» VPN: вся информация в этой теме

VZ0101

Цитата:

хотел бы я посмотреть как народ в терминале сидел....

А нормально сидел... В рабочее время по диалапу подключался склад, на сервере стоял Цитрикс, вполне нормальная работа с Цитриксом, как они утверждают, начинается с 20 Кбит. Так что 28.8 Кбит вполне хватало, склад работал с ERP программой, печатал накладные...

moverast
ну а это уже вопрос для этой темы http://forum.ru-board.com/topic.cgi?forum=8&topic=35474#1

при поднятом VPN сервере столкнулся с проблемой:
VPN сервер в локальной сети имеет адрес 192.168.0.1
когда к нему подключается VPN-клиент то для него сервер становится например: 192.168.0.49 и тогда клиенты локальной сети тоже начинают обращаться к серверу по адресу 192.168.0.49
как сделать, что бы для локальной сети сервер был всегда по адресу: 192.168.0.1?

вот как может быть, что я делаю все тоже что уже раз 50 делал по поводу ВПН и терь оно все не чего не работает=( вообще=( на клиенте при подключении пишет: Ошибка 800: Не удалось создать ВПН подключение. ВПН сервер не доступен, или параметры безопастности для данного подключения заданы не верно.
Это просто ппц...

cRYSMAS
ну типа нет подключения к узлу... если есть полная уверенность в том что узел доступен и нет программ блокирующих TCP:1723, то возможно разрушен стек TCP/IP... вирус мб поработал...

При поднятом VPN соединении (SSTP) не могу по сети зайти на vpn сервер. Клиент win 7 ultimate sp1, сервер win 2008 sp2. На сервере включен стандартный фаервол, доступ по 445 и 139 открыт - из локалки всё работает. Сервер пингуется, по RDP захожу. Пробовал отключать фаер, добавлять правило, разрешающее все соединения - безрезультатно. При подключении с этого же клиента к vpn серверу на 2003 винде всё работает нормально. В чем может быть проблема?

Есть ОС виндового семейства без возможности работы в режиме терминального сервера. На ней настроен автологин под юзером X, при входе в систему поднимается VPN от имени X. Потом к компу идет подключение по RDP с авторизацией от имени Y, в этот момент VPN соединение рвется. как избежать разрыва?

wim2405 Как правило, по соображениям безопасности клиентское VPN подключение разрешено только при работе в системе одного юзера. Так что подумайте о реализации VPN на уровне сетевой инфраструктуры.

vlary, в виду специфических условий доступ к сетевой инфраструктуре отсутствует. В моей ситуации есть только безликий комп с виндой с выходом в инет без сетевых девайсов.

wim2405 Тогда тебе придется исходить из существующих реалий, и ходить на комп от имени Х...

vlary, имя юзера и тем более пароль мне не известны

wim2405
Цитата:

имя юзера и тем более пароль мне не известны

Совет стандартный: обратитесь к своему системному администратору..

Здравствуйте! Я настраиваю L2TP клиент на debian 6.
Делаю средствами xl2tpd (пробовал openl2tp результат эдентичен)
Прокладываю маршрут до впн и днс сервера(второе необязательно, так как я обращаюсь к первому посредством IP адреса), соединение поднимается, от некоторых узлов echo приходит от некоторых нет. почти все http запросы, отправляемые через браузер заканчиваются ошибкой 408. А вот aptitude safe-update с нацеливаением на security.debian.org не жалуется(в том числе и после ната). Пробовал с политиками ACCEPT в iptables (пинги не идут). Пробовал вылючать selinux и менять сетевую карту. Так-же без проблем работает скайп и PPTP соединение в офис...
Соединение под виндой работает абсолютно адекватно.
Моего провайдера зовут utl, я живу далеко в <s>Мексике</s> в Находке, мой провайдер сказал мне, что проблемы негров шерифа не касаются.

