» VPN: вся информация в этой теме

tserg62ru
Цитата:

почему я попадаю на шлюз а не куда нужно

1. Возможно, порт 80 используется самим шлюзом.
2. С любого компа в сети 192.168.111.0 ты на внешний айпи шлюза не попадешь. Это свойство NAT. Так что если будешь проверять, проверяй с мобильника через GPRS, другого компа через YOTA, айфона с 3G, но ни коим образом не со стоящего рядом такого же компа.

AXVill
Цитата:

Какой-то очень уж жестокий вариант. Бюджетно, да.

дык а чо?
работы на пол-часа, ну час макс., и базовый "випиэн" готов -- локалка и локалка, только знай подключай оконечников
ессно, когда (если) понадобятся всякие "тонкие" вещи, уже придётся думать об альтернативах.
но для имхо 80% СОХО-задач (а в данном случае как раз СОХО, только распределённый, "один комп в городе"), особенно с учётом мультиплатформенности (и даже спецпрошивки в некоторые бюджетные рутеры) такого решения за глаза.

AXVill, VitRom, vlary, спасибо что мне помогли. Форум очень хороший и участники его супер. Всё получилось

Здравствуйте еще раз. Схема такая: есть комп на котором windows xp. он именнт 2 сетевых карты. одной задан внешний статический ip, а к другой подключена сеть из 20 компов. Эти 20 компов выходят в интернет через этот комп. Я поднимаю vpn сервер на этом компе, но при подключении по впн к нему я не вижу внутреннюю сеть. подозреваю что я упираюсь в сетевую карту со статическим внешним айпи а на внутреннюю не попадаю. Как это исправить? Спасибо

tserg62ru 1. На компе с VPN сервером должна быть разрешена маршрутизация, на ХР по умолчанию она может быть отключена.
2. В зависимости от типа VPN сервера его можно настроить так, что клиент будет получать айпи из диапазона внутренней сети, и видеть ее без проблем (например TAP адаптер в OpenVPN).
3. Использовать виндузовую, к тому же десктопную систему в качестве роутера есть моветон.

Доброе утро!

Подскажите, пожалуйста...

как закрыть доступ в Интернет при падении VPN - соединения?

Столкнулся с такой проблемой - регулярно раз в день падает VPN соединение, после падения остается доступ в Интернет по обычному каналу, firefox на это не обращает внимания и работает как ни в чем не бывало. В итоге все информация передается в открытом виде, что крайне некошерно.

Как можно отрубить доступ в Интернет если падает защищенный канал?
Можно ли это сделать штатными средствами Comodo?

Уточнение - все это имеет место быть на виртуальной машине, получающей доступ в сеть через сетевой мост.

ISEO
Цитата:

Как можно отрубить доступ в Интернет если падает защищенный канал?

Да очень просто. Убрать шлюз по умолчанию, и прописать статический маршрут только к своему VPN серверу.

vlary
а если адрес vpn динамический ?

DrakonHaSh
Цитата:

а если адрес vpn динамический ?

Да вдобавок еще и "серый"?
Если динамический, тогда наверняка зареган где-то на dyndns, иначе как ТС туда попадает?
В этом случае сложнее, придется прописывать еще шлюз к ДНС серверу, в планировщик ставить батничег, который будет резольвить имя, и при изменении айпи удалять старый маршрут и добавлять новый... Но ТС ничего не говорил про динамический айпи сервера.

>> Да очень просто. Убрать шлюз по умолчанию, и прописать статический маршрут только к своему VPN серверу.

Vlary, спасибо огромное, все работает!



И попутно прописал условие в hosts, что некий VPN провайдер соответствует данному IP адресу.

Единственный момент - если зашел на сайт под VPN, то даже после падения соединения он почему-то доступен. Более того, доступны сайты, на которые он ссылается. Доступ пропадает только после нажатия F5. Пока решил проблему "костылем", но кажется нужно будет написать батник, который через некоторые промежутки времени будет делать ipconfig /flushdns или что-то в этом роде.

