» VPN: вся информация в этой теме

butch9383
если это про меня то подскажите если не трудно где там ч..з опу сделано

butch9383
если это про меня то подскажите если не трудно где там ч..з опу сделано

Недавно сделал очередной VPN для доступа в локалку особо извращенным способом.
Понадобился доступ с девайсов, у которых была возможность цепляться только по L2TP/IPSec. Делать доступ через RRAS на имеющийся виндовый сервер с двумя сетевыми отмел сразу как некошерный. Попробовал поставить связку OpenSwan + xl2tpd на имеющийся Debian на SUNe - но чего-то ребята там недокрутили для этой архитектуры, и запуск xl2tpd вешал систему намертво, помогал только ребут по питанию.
В качестве временного решения настроил доступ на резервной циске. Заработало с полпинка, но держать под это дело целую циску? Да и планы на нее уже были...
Тогда решил сделать все на виртуалке. На тот же виндовый сервер с двумя сетевыми поставил VMWare Server, нашел и поставил минималистский Debian, настроил сеть и из депозитария вытащил OpenSwan и xl2tpd. Пришлось поплясать с бубном, пока заработало для клиентов за НАТом, но заработало.
Вот так - через опу, зато совершенно бесплатно.

vlary
У меня w2k8 r2 foundation. 2 сетевухи, на одной статический ip в инет, вторая смотрит в локалку, сервер выступает шлюзом, соответственно на нем поднят NAT. Устанавливаю программу QuickVPN и пытаюсь подключиться к Linksys RV082, коннекта нет и в логах:
...
2011/07/07 08:53:11 [STATUS]Tunnel is configured. Ping test is about to start.
2011/07/07 08:53:11 [STATUS]Verifying Network...
2011/07/07 08:53:17 [WARNING]Failed to ping remote VPN Router!
2011/07/07 08:53:31 [WARNING]Ping was blocked, which can be caused by an unexpected disconnect.
2011/07/07 08:53:33 [STATUS]Disconnecting...
2011/07/07 08:53:42 [STATUS]Success to disconnect.

Если буду подключаться не через шлюз, а напрямую, коннект устанавливается. Думаю дело в NAT. Не подскажите где проблема?! Уже и в мелкософт звонил, и писал на форуме их, все бестолку.

avesaitan Никогда не пользовался ни w2k8, ни НАТом на винде. Так что конкретно не подскажу. Возможно, проблемы из-за некорректной поддержки NAT-traversal на Linksys или клиенте. У меня тоже сначала из-под НАТа не хотело соединяться, пришлось на сервере L2TP указать agressive mode.

граждане если все от рождения мега гуру то я не такой
если не трудно подскажите что мне делать, либо куда копать. Проблема актуальна больше месяца на вас вся надежда и никто словом не обмолвился

Kernell32
Если твоему боссу нужен только доступ к \\192.168.8.101\svalka и подобным шарам, то не проще ли на фтп все ето опубликовать (ип внешнй есть?) ).

ip внешний белый есть !

только реализовывать получается вот что то... :
удаленный юзер цепляется к ftp по user@passwd и получает доступ к какой либо шаре на ftp серваке
в свою очередь надо как то синхронизировать эту шару с \\192.168.8.101\svalka иначе толку будет мало

или же делать на 192.168.8.101 ftp доступ и к существующим шарам позволять цеплять уделённого юзера
или же юзер вначале цепляется по vpn и в дальнейшем получает доступ к ftp
... что то так

с другой стороны я понять не могу как так получается: vpn цепанулась, ip vpn клиента из той же локальной подсети, icmp пакеты шастают куда надо, а доступа нету нифига. VPN придумали для того чтоб юзать безопасный доступ к внутренней сети, а значит пользоваться ее ресурсами соответственно... ток не робит

Kernell32
Цитата:

не могу как так получается: vpn цепанулась, ip vpn клиента из той же локальной подсети, icmp пакеты шастают куда надо, а доступа нету нифига.

