канал между парой устройств, внутри которого сервер при установлении соединения выдаёт клиенту внутриканальный IP-адрес, с которого и идёт общение с сервером и другими его клиентами по их внутриканальным адресам.

alexseystu, reff
Тогда в общем все становится на свои места.

Цитата:

Воспользоваться VPN через L2TP возможности нет т.к. для этого необходим публичный IP адрес.

Это треп. Если не сказать хуже.
Безмерная жадность - гнусная вещь. Ведь они берут деньги с нас дважды. За трафик
GPRS и трафик VPN.
alexseystu

Цитата:

Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MS-CHAPv2 и EAP-TLS.

MS-CHAPv2 используется в WinXP по умолчанию. И не защищает от подмены компа. По подробней о EAP-TLS
где можно почитать. Если не ошибаюсь для его реализации нужна аутентификация RADIUS. Как это организовать? И по моему она имеет те же недостатки что и MS-CHAPv2

Собственно кому интересно расширение функционала VPN в рабочих станциях, т.е. снятие ограничения на входящие VPN подключения в WinXP и Windows 7. Тема http://decker.no-ip.org/forum/index.php?showtopic=6208 , ссылки на которую были выше переехала вот сюда - http://dml.compkaluga.ru/forum/index.php?showtopic=6208 . Также появился вариант патча для Windows 7 Service Pack 1.



Все обсуждения и т.п., ваши комментарии и замечания - просьба также высказывать в той же теме, т.к. этот форум я читаю редко.

Маршрутизатор Draytek Vigor 2920Vn c VPN сервером. К нему подсоединяются комьютеры через "проводной" Internet со статическими IP без проблем.
Cоединение с Notebook' a с Vista через Yota с динамическим, но внешним IP проходит нормально, но все ресурсы и/или компьютеры в VPN сети не доступны или не видны.

"Галка" "использовать роутер в удаленной сети" убрана.
Менял и MTU VPN-соединения.

В чем может быть проблема ?

Создал VPN сервер на удаленном компьютере обычно по типу http://www.zdnetasia.com/configure-w...r-39050037.htm
при подключении вылазит ошибка 807....
На удаленном компе win XP, на моем компе семерка....пытался подключится с других компов (везде тоже семерка) везде такая ошибка...что не так? (создавалось vpn чтобы обойти общажный фильтр может быть закрыт VPN?)
также потом купил на пару дней vpn-сервер на http://russianproxy.ru/ такая же ошибка....что за баг в семерке? как его устранить?

у себя на компе настраивал по типу:
http://www.iksnet.ru/wiki/index.php/VPN

volframka

Вполне возможно, что VPN перекрыт.
Можно помониторить пакеты на клиенте и на серваке XP к примеру вот этим Microsoft Network Monitor, может еще чет прояснится.

Люди, помогите разобраться!!

Есть аппарат Zyxel ZyWall 35. WAN1 на внешнам статическом IP. Сам аппарат находится внутри локальной сети 192.168.0.Х В этой же сети есть Remote Desktop, на базе WinXP.

Как удаленно подключиться к Remote Desktop?

JIJKA
Цитата:

Как удаленно подключиться к Remote Desktop?

Поскольку Вы задаете свой вопрос в теме про VPN, то:
1. Подключиться с помощью VPN, получить внутренний IP-адрес и подключиться к тремубуемому ПК;
2. Настроить проброс порта (portforwarding). Один ПК — один проброшенный порт.

Цитата:

Поскольку Вы задаете свой вопрос в теме про VPN, то:
1. Подключиться с помощью VPN, получить внутренний IP-адрес и подключиться к тремубуемому ПК;
2. Настроить проброс порта (portforwarding). Один ПК — один проброшенный порт.

Прошу меня простить, но я в конец уже запутался с его (ZyWall) настройками!

Не уверен, что нужен VPN. Если все-таки поднимать VPN, нужен ли какой нить VPN-клиент на Remote Desctop?

Проброс порта настроен. Указан IP-адрес компа с RD. Сам "удаленный рабочий стол" работает, проверял в локальной сети.
Когда пытаешься зайти по внешнему статическому IP-адресу, ZyWall в логах пишет "ACCESS PERMITTED", но сам RDC на удаленный рабочий стол не заходит.

JIJKA
Цитата:

Не уверен, что нужен VPN

Он не является необходимым условием для подключения извне к ПК, расположенному за файрволлом (ZyWall), но позволяет, как и SSH, безопасно передавать информацию.
Цитата:

Если все-таки поднимать VPN, нужен ли какой нить VPN-клиент на Remote Desctop?

Нет, не нужен, если этот ПК не является VPN-сервером.
Цитата:

ZyWall в логах пишет "ACCESS PERMITTED", но сам RDC на удаленный рабочий стол не заходит.

Сниффер Вам в помощь.

reff, спасибо за участие! Проблему пока не решил, ковыряюсь!!)

Цитата:

reff, спасибо за участие! Проблему пока не решил, ковыряюсь!!)

Прочитайте про Port Forwarding, например, вот тут - http://dml.compkaluga.ru/tune/adsl-lan-forwarding.html , после того как поймете принцип, пробросьте по совету reff порт TCP 3389 на машину с Remote Desktop.

Decker82
Цитата:

пробросьте по совету reff порт TCP 3389 на машину с Remote Desktop

Стоп. Я не рекомендовал подобное.
JIJKA
Если и пробрасывать порт для RDP без использования шифрования, то использовать нестандартный порт, отличающийся от 3389.

