» VPN: вся информация в этой теме

Форумчане!! Прошу помощи, перерыл тут всю ветку и кучу линков в инете но так толком и не нашел ничего. Ситуация такая: есть шлюз с Керио 7.3.2, одна сетевая наружу, другая внутрь. Некоторым людям необходимо VPN. Хочу сделать так: подключить VPN на шлюзе и чтоб он пробрасывался в локалку. Такое возможно? никак не соображу какой маршрут надо прописать. Да и еще, как только подключаю VPN на шлюзе пропадает инет в локалке((

ArcticFox199 А ВПН то какой, самого Керио или виндовый?

Decker82
Цитата:
не знаю как в Cisco VPN Client, но в обычном виндовом такая точно есть
В Cisco VPN Client такого нет. Но там в самом клиенте в настройках подключения есть галка Allow Lokal LAN Access
Возможно, она может помочь в доступе к локальным сетевым ресурсам.

Приветствую
шаманство в командной строке не дало положительных результатов, а Allow Loсal LAN Access - это первое что я попробовал

bestsw
Виндовый. адрес типа 10.1.1.52. В локалке адреса типа 192.168.0.1. Хотел чтобы на шлюзе подключил VPN а из локалки с любого компа был доступ в ту сетку.

Добавлено:
bestsw
делал уже и ВПН туннел с помощью Керио. работатет, туннель создается но тут проблема: доступ никак не ограничивается. На удаленном сервере папки с ограничениями спокойно открываются, такой метод в данном случае не подходит

парни, подскажите, по моей ситуации.

мне нужно подключить удаленных клиентов из разных офисов через интернет к серверу терминалов на win2003.
я вот не пойму можно обойтись аппаратными средствами, к примеру, если поставить роутер d-link dl804HV или необходимо настраивать программный vpn-сервер на win2003?

Здравствуйте, есть два модема подключеные к машрутизатору на одном VPN без интернета на втором не VPN а просто с доступом в интернет, при подключении одновременно вроде работает но с перебоями, к примеру не отправляет электроную почту хотя интернет есть, отключаю второе соединение, все работает., может я неправильно настроил? У меня Windows Server 2008 R2

westx
Так где, что настроили? Где настройки то?
ipconfig /all
route print
И пояснения к выводам команд, кто там есть кто.

vitarapt
1. Родной PPTP сервер на win2003 (через RRAS).
2. OpenVPN сервер на win2003.
3. Любая железка/любой линукс с двумя сетевыми интерфейсами (один в локалке, другой наружу).

[more] Alukardd, [more] Ethernet adapter Подключение по локальной сети 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC326i PCIe Dual Port Gigabit Server A
dapter
Физический адрес. . . . . . . . . : 1C-C1-DE-E8-26-5D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::e0:2046:cf79:3dc9%15(Основной)
IPv4-адрес. . . . . . . . . . . . : 10.51.228.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.51.228.254
DNS-серверы. . . . . . . . . . . : 10.61.10.100
10.61.10.101
192.168.1.50
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : HP NC326i PCIe Dual Port Gigabit Server A
dapter
Физический адрес. . . . . . . . . : 1C-C1-DE-E8-26-5C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::cd20:6cf9:a7ca:f725%10(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.1.113(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.50
IAID DHCPv6 . . . . . . . . . . . : 169656798
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-17-01-DA-D3-1C-C1-DE-E8-26-5C

DNS-серверы. . . . . . . . . . . : 192.168.1.50
NetBios через TCP/IP. . . . . . . . : Включен

На одном адаптере №1. 192.168.1.113 прописан шлюз 192.168.1.50 интернет, на втором Подключение по локальной сети 2 10.51.228.2, 10.51.228.254 VPN, при подключении адаптера №2 отключается електронка и интернет, хотя скайп и онлайн радио работает




IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.50 192.168.1.113 276
0.0.0.0 0.0.0.0 10.51.228.254 10.51.228.2 276
10.51.228.0 255.255.255.0 On-link 10.51.228.2 276
10.51.228.2 255.255.255.255 On-link 10.51.228.2 276
10.51.228.255 255.255.255.255 On-link 10.51.228.2 276
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.113 276
192.168.1.113 255.255.255.255 On-link 192.168.1.113 276
192.168.1.255 255.255.255.255 On-link 192.168.1.113 276
192.168.56.0 255.255.255.0 On-link 192.168.56.101 276
192.168.56.101 255.255.255.255 On-link 192.168.56.101 276
192.168.56.255 255.255.255.255 On-link 192.168.56.101 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.113 276
224.0.0.0 240.0.0.0 On-link 192.168.56.101 276
224.0.0.0 240.0.0.0 On-link 10.51.228.2 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.113 276
255.255.255.255 255.255.255.255 On-link 192.168.56.101 276
255.255.255.255 255.255.255.255 On-link 10.51.228.2 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.50 По умолчанию
0.0.0.0 0.0.0.0 10.51.228.254 По умолчанию [/more] [/more]