Да все очень просто. Здесь уже права доступа играют роль, это вопрос не VPN, а самбы. Сделай на самбе юзера с паролем для VPN , и цепляйся на здоровье.

thnx
буду пробовать

Проблема с роутингом у dlink dsl 2500 u br
Есть центральный офис на нем pptp сервер на микротике и
филиал с этим г..мном dlink dsl 2500 u br. Нашел прошивку в которой есть pptp клиент. Клиент поднимается даже после разрыва связи (удивительно).
имеем pptp сервер 1.1.1.1 (10.1.1.0/24) pptp клиент 1.1.1.3 (10.1.9.0/24).
Добавляем на dlink через веб интерфейс маршрут: сеть 10.1.9.0/24 находится по адресу 1.1.1.1 результат нулевой. Удаляем маршрут, заходим в телнет и добавляeм маршрут
route add 10.1.1.0 255.255.255.0 1.1.1.1
Чудо свершилось все друг друга видят без проблем, но после перезагрузки модема этот маршрут пропадает. Самое главное что маршрут добавленный через веб интерефейс после перезагрузки не исчезает, но и не работает, а рабочий маршрут исчезает.

Может у когото есть идеи как заставить это работать (желательно без скриптов)
//добавлено
на модеме стоит линукс с busybox'ом
нашел скрытую команду iptables, может в эту сторону рыть? правда изменения в таблицах тоже не сохранятся
также нашел скрипт /etc/ppp/ip-up.local но прописывать внем route add помоему бессысленно во-первых эта команда под бизибоксом не работает так как при заходе в телнет, во вторых на момент поднятия ppp еще не существует соединения pptp а значит и нет шлюза

Даж незнаю что делать

есть VPN сервер на базе win2003sp2 (родной, который прямо с виндой поставляется). к нему подключаются удалённые клиенты с разными осями на борту (win2003, winXP, win7). до недавнего времени всё было хорошо, новые клиенты добавлялись без проблем. но вот недавно образовалась проблема: любое новое подключение пару минут поработает и зависает. т.е. не отключается, сеанс не завершается, но пинги не проходят. если попытаться соединиться с новой машины под старым логином - соединяет, но через пару минут зависает. пробовал назначить в свойствах сетевой карты MAC от сетевухи которая точно не отключается - тоже самое. через пару минут пинги прекратились. в журнале на сервере никаких ошибок не наблюдается. сервер командой `arp -a` показывает новый mac адрес на удалённом клиенте сразу как только поменяешь. драйвер сетевухи на сервере последний. перелопатил весь гугл (мне так кажется по крайней мере), решения не нашёл. подскажите, пжлст, что еще можно проверить и вообще куда копать.

Цитата:

можно проверить и вообще куда копать

Ссылка

anjunabeatc, спасибо, но проблема вобщем-то не в том, что сессия зависает и не отключается, хотя это конечно тоже происходит как следствие, а в том, почему она зависает и не отключается. тем более в данном случае программа по ссылке не отключает именно эти зависшие сеансы (или я не правильно понял зачем нужна эта служба?). да и нигде в журналах событий никаких упоминаний про ошибки нет. написано пользователь такой-то подключился всё хорошо. потом через две минуты пропадает пинг и соединение висит. через какое-то время оно само отключится. и, кстати, как-то они там с сервером всё-таки общаются, т.к. если отключается само или когда отключаешь вручную в тот же момент и сессия на сервере пропадает и, соответсвенно, в журнале событий появляется запись мол отключился по user request.

Всем доброго времени суток. Хочу спросить совета.

Организация, которую я админю - это небольшая торговая сеть, в которой точки цепляются к базе через VLANы. Сейчас открывается точка в отдаленном районе, где у провайдера нет возможности подключить VLAN и требуется создать VPN-туннель. Интернет и там и там - АДСЛ.

