Isotonic, руководство брал это (http://www.smart-soft.ru/?page=vpnser), как Вы поняли. Делал все в точности, как там написано. Оно что ли совсем плохое или я ошибся где-то?

На какой машине у Вас в сети работает сервер WC? 192.168.1.30?
Вы VPN-клиента можете пропинговать с сервера WC? »
Да. Да. Да.

C:\Documents and Settings\Администратор>netsh ras ip show config

IP-конфигурация RAS

Режим согласования: allow
Режим доступа: all
Режим запроса адреса: deny
Разрешение имени передачи: enabled
Режим назначения: pool
Пул:
192.168.2.1 - 192.168.2.5

Я эту игру в глаза не видел »
При нажатии в меню "Игра по локали" сразу появляется список доступных игр. Никаких кнопок "обновить" или "присоединиться к..." нет. Если игра появится, то появится, если нет, то нет.

Собираем оба лога »
Можно поподробнее и конкретнее о логах собственно. Я не очень понимаю, что от меня нужно. )

Это руководство в порядке. Раньше в топике Вы другую ссылку давали, на той странице сами посмотрите какие комментарии, а скачать руководство нельзя. По факту у Вас клиент использует MS-CHAP (хотя он в состоянии использовать MS-CHAP v2), а шифрование передаваемых данных отсутствует напрочь, как если бы Вы при редактировании профиля коммутируемых подключений на вкладке "Шифрование" оставили бы только флажок "Без шифрования". Предполагая, что Вы всё делали по инструкции, и исходя из вышеперечисленного я предположил "качество" этой инструкции :)

Забудьте о логах.

При нажатии в меню "Игра по локали" сразу появляется список доступных игр. Никаких кнопок "обновить" или "присоединиться к..." нет. Если игра появится, то появится, если нет, то нет. »
Этим пользуются стандартные пользователи, но мы-то с Вами типа админы? :) Неужели нет там какого-то подобия консоли, которая открывалась бы по волшебной кнопке, или запуска самой программы-клиента с определенными параметрами (прописанными в ярлыке)? Я гамаю только в Half-Life, и то, и то там есть. Дело в том, что информация о работающих в локальной сети серверах WC поступает в виде широковещательных рассылок, которые получают все компьютеры, находящиеся в локальной сети. Собственно, поэтому в игре есть специальное окно для неё :) Ваш VPN-клиент по факту не находится в локальной сети, он имеет к ней доступ только за счет того, что RRAS-сервер работает маршрутизатором: перенаправляет пакеты с интерфейса VPN на интерфейс LAN и обратно. Беда в том, что передача широковещательных пакетов роутерами запрещена в принципе, Microsoft это требование соблюдает чётко, и, чтобы мы с Вами не делали, RRAS эти пакеты маршрутизовать не будет.

Больше ничего в RRAS делать не надо. Ищите способы прямого указания сервера в WC-клиенте. Например, по-любому же можно указать его IP (192.168.1.30) в окне интернет-серверов (всего 2 типа серверов: lan и inet, если наш точно не первый, то он может быть только вторым)? Клиент-то всё равно к этому серверу пойдет правильным путём. Хотя возможно такое, что добавить сервер можно, но он в списке не появится без подтверждения с Blizzard (или кто там обслуживает список, в Steam так: сервер должен быть зарегистрирован на master-серверах).

только флажок "Без шифрования" »
я убрал вообще галочку "Без шифрования" теперь. А как посмотреть шифруются ли данные или нет?

еужели нет там какого-то подобия консоли »
Насколько я понял, полазив по форумам, разрабы либо "забыли", либо одно из двух. Но в итоге нашел прогу(lancraft), которая позволяет коннектится напрямую по IP. Так что вопрос видимо снят?

После изменений надо службу перезапустить. Если флажка нет, сервер просто не будет разрешать незашифрованные соединения. Точно увидеть это можно в текущих параметрах работающего соединения на клиенте, там где написан текущий IP-адрес и всё такое. Там есть строка "Шифрование", будет написано, какова стойкость (число бит).

Так что вопрос видимо снят? »
В этом топике точно :)

Схема построения в прикрепленных файлах

уважаемые админы.

у меня возник вопрос:

есть такая же топология сети, как и у автора - локальная сеть, в которой клиентские компы и сервер 2003. на данную локалку приходит инет через роутер (на нем поднимается впн).


хотелось бы на сервере 2003, который имеет статический адрес пднять впн, чтобы люди извне подключались к нему.

все это сделано. я через публичный адрес подключаюсь сам и люди извне то же подключаются. при поднятии впн соединения с сервером у клиентов пропадает интернет. как я понимаю, все пакеты начинают перекидываться не по интернет каналу провайдера, а по впн соединению с сервером 2003. т.е.
обычно пакеты бегут по LAN
при впн они все бегут по ВПН. так ли я понял?