P.S. Вроде статический. Посмотрю после очередного "падения".

Добавлено:
P.S. 2. Или я неправильно понял, и имелись ввиду другие настройки? (>>Убрать шлюз по умолчанию...)

ISEO
Цитата:

Доступ пропадает только после нажатия F5.

Видимо, броузер просто вытаскивает страницы из своего кэша.

Цитата:

Или я неправильно понял, и имелись ввиду другие настройки?

Нет, все правильно. Там, на картинке, 192.168.1.1 из шлюза убрать, оставив поле пустым.
А из командной строки назначить маршрут к впн.сервер.айпи:
route -p add впн.сервер.айпи mask 255.255.255.255 192.168.1.1

Цитата:

но кажется нужно будет написать батник, который через некоторые промежутки времени будет делать ipconfig /flushdns или что-то в этом роде.

Это совершенно лишнее. Если путь имеется только к впн серверу, ни на какой другой ресурс пакеты не пойдут, даже если их айпи известны.

Цитата:

А из командной строки назначить маршрут к впн.сервер.айпи: route -p add впн.сервер.айпи mask 255.255.255.255 192.168.1.1

Вот теперь работает безупречно.
При падении VPN - все прерывается, как того и хотелось.

Спасибо!!!

Имееться софтовый сервер pptpd на Ubuntu.
В принципе все устраивает, но от многих слышал что он не настолько секурный как например OpenVPN.
Появилось желание заменить на что-то другое.
Скажите есть ли смысл возиться с таким. Если есть, то чему дать предпочтение.

Присматриваюся к OpenVPN, но если есть что-то поинтересней то подскажите.

Подключаться к нему будут удаленные филиалы, в которых стоит только один комп на филиал (Windows XP Home).
А также хотелось бы узнать можно ли обойтись без установки дополнительного софта на клиентах. Если можно то на каких VPN-серверах (кроме pptpd)

K V M
Цитата:

А также хотелось бы узнать можно ли обойтись без установки дополнительного софта на клиентах.

L2TP/IPSec имеется встроенный на всех виндах, также как и PPTP. Вот его можешь и поставить как сервер.
А для всех остальных, OpenVPN в том числе, нужно устанавливать клиента.

[more] Добрый вечер и приятных выходных, товарищи.
Будте так добры, подскажите, что необходимо произвести на линуксовом шлюзе (iptables), что бы через него нормально подключался CiscoVPN (IPSec).

Суть:
Юзер: 192.168.0.2 (CiscoVPNClient; Win7) -----> GW(192.168.0.0\24; Ubuntu): 192.168.0.1 (eth0); 88.xx.xx.xx (eth1) ----->VPNsrv (212.xx.xx.xx): НЕИЗВЕСТНО

Раньше шлюз работал под винсерв (ТМГ, прокся) и ВПН ходил нормально, но после того как перешли на никсовый шлюз - клиент говорит: "Error 412".
В iptables есть правила на FORWARD, INPUT и OUTPUT всех необходимых портов и протоколов:
(UDP: 500, 4500; TCP: 10000; gre, ah, esp)

Зы. На том конце говорят, что от нас ничего не приходит.

При попытке подключения, Wireshark показывает только это:
3095    21.980136000    192.168.0.205    212.xx.xx.xx    UDP    58    Source port: 57059 Destination port: 62515
3097    21.987745000    192.168.0.205    212.xx.xx.xx    ISAKMP    914    Aggressive

Спасибо. [/more]

Все решилось, заработало после смены транспорта с UDP на ТСР через 10000 порт.

Решилось, но не все, клиент CiscoVPN 5.0.07.0290 заработал только на Win7, а так как часть пациентов работают под WinServ2008R2, то у них эта проблема не решилась (по прежнему error 412). Есть ли какое-нибудь решение или направление куда копать в вопросе работы CscoVPNClient под Вин серв?