Всем привет! Хочу посоветоваться.

Есть центральный офис, к нему должны быть подключены удаленные офисы по VPN через Интернет.

Вся беда в том, что способы подключения удаленных офисов к интернету могут отличаться, т.е. IP-адрес м.б. не белым, некоторые IP пакеты могут не пропускать (иногда такой фигней страдают операторы мобильной связи) и т.п.

Центральный офис имеет подключение к двум Интернет-провайдерам и 2 статических белых IP-адреса.

Надо, чтобы:
1. Скорость для каждого VPN-соединения была не меньше 256 Кбит/c
2. Через VPN с центральным офисом ходили пакеты не только на сетку центрального офиса, но и другие подсети (заранее известный набор маршрутов)
3. В случае падения канала на основном провайдере центрального офиса удаленные точки начинали работать через второго провайдера.
4. Естественно, эта штука должна быть устойчива к попыткам взлома извне
5. Данная сеть была легка в поддержке и расширении.

Варианты реализации, которые вижу я:
1. OpenVPN. Сервер OpenVPN поставить на Linux-машину, а на удаленных точках поставить роутеры с прошивкой DD-WRT или OpenWRT. Боюсь, что этот вариант будет глючным.

2. Еще вариант поставить специализированные роутеры с поддержкой OpenVPN. Например, DrayTek. Но сам DrayTek мне не сильно понравился, как-то он заточен под типичные конфигурации.

3. Ужесточить требования к выбору Интернет-провайдеров и использовать IPSec. IPSec в удаленном офисе настроить на Цисках 800-ой серии. В этом случае теряется гибкость тут уже не подключишь USB-модем, сложнее настроить...

В общем, в идеале на удаленном Офисе хочется иметь Линукс или Циско-подобную железку, которая удовлетворяет вышеизложенным требованиям.

Посоветуйте в какую сторону смотреть.

yahan2
Думаю OpenVPN должен покрыть ваши задачи... Сервер в центральном офисе и клиенты где попало. Что там с опсосами я хз... Тут надо проверять.

Alukardd
А в качестве роутера для OpenVPN на филиальской стороне что можете посоветовать?

yahan2
Pentium III - IV etc + Linux + OpenVPN ИМХО!

Alukardd
Издеваешься?
Куча старых Писюков разбросаных по разным городам и селам в качестве роутеров для низкоскоростного впн-соединения с офисом - это страшный сон сисадмина.

yahan2
Ни чего нету более подконтрольного чем корч с линём - компы намного более предсказуемы чем железки...
Опять же, ИМХО

Alukardd
Согласен - на компе с линуксом можно накрутить все что угодно.
Но в замен получаешь более высокую вероятность появления глюков железа, выхода из строя и т.п. + габариты не те + свитч в придачу ко всему надо ставить.
IMHO, ставить в качестве роутера для удаленного офиса на 4 рабочих места комп с линуксом - это как использовать вертолет для поездок на работу.

Кстати, какой дистрибутив Линукса посоветуете, если нужен исключительно роутер с впн и не более того?

yahan2
http://www.mikrotik.com
VPN
To establish secure connections over open networks or the Internet,
or connect remote locations with encrypted links, RouterOS supports
various VPN methods and tunnel protocols:
•     Ipsec – tunnel and transport mode, certificate or PSK, AH and
ESP security protocols
•     Point to point tunneling (OpenVPN, PPTP, PPPoE, L2TP)
•     Advanced PPP features (MLPPP, BCP)
•     Simple tunnels (IPIP, EoIP)
•     6to4 tunnel support (IPv6 over IPv4 network)
•     VLAN – IEEE802.1q Virtual LAN support, Q-in-Q support
•     MPLS based VPNs
This means that you can securely interconnect banking networks, use
your workplace resources while travelling, connect to your home local
network, or increase security of your wireless backbone link. You can
even interconnect two branch office networks and they would be able
to use each other’s resources, as if the computers would be in the
same location - all secure and encrypted.
RouterOS also provides several MikroTik proprietary functions that
are not found elsewhere, for example EoIP which is a Ethernet tunnel
between two routers on top of an IP connection. The EoIP interface
appears as an Ethernet interface. When the bridging function of the
router is enabled, all Ethernet traffic will be bridged just as if there
where a physical Ethernet interface and cable between the two
routers (with bridging enabled). This protocol makes multiple network
schemes possible, for example the possibility to bridge LANs over the
Internet


вот такие аппаратики ( http://routerboard.com ) с ней берешь и порядок (можешь по 2 даже на точку шоб наверняка)
местное обсуждение тут:
http://forum.ru-board.com/topic.cgi?forum=8&topic=38493#1

Alukardd
Вы преувеличиваете масштаб трагедии. Маршрутизатор — наше всё.

Список специализированных Linux-дистрибутивов:
http://en.wikipedia.org/wiki/List_of_router_or_firewall_distributions

Собираюсь выбирать что-то из DD-WRT, OPEN-WRT или Mikrotik.
Что-то еще есть стоящее?

Здесь что никого нет, кто делает роутеры не на PC?

Farch
Спасибки, буквально вчера смотрел их модельный ряд. Судя по конфигурации продаваемого микротиком железа создалось впечатление, что они конкурируют с Циской, а то что можно сделать на DD-WRT и OPEN-WRT - обходят стороной