хотелось бы отделить трафик, т.е. весь интернет трафик шел бы через роутер (как обычно) при соединении с севрером 2003 по впн.

на выходе хочется:

1.интернет через провайдера (статический адрес 93,х,х,х
2.локалка провайдера (10,х,х,х)
3.локалка в квартире (192,168,1,х
{все это работае, маршруты настроенны}

4.локалка по впн (192,168,2,х


прошу вашей помощи. заранее спасибо.

patrik011400, заметил такую же проблему, только интернет у клиентов не пропадает насовсем, а так, будто "отрывается". Но потом сразу начинает работать. С чем связано-не знаю.

patrik011400, monomah_v, посмотрите
результат route print у клиентов при поднятом впн до вас, проблема в маршрутах.

patrik011400, если бы не ты я и не заметил бы очень неприятную вещь:
C:\Documents and Settings\Ilya Vassyutovich>tracert forum.oszone.net

Трассировка маршрута к forum.oszone.net [89.108.74.133]
с максимальным числом прыжков 30:

1 863 ms * 1542 ms 192.168.2.1
2 880 ms 659 ms 719 ms 192.168.1.1
3 718 ms 742 ms 677 ms ppp91-77-244-1.pppoe.mtu-net.ru [91.77.244.1]
4 * 1604 ms 1037 ms a197-crs-1-be1-53.msk.stream-internet.net [212.188.1.113]
5 699 ms * 1262 ms a197-crs-1-be1-53.msk.stream-internet.net [212.188.1.113]
6 993 ms 760 ms 719 ms m9-cr02-po4.msk.stream-internet.net [195.34.59.49]
7 703 ms 743 ms 778 ms m9-cr01-po1.msk.stream-internet.net [195.34.59.53]
8 571 ms 1080 ms 760 ms TTK-m9.msk.stream-internet.net [195.34.38.2]
9 871 ms 757 ms 658 ms SkyMedia10-gw.transtelecom.net [217.150.39.5]
10 577 ms 742 ms 695 ms agava-po-gw.netflow.ru [88.212.194.50]
11 959 ms 755 ms 683 ms oszone.net [89.108.74.133]

Трассировка завершена.

Virtual, вот результаты команды
C:\Documents and Settings\Ilya Vassyutovich>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x20003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x30004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.216.74.68 10.216.74.68 2
0.0.0.0 0.0.0.0 192.168.2.4 192.168.2.4 1
10.6.6.6 255.255.255.255 10.216.74.68 10.216.74.68 1
10.216.74.68 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.216.74.68 10.216.74.68 50
91.77.244.184 255.255.255.255 10.216.74.68 10.216.74.68 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.2.4 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.2.255 255.255.255.255 192.168.2.4 192.168.2.4 50
224.0.0.0 240.0.0.0 10.216.74.68 10.216.74.68 2
224.0.0.0 240.0.0.0 192.168.2.4 192.168.2.4 1
255.255.255.255 255.255.255.255 10.216.74.68 10.216.74.68 1
255.255.255.255 255.255.255.255 192.168.2.4 192.168.2.4 1
Основной шлюз: 192.168.2.4
===========================================================================
Постоянные маршруты:
Отсутствует

0.0.0.0 0.0.0.0 10.216.74.68 10.216.74.68 2
0.0.0.0 0.0.0.0 192.168.2.4 192.168.2.4 1
»
Скорее всего проблемы в маршруте по умолчанию.

Для этого достаточно убрать галочку Использовать основной шлюз в удаленной сети делается это на стороне клиента через Свойства VPN подключения\Закладка сеть\Свойства протокола TCP IP \ Кнопка Дополнительно.

И еще один момент при таком подключении могут возникать проблемы с DNS.
Чтобы это проверить:
устанавливаете VPN подключение, убеждаетесь что оно работает;
ipconifg /flushdns
nslookup ya.ru

Вот ccылка на статью (http://www.redline-software.com/rus/support/articles/isaserver/config/work-around-vpn-clients-split-dns.php), в которой дядька рассказывает как обойти проблему. Не смотрите, что там написано про ISA Server проблема связана с виндовым VPN клиентом.

artem_, убрал я галочку. Теперь в инет клиенты выходят через свое соединение. но теперь не достучаться до 192.168.1.* совсем.
C:\>nslookup oszone.ru
*** Can't find server name for address 10.77.48.3: Non-existent domain
*** Can't find server name for address 10.77.48.2: Non-existent domain
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Server: UnKnown
Address: 10.77.48.3

Non-authoritative answer:
Name: oszone.ru
Address: 89.108.74.133

192.168.1.* » разбили VPN клиентов и локалку на разные подсети - получите!!!

Теперь для того, чтобы VPN клиентоы могли получить доступ к подсети 192.168.1.* вам придется редактировать таблицу маршрутизации на стороне клиента. Делается это скриптом. Есть еще один момент - для редактирования таблицы маршрутизации у юзера должны быть права админа.