Зы. Тут кто-то бывает?

TailyMile
Цитата:

Есть ли какое-нибудь решение  или направление куда копать

Это делал? How To Fix Your Cisco VPN Client on Windows 8/Server 2012

Всем читающим привет!
Есть офис и сеть магазинов. В офисе стоит 2 сервера - 1-й win2008serv AD и DHCP; 2-й win2003serv для vpn подкл.
Настроил vpn сервер по вот этому мануалу: http://system-administrators.info/?p=418
подключаюсь из магазина, но доступ к сети офиса и наоборот к сети салона получить не могу... где моя ошибка или что нужно добавить?? что почитать?
приму любой совет... сильно не пинайте 1-й раз столкнулся с этим...

guestik26rus, проверь на впн-сервере маршрутизацию (route print и вот это)

Товарищи, помогите советом!
Есть 2к3, на которой стоит винроут и развёрнут pptp впн-сервер (ага, виндовый). Одна сетевуха смотрит внутрь и сидит на 192.168.0.*, во вторую воткнут езернет от провайдера. Впн сидит на 192.168.10.*
Клиенты из большого мира подключаются на внешнку, получают ip из пула 10.* и без проблем видят свой родной сервер 192.168.10.1
Задача стоит, чтобы эти же клиенты видели другие сервера в 192.168.0.*
Понятное дело, что, заглянув в route print на клиенте, видно, что клиент попросту не знает через что ему ходить в 0 подсеть. Если на клиенте сделать route add 192.168.0.0 mask 255.255.255.0 192.168.10.1 metric, скажем, 30, то клиент с радостью видит 192.168.0.* и счастливо ходит туда по rdp.
Собственно, вопрос: как виндовый vpn-сервер научить раздавать клиенту вышеупомянутый маршрут?
У винроута с разрешениями проблем нет.

ПыСы: добрая шутка. Если подключиться по pptp с андроида, то он без дополнительных телодвижений попадает по тому же rdp в 0 подсеть. А вот винда - фиг!

soarangel Один из вариантов: на клиентах в свойствах TCP/IP VPN соединения поставить галку "использовать шлюз в удаленной сети".

vlary
не помогает. Опять же, хотелось бы, чтобы клиенты при этом пользовались своим инетом, а не серверным (=

Upd.: емнип, при этой галке добавляется роут вида 0.0.0.0/24 в 192.168.10.1 с минимальной метрикой. То есть, должно бы, конечно, и в 192.168.0.* ходить через 10.1 - не не ходит.

Upd.2: ан-нет, как раз таки ходит. Но и инет идёт через впн и сервер, а этого хотелось бы избежать.

soarangel
Цитата:

а этого хотелось бы избежать

Но увы. PPP соединение (PPTP, L2TP) не умеет впаривать нужные маршруты клиенту (OpenVPN, Cisco IPSec делают это легко).
Второй вариант: настроить сервер чтобы он выдавал клиентам айпи из диапазона локальной сети 192.168.0.*, и настроить proxy arp. А если еще настроить и broadcast relay, клиенты даже будут видеть компы в сетевом окружении.

vlary
вы разрушили мой мир (:
Думаю, в сравнении с другими костылями, рядом с ярлыком на впн у клиента буду класть батник с маршрутом.
До тех пор, пока не научусь толком настроить микротик ессно (=

Интернет ADSL. Модем настроен в bridge. Подключаюсь к VPN через OpenVPN. Нужно мне VPN подключение для торрентов. IP у меня серый. Два серых IP не подключаются друг к другу, а иногда очень нужно. Хотел с помощью VPN как-то это решить. Примерно так, у VPN белый IP, открытые порты и он должен без проблем подключаться к серым IP, а я через него уже качаю на свой серый.
Подключаюсь к VPN, проверяю порт который у меня в µTorrent, "Порт закрыт". Проверяю при запущенном µTorrent который использует этот порт. В Kaspersky Internet Security 2013 этот порт открыт. Попробовал уже три разных провайдера VPN но порт не открывается.
Просканировав порты через сервис, получился такой результат, открыты порты:
22/tcp open ssh
80/tcp open http
443/tcp open https
444/tcp open snpp

у некоторых ещё открыт порт 1723 PPTP.

