» VPN: вся информация в этой теме

DarkDiamond
Разбирайся с сетями в центре и филиалмх.
Адреса не должны дублироваться.
Ну и ИМХО, такие серьезные вещи на туполинках
или дедлинках не делают.

vlary
ну как бы, согласно начальной постановке задачи, сети уже не пересекаются - VPN работает...
А ругается на дублирование сетей только при попытке создать второй тоннель с той же удаленной подсетью для второго WAN порта.
А TL-ER6120 это вообще-то вполне серьезный девайс класса сохо - далеко не сиська конечно, но и не совсем фуфло.
Но если ли VPN-транкинг на этой модели(он бывает отказоустойчивый или балансировочный) вот в чем вопрос.

Добавлено:
в принципе можно конечно попробовать балансировку WAN и алиас на DDNS с созданием VPN по алиасу а не IP, но не факт что это возможно именно на этой модели оборудования.

Jon_Dow
Для создания двух активных впн - тебе надо создать два пути в один адрес через разные интерфейсы. например, в juniper это делается через routing instances (по сути, две таблицы маршрутизации в одном устройстве). сомневаюсь, что такое есть в тплинках....
ещё как вариант - можно сделать один активный ВПН, и переход на другой при неработающем первом. Проще, вроде даже на микротиках и всяких dd-wrt такое есть

vertex4
мне рассказывать не надо что делать для VPN-транкинга - я живу на Vigor 3900 + Vigor 2920 +Vigor 2860 + Vigor 2131 и какбэ на практике знаю всю эту теорию в аппаратной реализации - у меня это все уже работает: где в балансировке, где в резервировании.
А вопрос задавал DarkDiamond - я по мере возможностей постараля прояснить ситуацию и отсечь ответы не имеющие отношения к конкретной ситуации.
Вот как раз по поводу dd-wrt имеет смысл посммотреть встанет ли он в качестве альтернативки на TL-ER6120 v1.0

Добрый день дорогие друзья, есть не простая задачка, Начальство хочет от меня отчет по трафику в офисе, 22 рабочие машины и 3 сервера. Платную программу покупать она не хочет, бесплатные проги не о чем. может кто посоветовать хорошую (бесплатную) программку простенькую которая просто будет считывать с машин в сети сколько они расходуют трафика, или скинуть прогу с таблеткой. Спасибо за помощь!

Только просьба без тролей и кепов очевидностей, типо спроси у гугла или если фирма то плати и тд.

GoraArm
Вы хотите получить возможности прокси-сервера. Вот и ищите их. Самый продвинутый, на мой взгляд - squid. Для ленивых - usergate.

Цитата:

Вы хотите получить возможности прокси-сервера. Вот и ищите их. Самый продвинутый, на мой взгляд - squid. Для ленивых - usergate.

Ну прокси это сильно сказано squid и usergate платные программы они не подходят

GoraArm

Цитата:

Ну прокси это сильно сказано

А что, вам нужен электросчётчик?

Цитата:

squid и usergate платные программы

Чё? Точнее RTFL.

GoraArm
Может в вашем случае и не подойдет, но когда в нашей конторе был лимитированный спутниковый интернет, то просто урезал всё на прокси (можно skydns, или касперским webcontrol воспользоватся), что не относится к работе, - и сразу отпало желание у руководства трафик считать. Укладывались в тариф.

..эхх.. какую тему убили ниачомным "новым" вопросом..
расстрелять, к чёртовой матери расстрелять чукчей-писателей, плодящих новые топики вместо поиска..

настриваю IKEv2 VPN на Windows Server 2012 R2. и не получается.
есть контроллер домена с центром сертификатов DC-1
VPN сервер с NPS (L2TP\IPsec c общим ключом работает)
Windows 8 в качестве недоменного клиента. Настройки ниже:



так вот сразу после настройки всё работало. клиент подключался и из локальной сети, из если его "переместить" за NAT. Примерно через час, пока я подготавливал тоже самое на рабочем сервере - перестало работать. На рабочем сервере вообще не заработало.
Сертификат действительный
нужные EKU присуствуют
выдан на имя сервера, которое совподает с именем VPN сервера
что ему не нравится? почему не работает?

Цитата:

что ему не нравится? почему не работает?

да *уй его знает
у пе*арасов из мекрасовта спросите

Добрый день.
Сразу извиняюсь, если вопрос слишком ламерский, но раньше не приходилось объединять более двух сетей. И вот пришло время расширяться до 4 сетей.