Провайдер предлагает для организации впн-туннеля приобрести дорогущую железяку D-Link DFL-210 за 14 000 руб, мотивируя это тем, что, поскольку в нашем магазине будут стоять банковские терминалы, которым нужен доступ в инет, придется настраивать маршрутизацию от источника (source route), а этой фичей обладает только данный дорогой роутер.

Я в свою очередь предложил использовать более дешевый роутер с аппаратным VPN - D-link DI-804HV за 2400 руб. В нем нет этого source routе'а, и я в упор не могу понять, зачем эта фишка вообще нужна в нашей ситуации. Разве нельзя поднять аппаратный впн-сервер через IPsec и выпускать банковские терминалы в инет через корпоративный прокси-сервер?

Просто может быть мне знаний не хватает? Кто прав в данной ситуации?

Несколько замечаний по поводу конфигов:

Цитата:

pptpd.conf:
option /etc/ppp/pptpd-options
#noipparam
logwtmp
#bcrelay
localip 192.168.8.7 - ip никем не занят
remoteip 192.168.8.67 - ip никем не занят

localip 11.22.33.44 #поставьте свой "белый ip к которому подключаетесь извне"
remoteip 192.168.8.67-77 #пул адресов для клиентов VPN


Цитата:

chap-secrets:
uname pptpd passwd *

Странное содержимое этого файла у вас.
Вот пример под ваш IP c боевого сервера:

# Secrets for authentication using CHAP
# client server secret IP addresses
User * Pass 192.168.8.67
Luser * Passs 192.168.8.68

т.е. при подключении пользователю User с паролем Pass выдаст IP 192.168.8.67

Какая политика по умолчанию для FORWARD ?


Цитата:

на нём сделан ICS без маскарадинга ибо статика и никаких pppoe
еще сделан проброс до другого сервака

С этого момента поподробней - что и куда проброшено и как без маскарадинга все работает? NAT?


Добавлено:

Цитата:

Организация, которую я админю - это небольшая торговая сеть, в которой точки цепляются к базе через VLANы. Сейчас открывается точка в отдаленном районе, где у провайдера нет возможности подключить VLAN и требуется создать VPN-туннель. Интернет и там и там - АДСЛ.

Не понимаю тягу к черным коробочкам - у меня в филиалах стоят попой в интернет Linux сервера, задача которых конектиться к главному филиалу через OPENVPN и заворачивать весь трафик в сеть компании через тунель + куча плюшек по маршрутизации и резервированию каналов.
Теперь по делу - для организации VPN тунеля - достаточно выхода филиала в интернет, а у главного офиса (где будет стоять сервер VPN) должен быть или реальный IP или можно поднять сервис DYNDNS и подключаться по DNS имени.

Доброго времени, Уважаемые!

Столкнулся с задачей, с которой до этого времени сталкиваться не приходилось, хотелось бы просить совета.

Есть некое 000"Рога и Копыта" с точками продаж (читай филиалами) в 7 регионах нашей необъятной. Головной офис планируется установить в настоящее время в 8м регионе. Ясен-красен что без VPN никуда. А с этим чудом заморским я еще в своей практике дела не имел, читал теорию, но без практики, сами понимаете никуда.
Подскажите как лучше поступить:
-Аппаратный VPN (т.е центральный сервер будет находиться тут, у меня в головном офисе, а остальные клиенты будут подключаться к нему так же железками)
-Программный (т.е в каждый офис поставить по linux-ящику и каким-то образом их дружненько под одну гребеночку зачесать)

Возможно есть еще какие-то неведомые мне варианты.

Расскажите пожалуйста с чего начать, как это организован у вас или хотя бы где подробно про это дело можно почитать начинающему "VPNщику"

AssHunterSVD
Цитата:

Аппаратный VPN

Такого чуда в природе не существует. В любом случае это программно-аппаратные решения. Даже на базе Cisco.
Реализация же зависит от очень многих параметров (выделяемого бюджета, наличия более-менее квалифицированных специалистов в центре и на местах, численности сотрудников в филиалах, наличия и необходимости резервирования каналов и т.п.)
Если в филиалах по 1-2 человека, то делать что-то там смысла нет, достаточно VPN сервера в головной конторе, и пусть цепляются VPN-клиентами. Если несколько больше, тогда можно поставить железки типа D-Link, которые сами будут цепляться к VPN серверу, и обеспечивать филиалу прозрачный доступ к корпоративной сети. Если намного больше, имеет смысл подумать над созданием распределенной сети, с мощной циской в центре и менее мощными в филиалах.
Также возможна комбинация этих решений.

vlary

Цитата:

Такого чуда в природе не существует. В любом случае это программно-аппаратные решения. Даже на базе Cisco.