Моя конфигурация:

root@telega:/# cat /etc/xl2tpd/xl2tpd.conf
[global]
access control = yes

[lac corbina]
lns = 10.2.3.3
redial = yes
redial timeout = 1
require chap = yes
require authentication = no
name = camojiet
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
require pap = no
autodial = yes

root@telega:/# cat /etc/ppp/options.xl2tpd
lock
debug
kdebug 1
passive
remotename l2tp
nodeflate
nobsdcomp
nopcomp
noaccomp
mru 1460
mtu 1460
defaultroute
replacedefaultroute
usepeerdns
name camojiet
password xxxx
noauth

Убираю noauth, - пишет, что не может найти мой пароль. Хотя последний добросовестно лежит в chap-secrets

Мой сислог:
Jul 14 22:34:03 telega pppd[1308]: pppd 2.4.5 started by root, uid 0
Jul 14 22:34:03 telega pppd[1308]: using channel 4
Jul 14 22:34:03 telega pppd[1308]: Using interface ppp0
Jul 14 22:34:03 telega pppd[1308]: Connect: ppp0 <--> /dev/pts/3
Jul 14 22:34:03 telega pppd[1308]: sent [LCP ConfReq id=0x1 <mru 1460> <asyncmap 0x0> <magic 0xa90ec3f>]
Jul 14 22:34:03 telega pppd[1308]: rcvd [LCP ConfReq id=0x1 <mru 1492> <asyncmap 0xa0000> <auth chap MS-v2> <magic 0x3e483f31> <pcomp> <accomp>]
Jul 14 22:34:03 telega pppd[1308]: sent [LCP ConfRej id=0x1 <pcomp> <accomp>]
Jul 14 22:34:03 telega pppd[1308]: rcvd [LCP ConfNak id=0x1 <mru 1492>]
Jul 14 22:34:03 telega pppd[1308]: sent [LCP ConfReq id=0x2 <mru 1492> <asyncmap 0x0> <magic 0xa90ec3f>]
Jul 14 22:34:03 telega pppd[1308]: rcvd [LCP ConfReq id=0x2 <mru 1492> <asyncmap 0xa0000> <auth chap MS-v2> <magic 0x3e483f31>]
Jul 14 22:34:03 telega pppd[1308]: sent [LCP ConfAck id=0x2 <mru 1492> <asyncmap 0xa0000> <auth chap MS-v2> <magic 0x3e483f31>]
Jul 14 22:34:03 telega pppd[1308]: rcvd [LCP ConfAck id=0x2 <mru 1492> <asyncmap 0x0> <magic 0xa90ec3f>]
Jul 14 22:34:03 telega pppd[1308]: sent [LCP EchoReq id=0x0 magic=0xa90ec3f]
Jul 14 22:34:03 telega pppd[1308]: rcvd [CHAP Challenge id=0x1 <c9ce9957719b7d751a5619daa792d596>, name = "n_tp"]
Jul 14 22:34:03 telega pppd[1308]: sent [CHAP Response id=0x1 <673fed7952c585316df5c87a0b14332800000000000000009afc220f7f23764c8d0c70ad33f090787814e131f4f7d34300>, name = "camojiet"]
Jul 14 22:34:03 telega pppd[1308]: rcvd [LCP EchoRep id=0x0 magic=0x3e483f31]
Jul 14 22:34:04 telega pppd[1308]: rcvd [CHAP Success id=0x1 "S=F35B70D0C555919C12B5CA9202C0473B370C392C"]
Jul 14 22:34:04 telega pppd[1308]: CHAP authentication succeeded
Jul 14 22:34:04 telega pppd[1308]: sent [IPCP ConfReq id=0x1 <compress VJ 0f 01> <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns2 0.0.0.0>]
