imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Интернет, Глобальные и Локальные сети > Сети
Опции темы
Старый 14.06.2004, 09:19     # 1
SergeyFastEye
Guest
 
Сообщения: n/a

VPN: организация и настройка

Предистория:
Есть контора, которая имеет 2 точки подключения к инет. Точки географически находятся в разных городах, каждой их них выделен свой диапазон из 4 ip-адресов. И все было бы нечего, если бы им вдруг не понадобилось выходить в Инет под одним айпишником. (программка там какая-то он-лайновская авторизует по айпишнику).
Проблема:
Добрые люди подсказили, что можно поднять VPN между точками и на одной из точек (пусть будет server) настроить IIS и тогда все будут счастливы (обе точки будут в свой программке входить под одним айпишником).
Вопросы:
1) Пусть IIS не проблема. Но вот с VPN никогда не сталкивался. Подскажте наиболее полный ресурс, где все это можно культурно почитать
2) Софт? т.е. VPN сервер, который можно было бы поставить под win98. Есть ли VPN сервер под win2000prof и winXP homeedition стандартный, или тоже какую софтину ставить?
Вобщем чего порекомендуете?
2) кто-нить уже сталкивался с данной проблемой? как решалось?
И собственно другие варианты решения проблемы (допустим, чего-нить там пров может у себя сам поправить, чтобы мне ковыряться не пришлось )

Всем ответившим сенкс!
 
Старый 14.06.2004, 10:49     # 2
FantomIL
NetMOD
 
Аватар для FantomIL
 
Регистрация: 19.05.2003
Адрес: МосПодЛод - НачВод-АккОт
Сообщения: 2 376

FantomIL СуперБогFantomIL СуперБог
FantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБогFantomIL СуперБог
SergeyFastEye
организовать VPN сервер можно на любом серверном варианте Винды. Идешь в Control Panel -> Administrative tools -> Routing and Remote Access. Дальше говоришь, что хочешь это дело сконфигурировать в мастере отмечаешь, что тебе нужен VPN сервер. Дальше, как говорится, все просто и интуитивно понятно
Читать здесь http://www.networkdoc.ru/files/insop...l?gl19.html#28
Далее, насколько я знаю, в Kerio Winroute есть встроенный VPN сервер.
И, наконец, можно купить аппаратный роутер со встроенным VPN сервером.
Удачи.
__________________
Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения...
---------
Репутация – это то, без чего могут жить люди с характером
FantomIL вне форума  
Старый 04.07.2004, 01:04     # 3
Mamont-San
Junior Member
 
Аватар для Mamont-San
 
Регистрация: 25.05.2003
Адрес: Moskow
Сообщения: 177

Mamont-San Нимб уже пробиваетсяMamont-San Нимб уже пробивается
Как правильно настроить Vpn сервер?

Создаю тему повторно, ибо в другом разделе не возымело результата.
Все что нашел на форуме, прочитал.
Помогите кто чем может, а то у меня скоро произойдет отвал башки.

Значится так:
Внутренняя сеть 192.168.0.0(255.255.255.0)
Win2k Ent Server - DHCP и DNS сервер 192.168.0.3
Win2k Ent Server - Маршрутизатор 192.168.0.2, получает автоматом из DHCP.
Второй интерфейс, внешний выделенный IP.

Хочу установить VPN.
Ранее никогда это не делал и не очень понимаю что за зверь.

Для этого запускаю мастер в Routing and Remote Access.
1. Выбираю VPN,
2. протокол TCP/IP
3. выбираю интерфейс подключение к интернету
4. выбираю способ назначения IP адресов клиентам, через DHCP
5. без RADIUS-а, авторизация Windows, пока по крайней мере.
Настраиваю клиента:
Указываю ему чтобы звонился на 192.168.0.2.
IP получать автоматически.

Звоню. Конектится. Проходит авторизацию. Регистрирует компьютер в сети. Далее:
Checking network protocol connections…
TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network. Ну и дальше он мне советует поменять имя компа и попробывать снова. Само собой это дело бесполезное.

Смотрю в DHCP. Он там арендовал несколько адресов, и один из них назначил Internal интерфейсу у маршрутизатора. Тоесть, как я понял именно он и есть интерфейс виртуальной сети.

