» VPN: вся информация в этой теме

да обычно именно так и называется - pppoe. Не видел роутеров без поддержки этого протокола

detec1 На прошивке DD-WRT это точно имеется.

tankistua, vlary, спасибо за ответы!

Доброго времени суток. А кто-нибудь может мне помочь с VPN на cisco?
У меня следующая проблема:
Есть cisco 881, на ней настроен PPTP-сервер. При подключении клиент должен иметь доступ во все локальные сети, которые находятся за этой железкой, и ходить через нее в интернет. Проблема в том, что при отключенном MPPE все работает как надо, но при включении MPPE клиент не видит ни одной внутренней сети, но продолжает успешно ходить в интернет.
Вопрос: Как так включить MPPE, чтобы оставался доступ и к локалкам, и в интернет?

Вот кусок конфига, связанный с VPDN:


Код:
vpdn enable
vpdn multihop
vpdn authen-before-forward
vpdn search-order domain 
!
vpdn-group PPTP
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 lcp renegotiation always
!

interface Virtual-Template1
 ip unnumbered Vlan1
 ip broadcast-address 10.0.0.255
 ip directed-broadcast
 ip nat inside
 ip virtual-reassembly in
 peer default ip address pool VPN
 keepalive 15
 zone-member security LAN
 ppp mtu adaptive
 ppp encrypt mppe auto
 ppp authentication ms-chap-v2 L2TP_USERS
 ppp ipcp dns 10.0.0.1
 
interface Vlan1
 description -=LAN=-
 ip address 10.0.0.1 255.255.255.0
 ip directed-broadcast
 ip pim dense-mode
 ip nat inside
 no ip virtual-reassembly in
 zone-member security LAN
 ip tcp adjust-mss 1452
 ip igmp helper-address 172.31.105.1
 ip igmp mroute-proxy FastEthernet4
 
ip local pool VPN 10.0.0.250 10.0.0.253

Проблема не решается уже 3 года и надежды практически нет, но все-таки..

Дано.
Игра - pro evolution soccer.
Модем - megafon e352
Роутер - dlink 2750u (позволяет вставить usb модем и раздавать 3g интернет по wi-fi)

Ошибка.
Ввиду ограничения соединений ваших сетевых устройств доступен лишь матч 1 на 1 в режиме быстрой игры. Чтобы устранить эту проблему, попробуйте подключить ваше устройство к интернету напрямую,или настройте ваши сетевые устройства(например , маршрутизатор). Назначить демилитаризованную зону (DMZ), сопоставление портов, таблицу NAT другие параметры маршрутизатора в системе РС

Ошибка возникает при модеме работающем напрямую в PC и через роутер.

ip серый 10.*.*.*

В роутере на 3g соединении порты не открываются. Nat включен.
Проверка онлайн на открытые порты показывает что все порты закрыты.
Фаервол настроен, игра работала при подключенном интернете ADSL

Какие варианты решения проблемы есть?

sas1984
Цитата:

Проблема не решается уже 3 года

Давно пора было перейти от игрушек к серьезным вещам...
Цитата:

Какие варианты решения проблемы есть?

Подключиться к провайдеру, который раздает "белые" айпи, хотя бы динамические.
Хотелки должны подкрепляться техническими возможностями. Соблазнительно, конечно, на старом бабушкином черно-белом телевизоре смотреть FullHD фильмы в цвете и с объемным звуком...
И абсолютно непонятен выбор темы. Каунтерстрайк навеял?

Цитата:

Давно пора было перейти от игрушек к серьезным вещам...

Это приносит огромнейшее моральное удовлетворение. Не сам процесс игры, а процесс организации игры для сотен людей. Провожу турниры, но получилось так что при переезде интернет только 3g и купить статик ip нет возможности.


Цитата:

И абсолютно непонятен выбор темы. Каунтерстрайк навеял?

считаю что обойти ограничение можно созданием vpn канала. познания мои не велики в данном вопросе, поэтому жду помощи.

sas1984
Цитата:

считаю что обойти ограничение можно созданием vpn канала

vpn канала к чему? VPN - это доступ через глобальную сеть в локальную.
Т.е. должна быть какая-то локальная сеть с игровыми серверами, и VPN сервер с двумя интерфейсами и белым внешним айпи.
Цитата:

познания мои не велики в данном вопросе

То-то и оно. Привыкли у нас искать панацею в модных словах. Сколково, нанотехнологии, ВТО...

Коллеги, пара уточняющих вопросов

есть два офиса, в каждом свои сервисы - DNS, DHCP, active directory. Соединив офисы с помощью vpn сеть-сеть не будет ли конфликта с dhcp серверами? dhcp широковещательный рассылает во все подсети же? как себя чувствует NetBIOS?