Это и имелось ввиду, прошу прощения за неграмотность.

По количеству подключений, пока входных данных нет. Поставлена задача, дан знак 40 и палочка и крутись как хочешь... Соберу больше информации - обязательно напишу.
Бюджет само собой неограничен до 40 тысяч рублей Возможно, конечно, некоторые поправки "на ветер", но все же хотелось бы найти серединку цена/качество.

Пока смотрю в сторону
Цитата:

можно поставить железки типа D-Link, которые сами будут цепляться к VPN серверу, и обеспечивать филиалу прозрачный доступ к корпоративной сети.

Я правильно понимаю, что если у меня стоит шлюз попой наружу, то эти самые "железки" будут на постоянку (в идеале) держать соединение? Просто хотелось бы привести все в божеский вид, с AD, общими политиками и прочими вкусностями. Сделать это в LAN, довольно тривиально, но очень смущают новые аббревиатуры (VPN)

Более гибкое решение - Linux сервера в филиалах попами в инет, которые подключаются при помощи OpenVPN к головному офису. Как-то "коробочки" в серьезной сети выглядят примитивно, тем более, что дальше способов шифрования данных, реализованных в этих самых "коробочках" не прыгнуть. Не обязательно покупать именно серверное железо - достаточно собрать стабильное железо и особо обратить внимание на хороший блок питания. Ну и неплохо бы иметь 2 винта внутри для зеркального софт рейда.

Scorpikor
Цитата:

Более гибкое решение - Linux сервера в филиалах попами в инет

Конечно, гибкое, только где в филиалах спецов по линуксу взять, если вдруг что?
А поставить коробку типа DFL-210, умеющую строить туннели к другим железкам, в том числе и к циске, и которую в случае чего достаточно просто передернуть по питанию - для мелкого филиала самое оно.

Огромное спасибо за ответы, теперь вроде бы как в голове начало что-то структурироваться

Scorpikor

Цитата:

Более гибкое решение - Linux сервера в филиалах попами в инет, которые подключаются при помощи OpenVPN к головному офису.

Рассматриваю этот вариант тоже, т.к в линуксе сам вроде немного соображаю, админить удаленно - милое дело. Только тогда встает вопрос цены, "железка" обойдется дешевле Linux-ящика. Но учитывая моё незнание железок VPN-плана для меня этот вариант самый предпочтительный.

vlary

Цитата:

умеющую строить туннели к другим железкам

Я так понимаю они строят туннели по PPTP? А есть "Железки" умеющие OpenVPN? Поверхностный поиск особых результатов не дал. Хотя как не дал, выдает восновном железки с перепрошивкой типа DD-WRT. Вариант, конечно, тоже неплохой, но хотелось бы чтобы в "стоковом" состоянии железяка подходила под задачи.

AssHunterSVD
Цитата:

Я так понимаю они строят туннели по PPTP?

Зачем PPTP? Есть GRE туннели (с шифрованием IPSec и без), есть L2TP. Циски умеют все, остальное зависит от выбора девайса.