Jul 14 22:34:04 telega pppd[1308]: rcvd [IPCP ConfReq id=0x1 <addr 10.2.3.3>]
Jul 14 22:34:04 telega pppd[1308]: sent [IPCP ConfAck id=0x1 <addr 10.2.3.3>]
Jul 14 22:34:04 telega pppd[1308]: rcvd [IPCP ConfRej id=0x1 <compress VJ 0f 01>]
Jul 14 22:34:04 telega pppd[1308]: sent [IPCP ConfReq id=0x2 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns2 0.0.0.0>]
Jul 14 22:34:04 telega pppd[1308]: rcvd [IPCP ConfNak id=0x2 <addr 46.46.1.173> <ms-dns1 93.88.208.3> <ms-dns2 83.234.236.20>]
Jul 14 22:34:04 telega pppd[1308]: sent [IPCP ConfReq id=0x3 <addr 46.46.1.173> <ms-dns1 93.88.208.3> <ms-dns2 83.234.236.20>]
Jul 14 22:34:04 telega pppd[1308]: rcvd [IPCP ConfAck id=0x3 <addr 46.46.1.173> <ms-dns1 93.88.208.3> <ms-dns2 83.234.236.20>]
Jul 14 22:34:04 telega pppd[1308]: replacing old default route to eth4 [10.132.24.1]
Jul 14 22:34:04 telega pppd[1308]: local IP address 46.46.1.173
Jul 14 22:34:04 telega pppd[1308]: remote IP address 10.2.3.3
Jul 14 22:34:04 telega pppd[1308]: primary DNS address 93.88.208.3
Jul 14 22:34:04 telega pppd[1308]: secondary DNS address 83.234.236.20
Jul 14 22:34:04 telega pppd[1308]: Script /etc/ppp/ip-up started (pid 1311)
Jul 14 22:34:04 telega pppd[1308]: Script /etc/ppp/ip-up finished (pid 1311), status = 0x7f
Jul 14 22:34:05 telega pppd[1308]: rcvd [LCP EchoReq id=0x1 magic=0x3e483f31 0a 90 ec 3f]
Jul 14 22:34:05 telega pppd[1308]: sent [LCP EchoRep id=0x1 magic=0xa90ec3f 0a 90 ec 3f]
Jul 14 22:34:34 telega pppd[1308]: sent [LCP EchoReq id=0x1 magic=0xa90ec3f]
Jul 14 22:34:34 telega pppd[1308]: rcvd [LCP EchoRep id=0x1 magic=0x3e483f31]
Jul 14 22:35:04 telega pppd[1308]: sent [LCP EchoReq id=0x2 magic=0xa90ec3f]
Jul 14 22:35:04 telega pppd[1308]: rcvd [LCP EchoRep id=0x2 magic=0x3e483f31]
Jul 14 22:35:34 telega pppd[1308]: sent [LCP EchoReq id=0x3 magic=0xa90ec3f]
Jul 14 22:35:34 telega pppd[1308]: rcvd [LCP EchoRep id=0x3 magic=0x3e483f31]
Jul 14 22:35:58 telega pppd[1308]: rcvd [LCP EchoReq id=0x2 magic=0x3e483f31 0a 90 ec 3f]
Jul 14 22:35:58 telega pppd[1308]: sent [LCP EchoRep id=0x2 magic=0xa90ec3f 0a 90 ec 3f]
Jul 14 22:36:04 telega pppd[1308]: sent [LCP EchoReq id=0x4 magic=0xa90ec3f]
Jul 14 22:36:04 telega pppd[1308]: rcvd [LCP EchoRep id=0x4 magic=0x3e483f31]
Jul 14 22:36:34 telega pppd[1308]: sent [LCP EchoReq id=0x5 magic=0xa90ec3f]
Jul 14 22:36:34 telega pppd[1308]: rcvd [LCP EchoRep id=0x5 magic=0x3e483f31]