Здравствуйте, уважаемые знатоки.
Возникла задача реализации VPN между удаленными офисами через интернет.
Пока имеется один центральный офис в Новосибирске и два удаленных в других городах, в каждом офисе имеется подключение к интернету со статическим IP-адресом, через прокси.
Прошу посоветовать с выбором оборудования (предполагается реализация на D-Link). Планируется увеличение количества офисов, поэтому в центральном офисе нужен роутер, который без проблем потянет 10-12 VPN каналов. В каждом удаленном офисе железки по-слабее, соответственно на 1 VPN канал.

Еще раз повторюсь - предпочтение оборудованию D-Link. Если на нем нет возможности такой реализации или лучше (целесообразнее) использовать другое оборудование, то тогда можно рассмотреть оборудование других производителей, но только не cisco.
У кого есть опыт реализации данных проектов. Буду благодарен за любые варианты.

VPN на WinХРsp3 принимается только 1-е соединение, остальные вылетают с ошибкой 20073 (входящие подключения не могут принимать ваши запросы на подключение, поскольку используется другое подключение такого же типа)
Читал на форуме но ответа не нашел если кто знает поделитесь


Добавлено:
все разобрался спасибо
Decker82

http://decker.no-ip.org/forum/index.php?showtopic=6208&st=0&p=7420&#entry7420

KabirNovosibirsk
Цитата:

Здравствуйте, уважаемые знатоки

Знатоки в клубе "Что? Где? Когда?". Здесь же - профессиональные системные администраторы.
Цитата:

Еще раз повторюсь - предпочтение оборудованию D-Link

Если не хотите перманентного геморроя, про D-Link в центральном офисе забудьте. Ставьте циску.
А в филиалах можете поставить D-Link из серии DFL-ХХХ. Они по-пристойнее.

KabirNovosibirsk
Цитата:

но только не cisco

Цитата:

Ставьте циску.

Ну если не нравится сочетание букв, то возьмите Juniper...

Добрый день.
Следущий вопрос, имеется VPN AnyConnect на базе cisco asa. Все работает замечательно.
Вопрос следующий, как узнать IP-адереса ПК в сети, если они выдаются по dhcp?
Или же имена ПК, чтобы можно было подключаться по RDP.
Все рабочие стандии на win7.

Raz0rnsk
Цитата:

как узнать IP-адереса ПК в сети, если они выдаются по dhcp?

В нормальных сетях компы имеют статические айпи, даже если адреса выдаются по dhcp.
Решается это резервированием по МАК адресам.
Ну а если этого пока нет - можешь позвонить человеку, к которому хочешь подключиться, и спросить его айпи.

Цитата:

В нормальных сетях компы имеют статические айпи, даже если адреса выдаются по dhcp.
Решается это резервированием по МАК адресам.

Первый раз слышу про такие "нормальные сети", делают обычно либо dhcp, либо статикой, а по маку можно привязать сервера, хотя тоже статику можно назанчить и все.
Цитата:

можешь позвонить человеку, к которому хочешь подключиться, и спросить его айпи.

Ясно, значит програмного способа нет
Можно, конечно, на циске глянуть какие выданы ip из пула, но не ясно же где чей пк ...

Raz0rnsk

Цитата:

Первый раз слышу про такие "нормальные сети", делают обычно либо dhcp, либо статикой

Ты удивишься, но это - обычная практика.
Цитата:

а по маку можно привязать сервера, хотя тоже статику можно назанчить и все.

Да, серверам адреса обычно назначают вручную.
Цитата:

Ясно, значит програмного способа нет

Ну почему же... Можно с помощью сканера прочесать весь диапазон адресов, а затем командой NBTSTAT -A IP-адрес выяснить его нетбиос имя. Вот только NBTSTAT работает в пределах локальной сети, ибо нетбиос немаршрутизируем.

Цитата:

Ты удивишься, но это - обычная практика.

Хм, не знаю, не первый год занимаюсь сетями, встречался с разной адресацией, но обычно либо dhcp, либо статикой. Так проще и понятнее. Возможно пока задач таких еще не было, где бы пригодилось привязывая по маку.

Цитата:

Ну почему же... Можно с помощью сканера прочесать весь диапазон адресов, а затем командой NBTSTAT -A IP-адрес выяснить его нетбиос имя. Вот только NBTSTAT работает в пределах локальной сети, ибо нетбиос немаршрутизируем.

т.е через vpn такое работать не будет, я правильно понимаю?

Raz0rnsk
Цитата:

Возможно пока задач таких еще не было, где бы пригодилось привязывая по маку.

дело не в самой привязке, а в том, что ты получаешь чётко сконфигурированную сеть аля статика, только полностью управляемой с dhcp сервера. К тому же с dhcp-options можно много чего докидывать помимо ip, dns и gw.

Alukardd

Цитата:

Ну если не нравится сочетание букв, то возьмите Juniper...