Ну, я так понял, ip в одном сегменте, и соответственно регистрируя компьютер в сети, он наталкивается на совпадение имен.

Я полез к Internal интерфейсу, указал вручную диапазон адресов 192.168.100.1/192.168.100.254. Внутреннему будет соответствовать 192.168.100.1. Попробовал, та же перда. Указал что пользователь может задавать свой ip, и у клиента прописал этот ip – 192.168.100.10. Так он сказал: TCP/IP CP report error 735: The request address was rejected by the server. Но с рабочей станции пингует внутренний интерфейс 192.168.100.1!

Что я не так наламерил?
Может клиент должен на внутренний ip стучаться?
Посоветуйте как все это правильно сделать.
__________________
Ничего если я буду немного тупить...?
Mamont-San вне форума  
Старый 04.07.2004, 06:42     # 4
leonski
Junior Member
 
Регистрация: 16.07.2003
Сообщения: 134

leonski Путь к славе только начался
Цитата:
Сообщение от Mamont-San
...Win2k Ent Server - Маршрутизатор 192.168.0.2, получает автоматом из DHCP.Второй интерфейс, внешний выделенный IP...

...Я полез к Internal интерфейсу, указал вручную диапазон адресов 192.168.100.1/192.168.100.254. Внутреннему будет соответствовать 192.168.100.1...
Как я понял из твоего высказывания выше, твой W2k router получает 192.168.0.2 автомвтом из DHCP. Зачем? Пропишы ему статический IP. Так же буть уверен что твой DHCP scope выдает не пересекающиеся IP адреса клиентам. Как ты указал выше, твоя сеть 192.168.0.0(255.255.255.0) то как это ты собираешся использовать диапазон 192.168.100.1 - 192.168.100.254 когда твоя сеть имеет маску 24? Так как ты пока не используешь RADIUS сервер то смотри event viewer твоего VPN сервера, там обычно фиксируется кто и как, когда законектился, а так же если нет, то почему нет. Какой тунельный протокол ты используешь для своих клиентов? Я думаю ты знаешь что для L2TP/IPSec нужен CA
leonski вне форума  
Старый 04.07.2004, 12:58     # 5
Mamont-San
Junior Member
 
Аватар для Mamont-San
 
Регистрация: 25.05.2003
Адрес: Moskow
Сообщения: 177

Mamont-San Нимб уже пробиваетсяMamont-San Нимб уже пробивается
Цитата:
Сообщение от leonski
Как я понял из твоего высказывания выше, твой W2k router получает 192.168.0.2 автомвтом из DHCP. Зачем? Пропишы ему статический IP.
Статический ip ему ничего не дает, в DHCP он зарезервирован.
Но для приличия укажу.

Цитата:
Сообщение от leonski
Так же буть уверен что твой DHCP scope выдает не пересекающиеся IP адреса клиентам.
Выдает пересекающиеся.
И я собстно немогу понять как ему это запретить.
Я вот думаю не может тут влиять что 192.168.0.2 зарезервирован в DHCP?
Ведь вроде как внутренний интерфейс роутера использует мак-адрес интерфейса внутреннй сети...

Цитата:
Сообщение от leonski
Как ты указал выше, твоя сеть 192.168.0.0(255.255.255.0) то как это ты собираешся использовать диапазон 192.168.100.1 - 192.168.100.254 когда твоя сеть имеет маску 24?
Клиенты получают ip из DHCP, плюс VPN должен выдавать им тот же ip?

Цитата:
Сообщение от leonski
Так как ты пока не используешь RADIUS сервер то смотри event viewer твоего VPN сервера, там обычно фиксируется кто и как, когда законектился, а так же если нет, то почему нет.
Понял, посмотрю как до работы доберусь.

Цитата:
Сообщение от leonski
Какой тунельный протокол ты используешь для своих клиентов? Я думаю ты знаешь что для L2TP/IPSec нужен CA
PPTP
__________________
Ничего если я буду немного тупить...?
Mamont-San вне форума  
Старый 07.07.2004, 12:00     # 6
LX.
Guest
 
Сообщения: n/a

Как настроить VPN через Router

Имеется HP 9304 (Routing Switch) на котором висит вся локалка.
В одном порту Cisco 2620 (80.250.x.x)
В другом HP 2650 Switch (192.168.11.x)

Можно ли к примеру только на 48 порт HP2650 вывести подсеть 80.250.x.x?

