IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Сети (http://www.imho.ws/forumdisplay.php?f=145)
-   -   VPN: организация и настройка (http://www.imho.ws/showthread.php?t=61706)

SergeyFastEye 14.06.2004 09:19

VPN: организация и настройка
 
Предистория:
Есть контора, которая имеет 2 точки подключения к инет. Точки географически находятся в разных городах, каждой их них выделен свой диапазон из 4 ip-адресов. И все было бы нечего, если бы им вдруг не понадобилось выходить в Инет под одним айпишником. (программка там какая-то он-лайновская авторизует по айпишнику).
Проблема:
Добрые люди подсказили, что можно поднять VPN между точками и на одной из точек (пусть будет server) настроить IIS и тогда все будут счастливы (обе точки будут в свой программке входить под одним айпишником).
Вопросы:
1) Пусть IIS не проблема. Но вот с VPN никогда не сталкивался. Подскажте наиболее полный ресурс, где все это можно культурно почитать
2) Софт? т.е. VPN сервер, который можно было бы поставить под win98. Есть ли VPN сервер под win2000prof и winXP homeedition стандартный, или тоже какую софтину ставить?
Вобщем чего порекомендуете?
2) кто-нить уже сталкивался с данной проблемой? как решалось?
И собственно другие варианты решения проблемы (допустим, чего-нить там пров может у себя сам поправить, чтобы мне ковыряться не пришлось :) )

Всем ответившим сенкс!

FantomIL 14.06.2004 10:49

SergeyFastEye
организовать VPN сервер можно на любом серверном варианте Винды. Идешь в Control Panel -> Administrative tools -> Routing and Remote Access. Дальше говоришь, что хочешь это дело сконфигурировать в мастере отмечаешь, что тебе нужен VPN сервер. Дальше, как говорится, все просто и интуитивно понятно :)
Читать здесь http://www.networkdoc.ru/files/insop...l?gl19.html#28
Далее, насколько я знаю, в Kerio Winroute есть встроенный VPN сервер.
И, наконец, можно купить аппаратный роутер со встроенным VPN сервером.
Удачи. :)

Mamont-San 04.07.2004 01:04

Как правильно настроить Vpn сервер?
 
Создаю тему повторно, ибо в другом разделе не возымело результата.
Все что нашел на форуме, прочитал.
Помогите кто чем может, а то у меня скоро произойдет отвал башки. :help:

Значится так:
Внутренняя сеть 192.168.0.0(255.255.255.0)
Win2k Ent Server - DHCP и DNS сервер 192.168.0.3
Win2k Ent Server - Маршрутизатор 192.168.0.2, получает автоматом из DHCP.
Второй интерфейс, внешний выделенный IP.

Хочу установить VPN.
Ранее никогда это не делал и не очень понимаю что за зверь.

Для этого запускаю мастер в Routing and Remote Access.
1. Выбираю VPN,
2. протокол TCP/IP
3. выбираю интерфейс подключение к интернету
4. выбираю способ назначения IP адресов клиентам, через DHCP
5. без RADIUS-а, авторизация Windows, пока по крайней мере.
Настраиваю клиента:
Указываю ему чтобы звонился на 192.168.0.2.
IP получать автоматически.

Звоню. Конектится. Проходит авторизацию. Регистрирует компьютер в сети. Далее:
Checking network protocol connections…
TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network. Ну и дальше он мне советует поменять имя компа и попробывать снова. Само собой это дело бесполезное.

Смотрю в DHCP. Он там арендовал несколько адресов, и один из них назначил Internal интерфейсу у маршрутизатора. Тоесть, как я понял именно он и есть интерфейс виртуальной сети.

Ну, я так понял, ip в одном сегменте, и соответственно регистрируя компьютер в сети, он наталкивается на совпадение имен.

Я полез к Internal интерфейсу, указал вручную диапазон адресов 192.168.100.1/192.168.100.254. Внутреннему будет соответствовать 192.168.100.1. Попробовал, та же перда. Указал что пользователь может задавать свой ip, и у клиента прописал этот ip – 192.168.100.10. Так он сказал: TCP/IP CP report error 735: The request address was rejected by the server. Но с рабочей станции пингует внутренний интерфейс 192.168.100.1!