Дело не в сочетании букв, а в цене. Руководство сразу отклонило затею с циской и джунипером.

Что можете сказать по поводу Zyxel - что-нибудь из их серии можете посоветовать?

vlary

Цитата:

Если не хотите перманентного геморроя, про D-Link в центральном офисе забудьте. Ставьте циску.
А в филиалах можете поставить D-Link из серии DFL-ХХХ. Они по-пристойнее.

Хотелось бы, чтобы вся межофисная сеть была поднята на оборудовании одного бренда.

Помогите пожалуйста разобраться.

Есть локальная сеть в офисе 172.16.1.* с маской 255.255.255.0 все компы на WinXP x32. Подключается к интернету через роутер ASUS WL-500pv2. На одном из локальных компов поднят VPN сервер встроенными средствами. Этот комп находится в DMZ роутера.

Есть домашняя локальная сеть с такой же адресацией 172.16.1.* с маской 255.255.255.0. Адреса с офисной сетью не пересекаются. К интернету подключен через шлюз ASUS RT-N56U. Все компьютеры в сети на Win7. На одном компе (Win7 x64) подключен vpn клиент к серверу в офисе. Адреса VPN сервера и клиента тоже в этой же подсети (172.16.1.15 - сервер, 172.16.1.16 - клиент). Компьютер с vpn клиентом так же в DMZ роутера.

Проблема. Из локальной сети офиса я могу видеть расшаренные ресурсы одной машины дома (на которой запущен vpn клиент). С машины из дома на которой поднят vpn клиент я могу видеть все расшаренные ресурсы сети в офисе. С других локальных компов дома я не вижу ни одного расшаренного ресурса в офисе.

Другими словами:

Сеть дома --Х--- vpn клиент ----- vpn сервер ---- сеть в офисе.

Где собака порылась? Как полноценно объединить обе сетки, чтобы любой компьютер мог видеть все шары в обеих сетях?

Спасибо.

tyrty
Цитата:

Где собака порылась?

Здесь:
Цитата:

Есть локальная сеть в офисе 172.16.1.* с маской 255.255.255.0. Есть домашняя локальная сеть с такой же адресацией 172.16.1.* с маской 255.255.255.0

В какой-то из сетей поменять адресацию. В обеих сетях на нужных компах прописать маршрут к другой сети через VPN.
Либо соединить сети туннелем типа бридж (Ethernet over IP), что не есть гуд, ибо через него будет ходить масса лишнего трафика.

vlary
Спасибо. Но в этом случае на каждой машине в обеих сетях придется прописывать маршруты. Хотя можно попробовать прописать на шлюзах.

А чем плох существующий вариант? Почему работает только в одну сторону?

Проблема, мне кажется, в следующем. Когда машина с vpn клиентом подсоединяется серверу, она получает второй локальный IP адрес. В моем случае это 172.16.1.16, постоянный адрес компьютера 172.16.1.22. Но роутер, который является шлюзом в локальной сети, знать не знает о существовании адреса 172.16.1.16 и грохает все пакеты к нему. Так показывает tracert с компьютера в домашней сети.

Трассировка маршрута к 172.16.1.1 с максимальным числом прыжков 30

1 <1 мс 2 ms <1 мс 172.16.1.19
2 172.16.1.19 сообщает: Заданный узел недоступен.

Трассировка завершена.

172.1.1.1 - адрес vpn сервера в офисе.
172.16.1.19 - адрес роутера дома.

tyrty
Цитата:

А чем плох существующий вариант?

Тем, что он нерабочий.

Цитата:

172.1.1.1 - адрес vpn сервера в офисе.
172.16.1.19 - адрес роутера дома.

Допустим, у тебя в офисе есть комп с айпи 172.16.1.2 и он попытается подключиться к компу дома с адресом 172.16.1.102.
Он решит, что этот комп находится в локалке (одна сеть и маска) и будет прав!
Он отправит арп-запрос с адресом 172.16.1.102, ответа, понятно, не получит, ибо арп ходит только по локалке и не маршрутизируется. И прекратит попытки, решив, что хост в дауне.
В случае бриджа арп будет ходить, 172.16.1.102 получит запрос, отправит свой МАК, и дальше 172.16.1.102 и 172.16.1.2 будут разговаривать с помощью обычных эзернет пакетов.
Но как я уже писал, будет масса лишнего трафика. Вдобавок с помощью домашних роутероа-мыльниц такой канал не построишь, нужны либо серьезные девайсы типа циски, либо линуксы с парой сетевых.

Для верности последовал Вашему совету.
Разделил сетки так: дом 172.16.2.0 / 255.255.255.0, офис 172.16.1.0 / 255.255.255.0.
Дома прописал маршрут:
route add 172.16.1.0 mask 255.255.255.0 172.16.2.22 (последний IP - это адрес машины на котором подключен vpn клиент).
Результат нулевой. Точно так же из дома в офис пакеты не идут. Tracert затыкается на первом хопе.