Скорее всего это делается через VPN, но как настроить 9304 и 2650?

-----
with Respect...
 
Старый 07.07.2004, 12:19     # 7
XoxoL
::VIP::
 
Аватар для XoxoL
 
Регистрация: 18.02.2004
Адрес: 127.0.0.1 - жду хакеров в гости!
Сообщения: 656

XoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL ГуруXoxoL Гуру
Порт соедененный с роутером включаешь в транк, на сиске интерфейс расбираешь на подинтерфейсы, а порт подключаешь в необходимый вилан (соответствующий подинтерфейсу)
__________________
Саксовость мастдая в том, что рулезность его фич глюкава!
XoxoL вне форума  
Старый 07.07.2004, 18:22     # 8
LX.
Guest
 
Сообщения: n/a

Чесно гря я мало что понял. С цисками не дружу. Можно на пальцах объяснить?
Забыл ещё кое-чё:
Cisco 2620 включена в Switch HP 4108GL, а он уже в роутер.

На 4108GL есть закрытый VLan куда подключено несколько машин + Cisco2620

Получается мне нужно "объеденить" два закрытых VLan'а на разных свичах через роутер. Можно это сделать?

p.s.: Извиняюсь, за изначально неверные данные...

-----
with Respect...

Последний раз редактировалось LX.; 07.07.2004 в 18:26.
 
Старый 11.07.2004, 17:33     # 9
Mamont-San
Junior Member
 
Аватар для Mamont-San
 
Регистрация: 25.05.2003
Адрес: Moskow
Сообщения: 177

Mamont-San Нимб уже пробиваетсяMamont-San Нимб уже пробивается
Снес IAS, указал внутренний диапазон 192.168.100.1-192.168.100.255.
Теперь консктится, выдает клиенту адрес из указанного диапазона. Но инета нет!

1 комп, маршрутизатор, в домене 192.168.0.4
статический ip 192.168.0.1, шлюз пустой, dns 192.168.0.4

2 комп, клиентский, в домене192.168.0.4
DHCP-192.168.0.3, выделяет ip 192.168.0.10, шлюз 192.168.0.1, dns 192.168.0.4

VPN получает шлюз тот же что и его ip.
dns получает от локального интерфейса маршрутизатора.
тобишь ip 192.168.100.2, шлюз 192.168.100.2, dns 192.168.0.4 ???

Чего-то я не понимаю. Ну помогите разобраться...

З.Ы. И кстати, у меня только один выделенный ip от провыйдера, а не подсеть.
__________________
Ничего если я буду немного тупить...?

Последний раз редактировалось Mamont-San; 11.07.2004 в 19:08.
Mamont-San вне форума  
Старый 21.07.2004, 19:53     # 10
sasa001
Guest
 
Сообщения: n/a

Mamont-San
Ti VPN megdu chem i chem hochesch postavit'?
 
Старый 25.07.2004, 04:49     # 11
mmv
Junior Member
 
Регистрация: 26.11.2002
Сообщения: 55

mmv Путь к славе только начался
Если ты с машинки которая уже физически в локальной сети, пытаешся соединится с той же локальной сетью по VPN. то как раз получится
Checking network protocol connections…
TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network.
Помоему.
Это же не критическая ошибка. соединение не должно рватся.

Не тот ли случай?

Кстати на мой взгляд. когда была эта ошибка ты был ближе всего к цели. потом похоже ты не в ту сторону копал. тут только сеть майкрософт не сконфигурировалась а Сам VPN и TCP/IP похоже работали.
В той конфигурации по адресам интерфейсов VPN роутера пинговалось?

Последний раз редактировалось mmv; 25.07.2004 в 04:55.
mmv вне форума  
Старый 26.07.2004, 11:01     # 12
Mamont-San
Junior Member
 
Аватар для Mamont-San
 
Регистрация: 25.05.2003
Адрес: Moskow
Сообщения: 177

Mamont-San Нимб уже пробиваетсяMamont-San Нимб уже пробивается
Суть вот в чем:
У меня сервер с двумя интерфейсами.
Один с выделенным ip в интернет, другой соответственно в локалку.
Я хочу чтобы юзеры в локалке подключались к интернету по VPN.
И вот тут начинается весь затык.