К сожалению сейчас уже времени нету бегу домой. Если хотите завтра расскажу как это сделать.

Я бы не делил их на разные подсети и не имел бы гемора.

monomah_v, так маршруты теперь ручками добавлять нужно, о чем и писалось выше.

artem_, Я бы не делил их на разные подсети и не имел бы гемора. уверен что гемороя небыло-бы? ;)

Virtual, а что Вы можете предложить?

Давайте расставим все точки над и.

Для чего отделяют VPN клиентов и LAN клиентов в разные пулы IP адресов???
Это может потребоваться в нескольких случаях

1. Как и в начале этой статьи писалось для упрощения схемы маршрутизации.
Случай, когда клиенты из локальной сети, в которой находится VPN сервер, должны иметь возможность получать доступ к ресурсам, находящимся на VPN клиентах (ну очень редко требуется).
Это вообще то можно решить при помощи Статической маршрутизации пользователя см. Свойства пользователя\Закладка Входящие звонки\Использовать статическую маршрутизацию

2. Когда клиент подключается к VPN серверу, который в свою очередь расположен перед Внутренним файрволом (не думаю я, что у кого то из этих людей такая схема)

LAN - [FW] - [VPN Server] - [FW] - INTERNET

3. Или когда админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса).

Недостаток.
На стороне VPN клиента необходимо править таблицу маршрутизации, после того как VPN соединение установлено. Еще раз повторюсь - нужны админские права.

Дальнейший сценарий рассчитан, на тех кто хочет пустить у клиента интернет через его собственное подключение а не через VPN канал.
Для тех кому побарабану как он интернет будет получать (или ваще не будет во время VPN сеанса). Можно оставить галочку Использовать шлюз в удаленной подсети и не морочить голову.

Как поправить таблицу маршрутизации - сам с этим долбался и вот нашел решение.
Для этого нам понадобится CMAK (http://technet.microsoft.com/en-us/library/cc739464.aspx).
Создаем соединение по инструкции (на русском, как не странно) (http://www.redline-software.com/rus/support/articles/security/vpn/windows2008-connection-manager-administrationkit.php)

ВАЖНЫЙ МОМЕНТ: оставляем галочку использовать маршрут в удаленной подсети, мы его потом грохним!!!

Для того, чтобы переопределить (см. Рис 15 руководства) таблицу маршрутизации, вам нужно будет создать .txt файл следующего содержания

ADD 192.168.1.0 MASK 255.255.255.0 default METRIC default IF default
REMOVE_GATEWAY


1 строка добавляет новый статический маршрут в сеть 192.168.1.0, через VPN подключение (которое пока что является шлюзом по умолчанию).
Сколько подсетей, столько строчек только с разным идентификатором сети.
2 убивает шлюз по умолчанию (вот и не стало шлюза по умолчанию)

artem_, большое спасибо! поставил бы еще больше благодарностей, да нельзя!

Кхм, создал я значить подключение под 2003 сервом через СМАК. На XP x86 все работает, но вот под Vista x64 не хочет даже устанавливаться...
http://img2.immage.de/3103error.cpu.jpg (http://immage.de/)
И мне СМАК не предлагал выбирать ось, под которую надо было создать exe'шник, так как он показывал в руководстве(руководство-то под 2008)

Вам нужен CMAK для VISTы (http://support.microsoft.com/kb/941314) качайте Microsoft Remote Server Administration Tools for Windows Vista и будет вам счастье. Еще один момент, там есть еще куча прикольных штук для админа :)

Microsoft Remote Server Administration Tools for Windows Vista

Пакет адля администрирования MS Server'ов с Vistы. Эта хрень устанавливает вам дополнительные оснастки, которы появляются потом в Администрировании. У меня такая же штука на XP стоит. Только для XP.

Просто тема получилась мега большая не хочу постить дальше.
Можно поставить на сервер, только если есть 2008й в сети :). Там кстати эта штука встроенная.

P.S. если все получится не забудьте тему решенной отметить.

artem_, а этот "СМАК для висты" на висту ставить? или на сервер? а то я скачал-там ***.msu. И что с ним делать?

а нельзя что-то поставить на сервер, чтобы создавать с помощью СМАКа подключения для 64 битной Висты?

ясно. т.е. "изолированно" ото всех других осей нельзя? значит будем ставить на висту.. ((

А тема не моя, я ее в своих целях использую просто. )

Здравствуйте, подскадите пожалуйста, после создания подлючения в CMAK'е, может ли пользователь менять IP адрес (у сервера он динамический) и как это сделать. На рисунке 7 (в инструкции) видно, что он предлагает на выбор только два варианта: 1. Либо только один адрес
2. либо список, но я не могу заранее знать какой адрес серверу выдаст провайдер

Заранее благодарен.