подскажите как добавить условие в диалер

Имеется два впн подключения - нужно чтобы в случае невозможности подключения к первому из них в течении минуты, подключался второй

Имеется такой вот cmd

@echo off

set conn="name"
:: название вашего подключения к интернету

set login="login"
:: ваш логин подключения к интернету

set pass="pass"
:: ваш пароль подключения к интернету

set pause=10
:: пауза в секундах между проверкой сединения, если соединение разорвалось произойдет подключение

:LOOP
set connected=0
for /f "delims=" %%i in ('rasdial') do (
if "%%i"=="%conn:"=%" set connected=1
)
if %connected%==0 (
echo %date% %time%    %conn% connection not detected. Dialing...
rasdial %conn% %login% %pass%
) else (
echo %date% %time%    %conn% connection is active.
)
ping -n %pause% 127.0.0.1>nul 2>&1
goto LOOP

exit


подскажите как добавить сюда указанное выше условие, а то совершенно не знаком с правописанием
алгоритм примерно такой
добавляем переменную-счетчик, каждая неудачная попытка прибавляет к счетчику единицу, а удачная обнуляет его
когда счетчик достигает значения 6 (при паузе 10 секунд - какраз минута) выполняется другой rasdial, к примеру, rasdial %conn2% %login2% %pass2% и уже его состоянии отслеживается

Iven
К VPN'у Ваш вопрос имеет весьма косвенное отношение...
Задачи на bat-файлах
Автоматизация администрирования

Что бы у ping'а была задержка ровно в секунду надо ему об этом намекнуть -w 1000.

Ух в голову пришла только одна нормальная мысль как переписать скрипт, но она использует массив, что сводит идею к большому геморрою. Можно тупо набыдлокодить, но как-то не правильно это...

kosyay Попробуй выполнить после подключения

Код:
route delete 192.168.1.0 mask 255.255.255.0 172.17.48.1
route delete 0.0.0.0 mask 0.0.0.0 172.17.48.1

Приветствую, не получается, все соединения отваливаются и VPN и Интернет

Здравствуйте!
Прошу помощи в решении проблемы VPN site-to-site на Win 2003 SP2 R2.
Столкнулся с проблемой на железках. Решил поэкспериментировать с VirtualBox.
Ситуация:
1. Созданы два домена test.co (192.168.10.0/24) и test1.co (192.168.12.0/24) (Контроллеры соответственно - dc.test.co и dc1.test1.co, + шлюзы RRAS с VPN доступом - ig.test.co и ig1.test1.co)
2. Пинги идут (и внутри сетей, и наружу), web-страницы открываются.
3. На контроллерах поднял VPN-client: dc->ig1, dc1->ig (для проверки нормальной работы VPN).
4. В доменах создал группу VPN_user. В dc -пользователя test1, в dc1 - пользователя test. Внёс их в группу VPN_user. Разрешил VPN для этой группы. VPN-client с доменов легко цепляются к соответствующим сетям, как по отдельности, так и одновременно.
4. Далее отключаю клиентов, создаю на ig новый интерфейс с подключение по требованию по VPN, называю его - test (по имени пользователя в dc1), даю маршрут 192.168.12.0, маска 255.255.255.0. Указываю пользователь - test, домен – test1 и пароль. Перезагрузка RRAS. Cоединение установлено!
5. На шлюзе ig1: интерфейс - test1, 192.168.10.0 + 255.255.255.0, пользователь - test1, домен – test, и пароль. Перезагрузка RRAS.
СОЕДИНЕНИЕ НЕ УСТАНОВЛЕНО!
ИНТЕРФЕЙС: такой-то, СОСТОЯНИЕ: подключение, ПРОШЛО ВРЕМЕНИ: столько-то. Всё.
При этом можно легко подключиться созданными ранее VPN-client с соответствующих контроллеров доменов, в любом сочетании.
Если разорвать оба VPN-туннеля, то при последующем соединении подключение будет только с одной стороны. С другой будет та же история с отсчётом времени.
Подскажите куда рыть!!!