Пинги не идут на некоторые узлы:
root@telega:/# ping odnoklassniki.ru
PING odnoklassniki.ru (217.20.152.131) 56(84) bytes of data.
64 bytes from 217.20.152.131: icmp_req=1 ttl=58 time=139 ms
64 bytes from 217.20.152.131: icmp_req=2 ttl=58 time=130 ms
64 bytes from 217.20.152.131: icmp_req=3 ttl=58 time=132 ms
64 bytes from 217.20.152.131: icmp_req=4 ttl=58 time=139 ms
^C
--- odnoklassniki.ru ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 130.171/135.653/139.976/4.228 ms
root@telega:/# ping odnoklassniki.ru
PING odnoklassniki.ru (217.20.152.130) 56(84) bytes of data.
64 bytes from 217.20.152.130: icmp_req=1 ttl=58 time=127 ms
64 bytes from 217.20.152.130: icmp_req=2 ttl=58 time=129 ms
64 bytes from 217.20.152.130: icmp_req=3 ttl=58 time=128 ms
^C
--- odnoklassniki.ru ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 127.378/128.774/129.972/1.068 ms
root@telega:/# ping odnoklassniki.ru
PING odnoklassniki.ru (217.20.152.122) 56(84) bytes of data.
^C
--- odnoklassniki.ru ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 5999ms

Моя таблица маршрутизации:
root@telega:/# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
10.2.10.5 10.132.24.1 255.255.255.255 UGH 0 0 0 eth3
10.2.3.3 10.132.24.1 255.255.255.255 UGH 0 0 0 eth3
10.2.3.3 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth4
10.132.24.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

Здравствуйте, меня интересует момент относительно Экстранет ВПН.

Кто-нибудь пользуется этим?

Мне нужно чтобы работники 4-ех офисов через интернет могли подключаться к моему серверу по защищенному каналу, то есть напрямую через интернет он будет не виден, только по ВПН.

Можно ли это сделать установив на сервере решение от OpenVPN потом на серваке этом понять мускал и пхп и все такое, а после в 3-ех офисах других установить клиентские подключения к этому серваку. Так будет работать?

Пардон, я в впн-ах не очень разбираюсь, можно сказать никак поэтому и создал топик в надежде что хоть кто-то как-то поможет.

Если у вас есть какое-то другое решение которое вы уже пробовали расскажите, буду благодарен

Может поможет кто?

http://forum.linux.by/viewtopic.php?f=3&t=11364&p=80014#p80014

Как сделать VPN бриджем?
что бы по обе стороны VPN была одна локалка, с одним DHCP и тд
VPN между windows 2003+ISA
если между ними такого не сделать - какими сторонними решениями лучше?

помогите кто знает ибо сил нету которые сутки мучать гугл и всё что где либо обсуждалось:
имеем ubuntu 2.6.38-10
eth0 - 192.168.8.173
255.255.255.0
eth1 - xxx.xxx.xxx.xxx - белый
255.255.255.252

на нём сделан ICS без маскарадинга ибо статика и никаких pppoe
еще сделан проброс до другого сервака

в локальной сети народ ходит в инет и радуется

понадобилось одному человеку назовём его начальник доступ к локальной сети из любого места где есть интетнет

установил apt-get install pptpd

pptpd-options:
auth
name pptpd
refuse-pap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 192.168.8.173
proxyarp
nodefaultroute - который так и не срабатывает(лечиться убиранием галки в win клиенте)
lock
nobsdcomp
logfile /var/log/pptpd.log
mtu делал 1400 и 1300
_______________________________________________________________________________

chap-secrets:
uname pptpd passwd *
_____________________


pptpd.conf:
option /etc/ppp/pptpd-options
#noipparam
logwtmp
#bcrelay
localip 192.168.8.7 - ip никем не занят
remoteip 192.168.8.67 - ip никем не занят
_________________________________________


iptables:
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A OUTPUT -p gre -m state --state RELATED, ESTABLISHED -j ACCEPT
_____________________________________________________________

sudo /etc/init.d/pptpd start

netstat -tnlp

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 24754/pptpd
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 771/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 13322/sshd
tcp6 0 0 :::53 :::* LISTEN 771/dnsmasq
tcp6 0 0 :::22 :::* LISTEN 13322/sshd
_______________________________________________________________________________

подключаюсь из winxp подключение работает
пингуюется 192.168.8.173, 192.168.8.7, 192.168.8.101(ubuntu + samba) ну и остальные компы из сети тоже пингуются