Что я не так наламерил? :lamer:
Может клиент должен на внутренний ip стучаться?
Посоветуйте как все это правильно сделать. :молись:

leonski 04.07.2004 06:42

Цитата:

Сообщение от Mamont-San
...Win2k Ent Server - Маршрутизатор 192.168.0.2, получает автоматом из DHCP.Второй интерфейс, внешний выделенный IP...

...Я полез к Internal интерфейсу, указал вручную диапазон адресов 192.168.100.1/192.168.100.254. Внутреннему будет соответствовать 192.168.100.1...

Как я понял из твоего высказывания выше, твой W2k router получает 192.168.0.2 автомвтом из DHCP. Зачем? Пропишы ему статический IP. Так же буть уверен что твой DHCP scope выдает не пересекающиеся IP адреса клиентам. Как ты указал выше, твоя сеть 192.168.0.0(255.255.255.0) то как это ты собираешся использовать диапазон 192.168.100.1 - 192.168.100.254 когда твоя сеть имеет маску 24? Так как ты пока не используешь RADIUS сервер то смотри event viewer твоего VPN сервера, там обычно фиксируется кто и как, когда законектился, а так же если нет, то почему нет. Какой тунельный протокол ты используешь для своих клиентов? Я думаю ты знаешь что для L2TP/IPSec нужен CA

Mamont-San 04.07.2004 12:58

Цитата:

Сообщение от leonski
Как я понял из твоего высказывания выше, твой W2k router получает 192.168.0.2 автомвтом из DHCP. Зачем? Пропишы ему статический IP.

Статический ip ему ничего не дает, в DHCP он зарезервирован.
Но для приличия укажу.

Цитата:

Сообщение от leonski
Так же буть уверен что твой DHCP scope выдает не пересекающиеся IP адреса клиентам.

Выдает пересекающиеся. :(
И я собстно немогу понять как ему это запретить.
Я вот думаю не может тут влиять что 192.168.0.2 зарезервирован в DHCP?
Ведь вроде как внутренний интерфейс роутера использует мак-адрес интерфейса внутреннй сети... :rolleyes:

Цитата:

Сообщение от leonski
Как ты указал выше, твоя сеть 192.168.0.0(255.255.255.0) то как это ты собираешся использовать диапазон 192.168.100.1 - 192.168.100.254 когда твоя сеть имеет маску 24?

Клиенты получают ip из DHCP, плюс VPN должен выдавать им тот же ip? :rolleyes:

Цитата:

Сообщение от leonski
Так как ты пока не используешь RADIUS сервер то смотри event viewer твоего VPN сервера, там обычно фиксируется кто и как, когда законектился, а так же если нет, то почему нет.

Понял, посмотрю как до работы доберусь. :claps: :)

Цитата:

Сообщение от leonski
Какой тунельный протокол ты используешь для своих клиентов? Я думаю ты знаешь что для L2TP/IPSec нужен CA

PPTP :)

LX. 07.07.2004 12:00

Как настроить VPN через Router
 
Имеется HP 9304 (Routing Switch) на котором висит вся локалка.
В одном порту Cisco 2620 (80.250.x.x)
В другом HP 2650 Switch (192.168.11.x)

Можно ли к примеру только на 48 порт HP2650 вывести подсеть 80.250.x.x?

Скорее всего это делается через VPN, но как настроить 9304 и 2650?

-----
with Respect...

XoxoL 07.07.2004 12:19

Порт соедененный с роутером включаешь в транк, на сиске интерфейс расбираешь на подинтерфейсы, а порт подключаешь в необходимый вилан (соответствующий подинтерфейсу)

LX. 07.07.2004 18:22

Чесно гря я мало что понял. С цисками не дружу. Можно на пальцах объяснить?
Забыл ещё кое-чё:
Cisco 2620 включена в Switch HP 4108GL, а он уже в роутер.

На 4108GL есть закрытый VLan куда подключено несколько машин + Cisco2620

Получается мне нужно "объеденить" два закрытых VLan'а на разных свичах через роутер. Можно это сделать?

p.s.: Извиняюсь, за изначально неверные данные...