Прописываю порт 443 в µTorrent (в Касперском он открыт), проверяю, "Порт открыт" но входящих соединений всё равно нет. Почему нет входящих соединений если порт открыт?

Вот например здесь vpnbook.com/freevpn можно скачать файлы конфигураций для OpenVPN. Они имеют вот такие названия:
vpnbook-euro1-tcp80.ovpn
vpnbook-euro1-tcp443.ovpn
vpnbook-euro1-udp53.ovpn
vpnbook-euro1-udp25000.ovpn
Соответственно можно подключаться или по tcp или по udp. И эти порты получается открыты. Я подключаюсь по "vpnbook-euro1-udp53.ovpn". В µTorrent прописываю порт 25000, открываю его в Касперском, проверяю, "Порт закрыт". Хотя он открыт если смотреть по названиям файлов конфигурации.

Как определить какой порт открыт на VPN для входящих соединений чтобы к нему подключится?

Vania Подключением к VPN, Ваня, белого айпи не получишь. Получишь тот же НАТ, только яйца сбоку. А вот задачу имея белый айпи получить серый айпи в удаленной локалке VPN выполняет на ура.
Для этого, собственно, и создана.

Но 443 как-то открылся. Мне белый IP не нужен, мне нужно открыть порт для входящих соединений. Если через VPN это сделать не получится, тогда чем ещё можно попробовать открыть порты для входящих соединений?

Здесь russianproxy.ru обещают

Цитата:

Каждый наш клиент получает на сервере pptp-l2tp-vpn-russia-1.atomintersoft.com выделенный русский IP адрес - наши сервера маршрутизируют трафик между источниками и местами назначения (преобразование сетевых адресов (NAT) не используется). Ваш компьютер станет напрямую доступен из интернета, независимо от Вашего типа подключения. Сразу после установления VPN соединения, Вы сможете не только совершать исходящие запросы, но и принимать входящие.
Динамический выделенный IP адрес - Вы получаете адрес, динамически выбранный из наших пулов IP адресов, который будет закреплен только за Вами на всё время VPN сессии.
Постоянный выделенный IP адрес - мы присвоим Вашему логину постоянный IP адрес, который будет закреплен только за Вами на всё время действия пакета.

Vania
"Слышал звон, но не знаю, где он" (с) Народная погоаорка

Цитата:

vpnbook-euro1-tcp80.ovpn
vpnbook-euro1-tcp443.ovpn
vpnbook-euro1-udp53.ovpn
vpnbook-euro1-udp25000.ovpn

Поскольку во многих конторах злые админы (мои коллеги) всячески чморят юзеров, закрывая доступ наружу к любым портам, кроме tcp 80 443 и udp 53, необходимых для серфинга броузером, вот vpnbook и приготовила четыре типичные конфигурации для такого случая, на выбор.
Никакого отношения к пробросу портов это не имеет.

"Эх Ваня, я гуляю по Парижу..." (с) В. Высоцкий.

Цитата:

Мне белый IP не нужен, мне нужно открыть порт для входящих соединений

Пробросить порт ты можешь только имея белый айпи на WAN-порту своего роутера.
А иначе - никак. Для последующих НАТ, VPN и что еще там будет глубоко наплевать, что ты там хочешь пробросить.
Ибо это система-ниппель: туда - дуй, оттуда - х...

Если через IPv6, которые например предлагает http://www.gogo6.com можно как-то добиться того что мне нужно?