проблема собственно в том что мне надо получить доступ к samba ресурсам на 192.168.8.101 к которым гостевой доступ есть. пробую: net view 192.168.8.101 получаю отворот поворот. пробую: net use * \\192.168.8.101\svalka
долго думает потом просит логин пароль которых естественно нету(в локальной сети без всяких паролей получаем список шар) ввожу guest@guest, гость@, или ничего неввожу получаю отворот поворот

что мне сделать надо ?
в локальной сети wins сервера нету, есть только dns на 192.168.8.173

localip 192.168.8.7
remoteip 192.168.8.67
выбрал в надежде что маршрутизацию не прийдется делать. помогите пожалуйста

Доброго времени суток.
Стоит задача соединить 2 офиса через VPN. Там куда должен подключиться стоит маршрутизатор Cisco, оборудование настроено корректно, работа проверялась на многих клиентах.
С моей стороны w2k8 r2, с двумя сетевухами, работающий шлюзом для локальной сети.
В интернет смотрит белый ip, шлюз и днс от провайдера, локальный адрес сервера 192.168.0.1
Соответственно моя подсеть 192.168.0.0/24, мне нужно попасть в подсеть 192.168.1.0/24. Для подключения используется QuickVPN. Соединение не устанавливается.

Вот что получается в логах клиента QuickVPN.:

2011/07/07 08:52:57 [STATUS]OS Version: Windows 7
2011/07/07 08:52:57 [STATUS]Windows Firewall Domain Profile Settings: ON
2011/07/07 08:52:57 [STATUS]Windows Firewall Private Profile Settings: ON
2011/07/07 08:52:57 [STATUS]Windows Firewall Private Profile Settings: ON
2011/07/07 08:52:57 [STATUS]One network interface detected with IP address 192.168.0.1
2011/07/07 08:52:57 [STATUS]Connecting...
2011/07/07 08:52:57 [DEBUG]Input VPN Server Address = 95.х.х.х
2011/07/07 08:52:57 [STATUS]Connecting to remote gateway with IP address: 95.х.х.х
2011/07/07 08:53:01 [STATUS]Remote gateway was reached by https ...
2011/07/07 08:53:01 [STATUS]Provisioning...
2011/07/07 08:53:11 [STATUS]Success to connect.
2011/07/07 08:53:11 [STATUS]Tunnel is configured. Ping test is about to start.
2011/07/07 08:53:11 [STATUS]Verifying Network...
2011/07/07 08:53:17 [WARNING]Failed to ping remote VPN Router!
2011/07/07 08:53:20 [WARNING]Failed to ping remote VPN Router!
2011/07/07 08:53:23 [WARNING]Failed to ping remote VPN Router!
2011/07/07 08:53:26 [WARNING]Failed to ping remote VPN Router!
2011/07/07 08:53:29 [WARNING]Failed to ping remote VPN Router!
2011/07/07 08:53:31 [WARNING]Ping was blocked, which can be caused by an unexpected disconnect.
2011/07/07 08:53:33 [STATUS]Disconnecting...
2011/07/07 08:53:42 [STATUS]Success to disconnect.

Данная софтина при запуске создает IPSec туннель, где берет начальной точкой (наиболее близкой к сети) — 192.168.0.1, конечной — 95.х.х.х. Пробовал менять начальную точку на шлюз моего провайдера, эффект тот же.
Пробовал без шлюза, с 7-ки с теми же настройками ip, грубо говоря с розетки, где сервер - все в порядке.
Насколько я понимаю, проблема в маршрутизации и конкретно в w2k8.
Может кто то сможет направить на верную мысль, куда копать?