-----
with Respect...

Mamont-San 11.07.2004 17:33

Снес IAS, указал внутренний диапазон 192.168.100.1-192.168.100.255.
Теперь консктится, выдает клиенту адрес из указанного диапазона. Но инета нет! :idontnow:

1 комп, маршрутизатор, в домене 192.168.0.4
статический ip 192.168.0.1, шлюз пустой, dns 192.168.0.4

2 комп, клиентский, в домене192.168.0.4
DHCP-192.168.0.3, выделяет ip 192.168.0.10, шлюз 192.168.0.1, dns 192.168.0.4

VPN получает шлюз тот же что и его ip.
dns получает от локального интерфейса маршрутизатора.
тобишь ip 192.168.100.2, шлюз 192.168.100.2, dns 192.168.0.4 ???

Чего-то я не понимаю. :confused: Ну помогите разобраться... :help: :молись:

З.Ы. И кстати, у меня только один выделенный ip от провыйдера, а не подсеть. :rolleyes:

sasa001 21.07.2004 19:53

Mamont-San
Ti VPN megdu chem i chem hochesch postavit'?

mmv 25.07.2004 04:49

Если ты с машинки которая уже физически в локальной сети, пытаешся соединится с той же локальной сетью по VPN. то как раз получится
Checking network protocol connections…
TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network.
Помоему.
Это же не критическая ошибка. соединение не должно рватся.

Не тот ли случай?

Кстати на мой взгляд. когда была эта ошибка ты был ближе всего к цели. потом похоже ты не в ту сторону копал. тут только сеть майкрософт не сконфигурировалась а Сам VPN и TCP/IP похоже работали.
В той конфигурации по адресам интерфейсов VPN роутера пинговалось?

Mamont-San 26.07.2004 11:01

Суть вот в чем:
У меня сервер с двумя интерфейсами.
Один с выделенным ip в интернет, другой соответственно в локалку.
Я хочу чтобы юзеры в локалке подключались к интернету по VPN.
И вот тут начинается весь затык.

Проблему с выделение адресов я решил. Он как раз и смотрел из локалки в нее же. Исправил. Смотрит в интернет, но интернета нет. :(
Может я упустил чего?

А вот еще IGMP как должен быть настроен?
Интернетовский интерфойс обьявлять прокси, а внутренний маршрутизатором? :rolleyes:

mmv 26.07.2004 16:22

Насчет прокси что то я немного не понял, это ты где настраиваеш?

Ты клиентам Приватные IP раздаеш.
Значит для доступа нужен прокси (или NAT настраивать). у тебя что?

IGMP ? а он тебе вообще нужен? Это мультикастовый протокол для всяких вещей вроде радиовещания... в целом и без него все будет работать.

Mamont-San 26.07.2004 18:33

Про IGMP понял. У меня NAT. Диапазон он назначавет из одного ip, того же что на интернет интерфейсе, тогда маска (255.255.255.255). Это правельно? :confused:
Потом NAT ставится с локального интерфейса на интернетовский. А внутренний я так понимаю должен его настройки использовать? :rolleyes:

sasa001 26.07.2004 18:46

Mamont-San
Postav' na servak NAT+DHCP-server. Klientov nastroi na automat poluchenie IP pri vkluchenii. Tunnel VPN, kak ya ponyal, ti xochesch megdu client-server mutit'? Esli tak, to vse kruto...

sasa001 06.08.2004 10:37

Mamont-San
Кстати, попробуй OpenVPN 1.6 - для Виндов

Mamont-San 06.08.2004 13:57

У меня так и неполучился VPN. Как обычный сервер доступа в интернет я его делаю легко, но получается что все кто стучится на локальный интерфейс, получают доступ к интернету. Но как только делаю сервер удаленного доступа, все пропадает. :(

А OpenVPN что за зверь?

ivtip 06.08.2004 18:12

VPN между двух офисов
 
Народ подскажите как лучше сделать.
У меня есть два офиса, между ними лежит оптика.
В одном локальная сеть с АД, в другом сервер с БД.
что за оптика и чья не знаю. поэтому хочу настроить соединение через VPN.
На сервер должны попадать только пользователи домена. Это можно сделать встроенными средствами В2к.