1 - центральный офис, железки еще нет
2 - офис, Linksys LRT224-EU
3 - офис, Cisco SB RV180
GC - Google cloud

Задача. Нужно чтобы офисы 2 и 3 видели машины в Google cloud.

Lyolic
Цитата:

Нужно чтобы офисы 2 и 3 видели машины в Google cloud

непонятно - нафига тянуть трафик через головной офис, всё-рно ведь в облако выходят..
т.е шо мешает 2 и 3 соединяться напрямую с гуглом, учитывая, шо все изменения будут доступны и в 1..

TheBarmaley TMP

Цитата:

непонятно - нафига тянуть трафик через головной офис, всё-рно ведь в облако выходят..
т.е шо мешает 2 и 3 соединяться напрямую с гуглом, учитывая, шо все изменения будут доступны и в 1..

Я тоже об этом думал, но есть но... Гугл за каждый тунель берет отдельно плату, 2 дополнительных тунеля потянут на более $70 в месяц. Трафик небольшой на гугл.

Lyolic
Цитата:

Трафик небольшой на гугл.

если трафик не оправдывает затрат - зачем впн?
неужто недостаточно стандартной авторизации в гугло-доках? как понимаю - юзаются именно они, не?

и второе - ваще не вижу смысла вываливать в облако, если всё-рно есть прямая связь с головной конторой..
я к тому, шо лично я бы пересмотрел саму концепцию хранения "гамажек" и работы с ними..
может быть, в твоём случае найдутся и более простые варианты, чем лепить костыли..
скажем, некий внутренний сервис документооборота.. =)

TheBarmaley TMP

Цитата:

неужто недостаточно стандартной авторизации в гугло-доках? как понимаю - юзаются именно они, не?

Цитата:

видели машины в Google cloud

Там терминал-сервер, и хранится все, что нужно хранить подальше.

Lyolic
Цитата:

Там терминал-сервер

ясно.. хитрая конструкция, однако.. сам так не делал, потому влёт не подскажу..

если "на пальцах", представляется примерно так: оф.2/3 коннектятся к оф.1, в 1 стоит некий портмаппер рдп на удалённый ТС, с которым 1 коннектится уже "от своего имени".. т.е. свести задачу к разрешению на впн-шлюзе оф.1 работы по рдп с хостов из 2/3, а на этих хостах в качестве ТС указать адрес/порт выходной железки с портмапом, стоящей в 1..

сугубо имхо - лучше всю эту хрень мутить на железках, т.ч. пока в оф.1 её нет - нет смысла и репу чесать..
потому как конкретная настройка будет зависеть от конкретной же железки..

TheBarmaley TMP

Цитата:

потому как конкретная настройка будет зависеть от конкретной же железки..

Поэтому и спросил до покупки железки, пока есть свобода выбора
И кроме рдп нужны как минимум файлошары.

Подскажите начинающему сисадмину...

У меня такая задача, есть небольшой офис и есть удаленный компьютер C.

В офисе есть сеть (в основе ее роутер АСУС в котором есть VPN Server)

Компьтер С является домашним компьютером пользователя и он поключен к городской сети, ну к провайдеру.
Т.е. у него есть сеть города, он как бы рядом с этими компами (назовем их компьютер D, E, F....) находиться и видит их, а они видят его.


Компьтер С поднимает VPN соединение и коннектиться к VPN Server'у в офис.


Вопрос:

У компьютера С получается есть VPN и он виртуально-локально соединен с офисом.
С другой стороны у него есть локальная сеть города (компьютеры D, E, F...).

Вот эти городские компьютеры D, E, F НЕ ИМЕЮТ ДОСТУПА В ОФИС через компьютер С ??!!

Т.е. на Коспьютере С есть две сети, и как-бы он их может быть обьеденяет и тогда город получает доступ
к офису, ЧЕГО НЕЛЬЗЯ ДОПУСТИТЬ?!


Где-то нашел про тему VPN сеть-сеть и точка-сеть...
Но так и не понял...

Ответьте плиз, кто с опытом, безопасно ли так делать?
Не получат ли городские компьютеры доступ в офис?!!!

Буду примного благодарен, если ответите мне и на почту robot1970@gmail.com!

lumix33
Собственно, для этого и существует галка "использовать шлюз в удаленной сети",
которую постоянно отключают. Хотя это понижает безопасность.
Теоретически когда юзер установил соединение, но остался также доступен
из интернета, злоумышленник может этим воспользоваться.
Отсюда эта галка, при которой весь трафик уходит через VPN сервер,
поэтому никто снаружи добраться к этому ПК не сможет.
Админ VPN должен заботиться, чтобы все программы на ПК клиента,
требующие интернет (аська, скайп, броузер) продолжали нормально работать,
но уже через корпоративную инфраструктуру (NAT, firewall, proxy)
со всеми фильтрами, обеспечивающими безопасность..