Настройка ВПН через D-Link DI-804HV
Всё сделал по инструкции.
Могу заходить с любого компа в сети в настройки обоих маршрутизаторов, но компы в разных подсетях не пингуются
В статусе ВПН написано: IKE established

Вот такое в логах:
Friday August 05, 2011 10:21:43 IKE phase2 (IPSec SA) remove : 192.168.1.0 <-> 192.168.0.0
Friday August 05, 2011 10:21:43 inbound SPI = 0x2a00d6d5, outbound SPI = 0x6500a9d4
Friday August 05, 2011 10:21:43 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.0.0
Friday August 05, 2011 10:21:43 Receive IKE INFO : 95.80.__.__ --> 86.110.__.__
Friday August 05, 2011 10:21:43 Receive IKE Q2(QRESP) : [192.168.0.0|95.80.__.__]-->[86.110.__.__|192.168.1.0]
Friday August 05, 2011 10:21:43 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):NONE
Friday August 05, 2011 10:21:43 Send IKE Q3(QHASH) : 192.168.1.0 --> 192.168.0.0
Friday August 05, 2011 10:21:43 IKE Phase2 (IPSEC SA) established : [192.168.0.0|95.80.__.__]<->[86.110.__.__|192.168.1.0]
Friday August 05, 2011 10:21:43 inbound SPI = 0x2b00e970, outbound SPI = 0x67006f02

Где может быть проблема?

Доброго времени суток.

Подскажите или ткните где взять способ решения такой задачи.

Необходимо выдать сотруднику файл для автоматического запуска vpn. Вставил флешку запустил файл поднялся vpn главное чтоб интернет был, а настройки ip сервера, логин, пароль, ключ всё заранее в файле чтоб вообще не каких вопросов не задавало ну максимум в трее висела чтоб видно было что работает и то не надо особо.

Может конструктор какой есть или готовые решения?

Заранее благодарю.

fisSS Где вы таких сотрудников берете? Наверное там же, где и таких системных администраторов?
Все VPN работают на уровне операционной системы, поэтому требуют установки различных драйверов, сервисов и пр. Cisco VPN Client вообще требует после установки перезагрузки компьютера.
Человеку можно предварительно настроить комп, создать подключение, сделать ярлык, и пусть по нему щелкает, если на большее ума не хватает. А так, чтобы в голый комп сунуть флэшку, и все завелось - такого не бывает. Даже из соображений безопасности.

В том-то и интерес есть комп на нем winda и интернет какой-то(правильнее сказать чтоб человек мог поднять vpn с любого компьютера с виндой и инетом хоть с общественного места до указанного сервера не совершая не каких действий кроме запуска файла), воткнул флешку запустил файл оп VPN вот как-то так очень хочется чтоб работало)

fisSS
Нужна права админа (если не ошибаюсь), остальное решаемо, например, с помощью AnyConnect VPN

ESX091
Цитата:

Нужна права админа (если не ошибаюсь)

Совершенно справедливо. Потому из общественного места (типа интернет-кафе) такая штука не прокатит.

Цитата:

остальное решаемо, например, с помощью AnyConnect VPN

Для этого нужно в офисе иметь как минимум циску.

автор скорее всего все хочет еще и бесплатно было с помощью флешки за 100р), в таком случае максимум на что можешь рассчитывать ето на батник такого содержания: rasdial имя_vpn_подключения логин пароль

vlary
можно решить через ssl vpn, хотя и не все сервисы получится использовать.

Планируется связать два-три офиса по ВПН.
Имеется Роутер WiMAX/Wi-Fi адин штука и DIR 620+ свистки ёты - 2штуки.
что надежнее использовать "в продакшне" свистки или роутеры?
Просто думал фряху заточить под это дело, и присматриваюсь к роутерам.
Свистки трудновато наверно будет внутрь прокинуть, а голый линк даст роутер.

не знаю интересно ли кому, но у нас это заняло больше года переписки и звонков суппоту. в итоге появился хотфикс для венды 2008 который напрямую связан с топиком: http://support.microsoft.com/kb/2582284

а по мне так никто ничего и не знает ?

Всё никак не могу сообразить, почему при поднятом VPN соединении через опу работает локальная сеть. В частности, бывают недоступны сетевые ресурсы по UNC. Шлюз по дефолту в VPN подключении отключен. Причем, закономерности не уловил, но чаще не работает чем работает.