Доброе время суток. Есть 20 офисов, в каждом по 1-2 компа. Провайдеры везде разные. Везде сети одноранговые. Хочу сделать так чтоб все они стали как бы единой сетью (чтоб можно было зайти на любой комп из этих 20 офисов с одного моего компа через удаленный рабочий стол? при этом чтоб не платить за белый статический ip для каждого из них) AD пока не нужно. Подскажите пожалуйста, только не надо предлагать программы для удаленного администрирования

tserg62ru
Так вопрос в том, как не покупать белый IP? Посмотри в сторону всяких no-ip и dyndns.
Или тебе интересно чем организовать VPN? Тогда встречный вопрос - кто-нибудь представляет бюджет всей затеи? Стабильно/дороже/на железе или как всегда/дешево/сердито/софтверно?

Я не хочу пускать трафик через сторонние организации, так как это потенциальная утечка информации. Если бы все было так просто то я бы ammyy или teamviuer использовал. Но vpn это совсем другое. Можно поднять сеть сначала для управления через удаленный рабочий стол, затем AD возможно сделать, затем ip телефонию по своей локалке поднятой пустить. Вариантов развития масса. Но нужно сделать локалку так как я хочу, поэтому и спрашиваю советов по реализации. Если можно конечно дешево/сердито/софтверно для начала чтоб протестить, а уж если понравится тогда дальше будет куплено Стабильно/дороже/на железе

tserg62ru, ну так и объясни -- как ты хочешь. например, для начала, нужную архитектуру: звезда или сеть

tserg62ru

Цитата:

Я не хочу пускать трафик через сторонние организации, так как это потенциальная утечка информации. Если бы все было так просто то я бы ammyy или teamviuer использовал.

Это ты о чем? VPN как бы подразумевает, что трафик, хоть и идет через стороннюю организацию (провайдер, например), но он весь шифруется.


Цитата:

Если можно конечно дешево/сердито/софтверно для начала чтоб протестить, а уж если понравится тогда дальше будет куплено Стабильно/дороже/на железе

ОК, тогда идем дальше. Тебе нужен s2s или "путь в один конец"? Т.е. общение должно быть двусторонним (удаленный офис может подключиться к серверу в головном и наоборот, допустим, админ в головном может подключиться к любой машине на брэнче) или тебе лишь нужна возможность подключиться туда и соединение вообще может быть не постоянным, а подниматься по требованию?

AXVill, первоочередная задача чтоб мне с этим разобраться на первых парах - это подключаться по требованию к удаленным офисам для настроек компов (зайдя под учеткой админа как через удаленный рабочий стол) Если Вам не сложно то во вторую очередь напишите пожалуйста еще и более серьезный вариант (двустороннее общение)
Если я правильно понимаю, то и на вопрос VitRom я тоже щас ответил

ну тогда самый-самый простой "наколеночный" вариант: поставить прямо у себя на компе собственный сервер НеоРоутер-а, а в филиалах его же клиентов, которые будут логиниться на этот сервер, который можно при отсутствии статики адресовать через какой-нить дин-днс.

Спасибо, а если поднять сеть более серьезно для AD, Voip по этой локалке то как лучше реализовать? тут видимо уже нужна надежность Стабильно/дороже/на железе

tserg62ru
Цитата:

Спасибо, а если поднять сеть более серьезно для AD, Voip по этой локалке то как лучше реализовать?

Про AD при таком раскладе лучше думать забудь.
Для Voip лучше пользоваться Скайпом, он бесплатный. И вообще, лучше выбрать топологию звезды, поставить центральный узел там, где реально получить белый статический айпи, и вокруг этого уже плясать.

Я бы и рад сплясать) ну 1 белый статический ip я получу это не проблема. А как же люди сеть на основе контроллера домена организуют по всей стране если офисы (в которых может быть всего 1 комп или несколько) разбросаны? неужели не по vpn?

VitRom
Какой-то очень уж жестокий вариант. Бюджетно, да.

tserg62ru
Остается последний вопрос, какое оборудование есть на удаленных офисах? Понимаю, что я зажравшийся капиталист, но обычно стараюсь поставить какой-то фаервол, который играет роль шлюза, даже на такие маленькие брэнчи, в 2-3 машины.