Проблему с выделение адресов я решил. Он как раз и смотрел из локалки в нее же. Исправил. Смотрит в интернет, но интернета нет.
Может я упустил чего?

А вот еще IGMP как должен быть настроен?
Интернетовский интерфойс обьявлять прокси, а внутренний маршрутизатором?
__________________
Ничего если я буду немного тупить...?
Mamont-San вне форума  
Старый 26.07.2004, 16:22     # 13
mmv
Junior Member
 
Регистрация: 26.11.2002
Сообщения: 55

mmv Путь к славе только начался
Насчет прокси что то я немного не понял, это ты где настраиваеш?

Ты клиентам Приватные IP раздаеш.
Значит для доступа нужен прокси (или NAT настраивать). у тебя что?

IGMP ? а он тебе вообще нужен? Это мультикастовый протокол для всяких вещей вроде радиовещания... в целом и без него все будет работать.
mmv вне форума  
Старый 26.07.2004, 18:33     # 14
Mamont-San
Junior Member
 
Аватар для Mamont-San
 
Регистрация: 25.05.2003
Адрес: Moskow
Сообщения: 177

Mamont-San Нимб уже пробиваетсяMamont-San Нимб уже пробивается
Про IGMP понял. У меня NAT. Диапазон он назначавет из одного ip, того же что на интернет интерфейсе, тогда маска (255.255.255.255). Это правельно?
Потом NAT ставится с локального интерфейса на интернетовский. А внутренний я так понимаю должен его настройки использовать?
__________________
Ничего если я буду немного тупить...?
Mamont-San вне форума  
Старый 26.07.2004, 18:46     # 15
sasa001
Guest
 
Сообщения: n/a

Mamont-San
Postav' na servak NAT+DHCP-server. Klientov nastroi na automat poluchenie IP pri vkluchenii. Tunnel VPN, kak ya ponyal, ti xochesch megdu client-server mutit'? Esli tak, to vse kruto...
 
Старый 06.08.2004, 10:37     # 16
sasa001
Guest
 
Сообщения: n/a

Mamont-San
Кстати, попробуй OpenVPN 1.6 - для Виндов
 
Старый 06.08.2004, 13:57     # 17
Mamont-San
Junior Member
 
Аватар для Mamont-San
 
Регистрация: 25.05.2003
Адрес: Moskow
Сообщения: 177

Mamont-San Нимб уже пробиваетсяMamont-San Нимб уже пробивается
У меня так и неполучился VPN. Как обычный сервер доступа в интернет я его делаю легко, но получается что все кто стучится на локальный интерфейс, получают доступ к интернету. Но как только делаю сервер удаленного доступа, все пропадает.

А OpenVPN что за зверь?
__________________
Ничего если я буду немного тупить...?
Mamont-San вне форума  
Старый 06.08.2004, 18:12     # 18
ivtip
Junior Member
 
Регистрация: 22.05.2003
Сообщения: 82

ivtip Путь к славе только начался
VPN между двух офисов

Народ подскажите как лучше сделать.
У меня есть два офиса, между ними лежит оптика.
В одном локальная сеть с АД, в другом сервер с БД.
что за оптика и чья не знаю. поэтому хочу настроить соединение через VPN.
На сервер должны попадать только пользователи домена. Это можно сделать встроенными средствами В2к.

Подскажите как лучше организовать это соединение, чтобы данные которые ходили бы между сервером и удаленными пользователями были понадежнее защищены и стоимость этого решения была не очень большой.
ivtip вне форума  
Старый 08.08.2004, 17:47     # 19
mmv
Junior Member
 
Регистрация: 26.11.2002
Сообщения: 55

mmv Путь к славе только начался
У MS бывают странные ограничения на допустимые конфигурации.
например NAT и RRAS Dialin вроде бы на одной машине не работают :-(

Пропадает даже для не VPN клиентов?
mmv вне форума  
Старый 09.08.2004, 08:47     # 20
Mamont-San
Junior Member
 
Аватар для Mamont-San
 
Регистрация: 25.05.2003
Адрес: Moskow
Сообщения: 177

Mamont-San Нимб уже пробиваетсяMamont-San Нимб уже пробивается
ага
__________________
Ничего если я буду немного тупить...?
Mamont-San вне форума  

Опции темы

Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 13:35.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.