Проблема, мне кажется в другом.

Цитата:

Допустим, у тебя в офисе есть комп с айпи 172.16.1.2 и он попытается подключиться к компу дома с адресом 172.16.1.102.
Он решит, что этот комп находится в локалке (одна сеть и маска) и будет прав!

Они и соединяются. 172.16.1.22 (vpn клиент) и 172.16.1.1 (vpn сервер) прекрасно видят шары друг друга, не смотря на то, что первая машина дома, а вторая в офисе. 172.16.1.22 взаимно видит так же другие офисные шары на компьютерах 172.16.1.2, 172.16.1.3 ... и т.д. А вот из дома компьютер 172.16.1.21 не видит офисные шары и последние его не видят. На мой взгляд, причина в том, что между vpn-клиентом и остальными компами дома стоит роутер, который каким-то образом мешает маршрутизации. В офисе маршутизация между компами идет через свитч. Роутер там тоже есть, на нем поднимается pppoe сессия для интернета, но компы могут напрямую общаться через свитч. Дома же вся связь между компьютерами идет через роутер.

Пробовал для интереса на одном из домашних компьютеров прописать прямой маршрут:
route add 172.16.1.1 (vpn сервер в офисе) mask 255.255.255.255 172.16.1.22 (vpn-клиент дома). Результат нулевой. Tracert затыкается на первом хопе. Если маршрут удалить, затыкается на втором. Первый - роутер, так как он шлюз по умолчанию.

vlary
Цитата:

арп ходит только по локалке и не маршрутизируется

ну это не всегда правда, точнее если буквально воспринимать, то да, он не маршрутизируем, но если рассмотреть проблему в целом... Точно также как и то, что нельзя извлекать корень из отрицательных чисел... Собственно я об arp proxy.

KabirNovosibirsk
Вообще у Zyxel'ей не плохое оборудование, хотя конкретно об их VPN ни чего сказать не могу.
Мб Вам просто в главном офисе поставить обычный шлюз на nix'ах?

tyrty
Цитата:

Проблема, мне кажется в другом.

Да и мне тоже А именно - в крайне слабом понимании работы сетевых протоколов. Но тут я помочь не могу, с этим нужно бороться долго и самостоятельно.
Цитата:

роутер, который каким-то образом мешает маршрутизации.

Улыбнуло! (с) Как это врач не хочет выпить за здоровье пациента?
Цитата:

Дома же вся связь между компьютерами идет через роутер.

И это тоже! Они не через роутер связаны, а по сути дела через 4-х портовый свитч (точнее, 5-ти, 5 порт занят самим роутером "изнутри"). 4 LAN порта можно рассматривать как обычный свитч.
Цитата:

route add 172.16.1.1 (vpn сервер в офисе) mask 255.255.255.255 172.16.1.22 (vpn-клиент дома). Результат нулевой

Был бы не нулевой, можно было бы претендовать на научное открытие.
Alukardd
Цитата:

Собственно я об arp proxy.

Вот тут как раз ключевое слово - прокси.
Я сам с удовольствием этим пользуюсь, подключаясь к офису по L2TP или OpenVPN.
Получаю адрес сетки, никаких маршрутов с той стороны писать не надо, сервер на их арп запросы отвечает сам.
Но Т.С. это не поможет, поскольку он хочет не просто подключиться, а по сути дела соединить две сети. Да еще и с единым адресным пространством.

vlary
Цитата:

Я сам с удовольствием этим пользуюсь, подключаясь к офису по L2TP или OpenVPN.
Получаю адрес сетки, никаких маршрутов с той стороны писать не надо, сервер на их арп запросы отвечает сам.

а реально как-то решить вопрос накладки адресов?) И второй момент — что если адресация в удалённой сети совпадает с внутренней адресацией в VPN (172.16.0.1 - это мой шлюз и такой же адрес имеет VPN сервер внутри виртуальной сети)?

Alukardd
Цитата:

а реально как-то решить вопрос накладки адресов?

Как-то не зпморачивался раньше таким вопросом.
Возможно, это как-то решаемо прописав жестко маршруты через VPN линк. С обеих сторон. На сервере, на хостах... Короче - вагон мороки, так что лучше такой ситуации избегать.
А случай, когда один адрес и у собственного шлюза, и у VPN сервера, по-моему, решения в рациональных числах вообще не имеет.

Просветите по поводу VPN через Wi-Fi
Ситуация такая:
есть VPN сервер (в одном городе)
и есть VPN клиенты (в другом), они подключается к серверу терминалов
Но клиенты которые пытаются подключится к VPN через Wi-Fi немогут подключится (а при подключении через кабель работает)
подскажите как решить проблему
Надеюсь понятно одьяснил