Подскажите как лучше организовать это соединение, чтобы данные которые ходили бы между сервером и удаленными пользователями были понадежнее защищены и стоимость этого решения была не очень большой.

mmv 08.08.2004 17:47

У MS бывают странные ограничения на допустимые конфигурации.
например NAT и RRAS Dialin вроде бы на одной машине не работают :-(

Пропадает даже для не VPN клиентов?

Mamont-San 09.08.2004 08:47

ага :rolleyes:

XoxoL 09.08.2004 12:39

Попроси спецов померять оптику. Если резрывов нет - то и VPN тебе ни куда не уперся. Технологии снимать информацию с оптики без ее разрыва не существует.

Римо 09.08.2004 13:02

XoxoL
эт точна!
ivtip
шифруй трафик, сертифицируй юзеров, да масса вариантов... :)

ivtip 09.08.2004 13:19

Оптика на одном конце входит в чужое оборудование,
я где то в форумах читал, что уже могут снимать сигнал с оптики не врезаясь в канал.

Римо
А чем лучше шифровать, чтобы производительность не упала

ivahaev 09.08.2004 13:21

Цитата:

ivtip:
уже могут снимать сигнал с оптики не врезаясь в канал
Шпиёны чтоли? Кажется, в оптике одно из главных преимуществ, что нельзя "подслушать" канал...

ivtip 09.08.2004 14:10

ivahaev
Я не в курсе кто, к тому же я не большой спец по возможностям оптики.
просто в голове отложилось, что есть такое оборудование, а где и что это не помню, но интернет большой и информация разная бывает

XoxoL 09.08.2004 15:07

О какой скорости канала идет речь, и на какие деньги ты можешь расчитывать (порядок)

Цитата:

ivtip:
Оптика на одном конце входит в чужое оборудование,
я где то в форумах читал, что уже могут снимать сигнал с оптики не врезаясь в канал.
В оборудование, или просто через шкаф чужой идет? если в оборудование, то конечно могут. Как в принципе тебе предложено ее использовать - как физический канал, или подсоедениться через их оборудование?

Цитата:

ivahaev:
Шпиёны чтоли? Кажется, в оптике одно из главных преимуществ, что нельзя "подслушать" канал...
Если у Вас нет мании приследования, это еще не значит что за Вами не следят!... :biggrin:

ivtip 09.08.2004 19:07

XoxoL
Канал Е1,
входит в чужое оборудование, оттуда через медь на наш конвертер.
Деньги разумные, но если есть необходимость, то в районе десятки уе или больше.

XoxoL 09.08.2004 19:55

Ну тогда это по другому называется, а не
Цитата:

ivtip:
У меня есть два офиса, между ними лежит оптика.
Бери два роутера тира Cisco 2620 c аппаратным модулем кодирования, можещь туда еще и модуль уплотнения трафика всандалить (получишь 8метров для несжатого трафика) в десятку вложишся со свистом. Конфигурацию точно тебе интегратор подберет, да и настроить поможет.

shuron 09.08.2004 22:49

Цитата:

Сообщение от ivtip
ivahaev
Я не в курсе кто, к тому же я не большой спец по возможностям оптики.
просто в голове отложилось, что есть такое оборудование, а где и что это не помню, но интернет большой и информация разная бывает

Хочу тебя поддержать, даже проф. в универе о таком заикался...
покрайней мере о теоретической возможности, как бы не ломая кабель
можно подслушать. Но если даже такое есть, то как можно себе легко представить это дело сверхсекретно у спецслужб... и если оно существует то очень дорогое оборудование

короче обычной фирме пофиг, боятся думаю не стоит... ;)

ivtip 10.08.2004 11:13

XoxoL
А есть более дешевые или дорогие варианты?
Все-таки к руководству идти лучше когда у тебя есть несколько вариантов.
И где об этом почитать?