Доброго времени суток....
Сами мы не местные или будет скорее всего разруливать это администратор сервера, я же админ "desktop поддержки пользователей". Мне не нужно детали, просто направление, если можно подскажите плз. Возникла задача обеспечения безопасности. Объясняю, есть dc+он же сервер 1с, есть отдельный сервер-шлюз с isa. Поднят VPN, есть удалённые офисы. Юзвери поднимают у себя клиента VPN (обычный windows клиент PPTP) и потом коннектятся терминально на dc, работают в 1с. Нужно: Чтобы они не имели возможность слить файлы из терминала. Понятно, что маппинг локальных дисков клиента можно на сервере терминалов принудительно запретить, но как быть вот с такой штукой: Когда поднимается VPN, клиентской машине выделяется локальный IP, и что мешает злоумышленнику, из терминальной сессии обратиться к своей локальной машине, явно задав этот локальный IP? Правильно, ничего не мешает, пробовал, работает. Собственно вопрос - как зарубить? Собственно фишка ещё и в том, что принтеры клиента должны маппится на сервере, но ни должно никакого движения файлов быть на участке клиентский комп - терминальный сервер.
PS C чем игрался. Пробовал отключать в свойствах клиента VPN службу "Клиент для сетей Microsoft", действительно ВРОДЕ работает, но не уверен, что это правильно, но самое главное, если даже это и есть правильно, что мешает клиенту его вручную включить, вообщем как это зарубить на сервере? Или ход мысле с клиентом сетей Microsoft в корне не верный, необходимо копать в сторону маршрутизации?
Спс за ответ заранее.
PPS Спрашиваю исключительно в целях обсуждения данного вопроса в последующем с админом сервера, для большей полноты возможных вариантов, наверняка у него есть некое решение для такого случая, но вот вдруг кто-то уже решал подобную задачу.
Сервер dc: WinServer 2003 Standart x64
Клиенты: WinXP, WinVista, Win7

daledale
Цитата:

работают в 1с

Если они только работают в 1С, то нужно опубликовать ее как приложение, и разрешить доступ только к этому приложению.
Кроме того, можно выделить те файлы, которые нежелательно копировать, и запретить этой группе юзеров доступ к этим файлам через настройки безопасности..
Вопросы, связанные с безопасностью при работе в терминальном режиме, рассматриваются в этой теме:
Windows Terminal Services FAQ (терминальный сервер)

vlary
Спасибо за ответ и за ссылку, будем копать...

Выше обсуждался вопрос про организацию с несколькими филиалами и организации доступа к 1с.
У меня похожая ситуация, есть головная организация, где уже развернул домен на 2008 р2, и сервак тоже на 2008 р2. С локальными компами все понятно, заходят в 1с по remoteApp, все работает как часы, все довольны.
А вот как быть с 20 филиалами, в каждом котором по 2-3 компа?! В голове пока несколько вариантов для реализации поставленной задачи:
1 Банально дать доступ по рдп. Не нравиться, совсем...
2 По Vpn каждый комп коннектится к серверу далее mstsc. Учитывая количество компьютеров... пусть даже 2*20=40 компов по впн ежедневно?! не будет серваку плохо от такого количества?!
3 Кто-то из админов предложил поставить корчи на линуксе каждому филиалу. Есть ли смысл?!
4 Циско. Интересный вариант, в теории читал, возможностей для реализаций много, плюс даже в том, что с головной организации я смогу при наличии соединения админить удаленные компы на филиалах, но опять же, какое железо? естественно все должно бюджетно.
У кого есть какие идеи?!

VZ0101
Цитата:

не будет серваку плохо от такого количества?!

Если виндузовый сервак заставить заниматься несвойственными ему функциями VPN сервера, то ему точно поплохеет.
Если есть деньги, то лучший вариант - циска. Если нету - VPN на базе Линукса или Фри.

2VZ0101: В головном офисе поставить OpenVPN сервер, клиентами которого собственно будут филиалы ... 20 филиалов - 20 клиентов. Плюс разрулить маршрутизацию ... в итоге из головного офиса получим доступ к каждому ПК в каждом филиале, а все они соответственно доступ к терминальному серверу. Можно и так попробовать ... это вариант который не требует финансовых вложений.

Цитата:

естественно все должно бюджетно

и каков бюджет? на 40 юзеров в терминале "бюджетно" не получится...