Например, небольшие машинки, может и баребоны, туда серверную винду и TMG (мы же на самом известном и большом варезном русскоязычном форуме, по-этому рассматриваю этот вариант как "бюджетный"). Тут есть возможность просто поднять VPN-сервера на конечных поинтах, а есть и возможность реализовать s2s (TMG это умеет). Т.е., если не брать в расчет софт, то ценник составляют баребоны. Если лицензирование - это проблема, то можно смотреть в сторону опен-сорц (OpenVPN), но тут поднимается цена обслуживания (нужно знать linux) и заморочки с настройкой домена, авторизации и прочего - Microsoft не очень-то ратует за гетерогенные сети и чтобы все собрать в кучу - это песня. С TMG, виндовым сервером и "везде винда" такой проблемы нет.

Если денег чуть больше, то можно баребоны заменять на железо. Я фанат Cisco. Например, ASA 5505 на брэнчи и 5510 на голову. Относительно не дорого. Но обслуживание дороже. Человек, который знает Cisco IOS, азы маршрутизации и VPN, "за еду" не работает. Утрирую, но надеюсь меня поймут, в любом случае это дороже, чем поддержка шлюзов на виндах. Можно поискать схожие предложения других брендов, может ценник будет меньше.

Как-то так. Надеюсь на часть вопросов ответил. Или породил множество новых

Добавлено:
На счет "белых" адресов - выше я давал ссылки на всякие no-ip. Динамический DNS на филиалах и белый IP на головняке, вполне рабочая схема. И топология "звезда", да, так проще.

На удаленных офисах никакого оборудования кроме самого компа windows vista бизнес версии, подключенного к инету. А если я на своем компе (предварительно получив белый статический ip) средствами винды подниму vpn сервер, а клиент ко мне подключится по vpn опять же средствами винды, то я смогу к клиенту через удаленный рабочий стол подключиться? или это он ко мне сможет тока сделать?

tserg62ru
Конечно можно будет подключиться и туда и обратно - главное настроить. Да, для одного устройства ставить шлюз - довольно жирно
На центральном офисе в любом случае будет VPN-сервер и одинокие пользователи пусть просто подключаются к нему.

AXVill
Цитата:

то я смогу к клиенту через удаленный рабочий стол подключиться?

Если рассматривать не сферический VPN-сервер в вакууме, а конкретный, например OpenVPN - то вполне. На сервере ставится опция client to client, настраивается статика, раздаются сертификаты, и любой из клиентов этого сервера может подключаться к любому другому клиенту, а также клиентам локальной сети, в которой стоит сервер.

Спасибо всем за ответы. Буду пробовать. Еще покапаю в направлении no-ip и dyndns так как впервые об этом услышал, может и действительно без заморочек с vpn получится) если есть желание кинуть ссылки на инфу по no-ip и dyndns "для чайников" то буду рад

tserg62ru
Цитата:

Еще покапаю в направлении no-ip и dyndns

Если ты в центре поднимешь VPN сервер с белым статическим айпи, ничего этого тебе не понадобится.
Если айпи будет белым, но динамическим, понадобится dyndns.
А для клиентов ты тогда можешь поставить собственный ДНС сервер, который будет знать все внутренние айпи локалки и VPN клиентов. Обычно так и делается в VPN инфраструктуре.
При подключении ДНС сервер VPN получает преимущество перед существующим ДНС сервером клиента, и все запросы идут через него. На запрос vasya придет ответ допустим 192.168.100.5, на запрос petya - 192.168.100.8, а на запрос www.yandex.ru - внешний айпи Яндекса.

У меня комп входит в ЛВС которая имеет выход в интернет через комп с двумя сетевыми адаптерами. Соответственно у моего компа ip 192.168.111.55 шлюз 192.168.111.1, а на компе который работает как роутер есть свой ip, данный ему провайдером ну и естественно так как он шлюз то на втором адаптере у него ip 192.168.111.1
Я сейчас зарегился на no-ip.com поставил прогу No-ip duc v2.2.1 на свой комп, увидел там свое доменное имя. С чужого компа набираю в браузере это доменное имя и я попадаю на ШЛЮЗ, а не на мой комп (который 192.168.111.55)
Вопрос. Как же мне на него попасть? почему я попадаю на шлюз а не куда нужно
Вопрос актуален потому что если в удаленном офисе 2 компа под NATом роутера, то система с динднс не работает? или я не так делаю?