Ага, т.е. я читал про эту галку, и все ее отключать норовят...
Т.е. Если на компьютере-клиенте запускаю туннель, и галку оставляю,
то этим я просто отрезаю этот комп от городской сети.
Т.е. весть траффик и интернет теперь будет идти по туннелю и интернет запросы тоже (их обработает сеть оффиса и вернет мне)

Если галку оставляю, то и туннель работает, и интернет работает...
Но конкретно соседние компы, могут достучаться?
Т.е. например, шары компьютера-клиента что были открыты в городскую сеть, также будут им доступны или нет? Если в это время этот комп запустил VPN туннель?

Может кто подскажет ссылку на литературу, где подробно описано именно про соединение VPN узел-сеть? И безопасность относительно LAN сети, в которой этот узел находиться непосредственно....

lumix33
Цитата:

Может кто подскажет ссылку на литературу

Ну для начала глянь это:
http://www.aspe-it.com/offers/9284728_pickups/vpn_security.pdf
А потом смотри в сети, что найдешь по информационной безопасности.
Однако хочу сказать, что это отдельная дисциплина, требующая серьезного подхода,
организационных мер, финансовых вложений в оборудование, программные
средства, обучение персонала.

Появилась надобность в использовании ВПН клиентов для одной игрушки. Раньше никогда такими вещами не пользовался, поэтому возникло пару вопросов. Выбираю между Softether VPN и CyderGhost. Вобщем вот такой нубский вопрос, нужно ли выходить из аккаунтов(гугл, мейл и т.д.)? Не вознинет ли проблем, типа блокировки, не воспримет ли гугл такие манипуляции попыткой взлома? Или все ерунда? Помогите плиз.

Jarry77
Не нужно. Так же как продавать машину, квартиру и переезжать в другой город.

Огромное спасибо!

Добрый день. Подскажите пожалуйста, ситуация следующая:
ОС Windows 2012r2
Программа 1c 8.3 + ЗАО Калуга Астрал (модуль сдачи отчетности)
Установлена программа privateinternetaccess, т.к. фирм много нужно чтоб ip отправителя отчетов хоть иногда менялись.
Вопрос в следующем, с включенной программой privateinternetaccess приватность работает, но модуль отчетности проверку связи не проходит, выключаю privateinternetaccess проверку проходит.
может кто знает как решить проблему, или можно по другому реализовать возможность менять ip ?

Всем доброго времени суток.
Сталкнулся с одной непонятной вещью, прошу у вас помощи в решении данной вещи, суть следующего характера.

Имееться 2 ПК(W7) и 1Сервер (WS 2008 R2)
Все они заключены в локальную сеть.
Пулл: 192.168.120.100 /24 - 192.168.120.110 /24
Основной шлюз лан: 192.168.120.1

Имеються 2 ПК удаленных от локальной сети, для этих пк был сделан pptp vpn, все работает отлично, но тут мне поставили задачу изменить имя пользователя и пароль для подключения к vpn,

Я начал шарить сервер но на сервере не установлены роли удаленного подключения, и на сервере 1 сетевая карта, на которой интернет и собственнт сеть лан,

Так вот я не могу понять как сделана vpn сеть, подскажите пожалуйста как мне изменить имя пользователя и пароль от vpn.

Ps. К vpn подключению используеться wan ip сервера.

Заранее спасибо.

WithMe
Цитата:

Так вот я не могу понять как сделана vpn сеть

Просто блеск! Так и хочется написать
"обратитесь к вашему системному администратору", но для сети из трех компов...
Судя по pptp, сервер стоит все-таки на WS 2008 R2.
Тогда логин и пароль на доступ это юзеры, прописанные на этом сервере.
Но сервер может быть и на маршрутизаторе, который 192.168.120.1.
Лучшим вариантом было бы обратиться к тому, кто это все до тебя настраивал.
Второй вариант - настроить самому все заново, о поднятии RRAS в сети
куча всего написана, вот тут по-русски и с картинками: Ссылка

Проверял для подключения к VPN используется например имя пользователя :tratata, пароль Tratata

А пользователи установленные на ws (пример stt (логин) prpr(пароль))

Так же пытался подключиться к 192.168.120.1 (Пинг проходит) но в браузере не отображается ничего связанного с маршрутизатором (по сути ничего вообще не отображает кроме как страница не найдена.)