XoxoL 10.08.2004 12:22

Более дешевый - два любых рутера (хоть 2 старых писюка с линухой) с програмной возможностью кодирования, более дорогой - ... надо подумать, а сколько надо? :biggrin:
Цитата:

shuron:
Хочу тебя поддержать, даже проф. в универе о таком заикался...
покрайней мере о теоретической возможности, как бы не ломая кабель
можно подслушать.
Можно, только тебе физический контакт с волокном нужен (имеется ввиду световод), т.е. снять изоляцию, изогнуть под определенным углом световод и подключить считыватель, в принципе возможно все, но сколько это будет стоить, к тому же на анализаторе будет видно место игкиба в виде потерь.

ivtip 10.08.2004 13:44

XoxoL
Линух я плохо знаю,
а если на в2к используя на концах сервера удаленного доступа, только насколько это надежно и производительно, и достаточно ли будет двух серверов или еще какие-нибудь будут нужны?
а на файерволах можно, есть Д-Линки (300-700уе) с поддержкой ВПН или другие?

XoxoL 10.08.2004 14:09

Цитата:

ivtip:
Д-Линки (300-700уе)
- непотянут 2 мегобита, у них процессор слабый.
На винде можно настроить, для этого тебе надо будет 2 сервера с двумя сетевыми картами и довольно сильным процом (винда довольно требовательна к ресурсам). На винде настраиваешь с одной стороны VPN сервер, а с другой - клиента. Настраиваешь роутинг и вперед. Но решение на аппаратной платформе - надежнее и шустрее (imho).

ivtip 10.08.2004 15:01

XoxoL
я вообще хочу потом на Е3 перейти,
а на 5 тыс. уе или около есть какое-нибудь решение?
или на в2к3.

XoxoL 10.08.2004 17:10

Ну я же тебе и описал как на винде делать, без разници на какой 2К или 2к3, на 2003 даже понадежнее будет. Если надо более подробное решение - дай больше информации:
Количество рабочих мест в офисе 1
Количество рабочих мест в офисе 2
Количество серверов в офисе 1, 2
Используемое программное обеспечение
Место подключения интернета и т.д.
Просто опиши подробно задачу - что есть и что надо. Может и попроще все это решается. :)

Римо 11.08.2004 12:38

Цитата:

XoxoL:
Но решение на аппаратной платформе - надежнее и шустрее (imho).
полностью согласен! циску я на прошлой работе настроил один раз и не подходил к ней 3 года вааще... когда понадобилось переконфигурить - пришлось почитайку заново читать - все забыл! :biggrin:

ivtip 12.08.2004 11:09

XoxoL
В офисе1 лок сеть с Контролером домена В2к.
в офисе2 только выделенные сервера.
между ними ВОЛС Е1 (если получится, то будет Е3)
в интернет из лок сети пока не ходят.
Нужно:
- чтобы пользователи лок сети имели доступ к офису2 и трафик между ними был защищен.

Stanner 07.04.2005 00:24

Вопрос по VPN
 
При настройке VPN необходимо ли, чтобы VPN-сервер сам имел подключение к Интернету, или возможен вариант, когда он выходит через шлюз?
Конфигурация сети: Windows2003 сервер и около десятка машин, одна из которых является шлюзом. На шлюзе стоит Lan2Net (NAT, файрволл), настроенный пропускать VPN подключения.
Будут ли доходить запросы на VPN-подключение к серверу, и не получится ли дыры в безопасности?

quaker 07.04.2005 01:58

в винроуте есть например такая штука порт маппинг
те если идет запрос по поределенному порту на сервер то его собсно и переправляет
у меня немножно похожая ситуация вот я через него делал

Cartman 22.04.2005 16:39

Ситуация. Нужно настроить доступ к терминальному серверу из вне. Имеется сервер 4 инетрфейса 2 локальных 192,168,0,1 и 2, один с привешеным ДСЛ модемом 83.**.**.**, еще один openvpn.
На сервере стоит винроут.
На удаленном объекте то же самое. Какие настройки надо сделать у интерфейсов которые ставит openvpn? И по какому порту все это дело будет работать, чтобы прописать в nat и port-maping?


Часовой пояс GMT +4, время: 11:56.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.