Доброго времени.
Я не админ, любитель. Настроил, чтобы клиент подключался ко мне. Всё было идеально. Но вскоре с моим МГТС-овским внешним ip что-то случилось (жду ответа с форума МГТС) и теперь он определяется как 37.190.58.* - что, по-моему, совсем не внешний адрес, и впн-сервер на нём не сделаешь. Он даже не пингуется (в отличие от бывшего 95.165.136.*). А клиентская система (адрес 78.37.178.*, провайдер Ростелеком) бодро отвечает на пинг с задержкой в ~50 мс. Теперь пытаюсь поменяться местами - я клиент. Делаю всё тоже самое как у себя, но бьюсь об ошибку 800, журнал windows сообщает CoId={ACA189CA-E6D4-487A-8016-AD37B79A58BC}:Не удалось успешно отправить на сервер начальный запрос SSTP. Причиной могут быть неполадки сети или проблемы с сертификатами (доверием). Подробное сообщение об ошибке приведено ниже. Исправьте ошибку и повторите попытку. и предлагает веб-справку журнала (http://technet.microsoft.com/en-us/library/23898f08-7c85-4839-bfd8-caa2275a1f70.aspx). Я не спец, насколько понимаю, справка намекает о некорректно настроенной сети (не идёт нужный траффик).
Сервер и клиент - Windows 7 SP1 x64, "родные vpn-средства". Подключение через интернет (ADSL), форвардинг на обоих модемах настроен, антивирусы/firewall отключены (в т.ч. в модемах), "вторую" систему настраиваю самостоятельно (через TeamViewer).
Между нынешней ситуацией и успешными соединениями решил себе установить "все текущие" важные обновления windows (центр обновлений был отключен с момента установки системы). Но могло ли это так сильно повлиять... (во второй системе "не хватало" пару обновлений) Даже не понять - проблема ли эта в настройках, системе, в модеме или провайдерах.. Кто-нибудь мог бы создать аналогичное "родное" vpn для проверки, буду признателен.
Благодарю за любую полезную информацию.

37.190.58.* - что, по-моему, совсем не внешний адре »
очень даже внешний (http://whois.domaintools.com/37.190.58.0)
по остальному не подскажу...

вот как.. спасибо.. а почему же его нельзя пинговать? Вот точный адрес 37.190.58.8 (узнаю с помощью сайта 2ip.ru). А в веб-интерфейсе модема WAN IP Address 10.165.57.38 такой. Не уверен, что они должны совпадать, но у Ростелекома (во второй системе) совпадают...

Вот точный адрес 37.190.58.8 (узнаю с помощью сайта 2ip.ru). А в веб-интерфейсе модема WAN IP Address 10.165.57.38 такой. »
так адрес 37.190.58.8 принадлежит не модему, а провайдерскому оборудованию. Они и закрыли пинг.
совпадение IP адресов - это конфликт. :)
Какой раньше был адрес на модеме? 95.165.136.* ?

Извините, я не силён в деталях, только учусь..

Раньше на моём модеме был адрес 95.165.136.212, к нему без проблем по VPN коннектился Ростелекомовский vpn-клиент с адресом 78.37.178.*. Настройки ни своего, ни другого модема я не трогал.

Насчёт совпадения.
Хотел сказать:
- если зайти в модем (марки D-Link - второй системы) через его веб-интерфейс - можно обнаружить там адрес 78.37.178.*. Этот же адрес определяется и сайтом 2ip.ru. Он пингуется и делаю вывод, что это адрес выделенный (т.е. внешний. Наверно, я ошибаюсь с терминологией?)
- если я захожу на 2ip.ru со своего модема (марки ZTE), то вижу на сайте адрес 37.190.58.8. Пытаюсь его найти и в вэб-интерфейсе модема, но в разделе «WAN IP Address» вижу адрес «10.165.57.38». Мне кажется это странным (т.к. WAN IP в вэб-интерфейсе по идее должен быть таким же, каким его определяет "внешний сервис", например 2ip.ru. Либо я что-то путаю)

Peutrov
Да, примерно с 4 декабря, судя по логам, МГТС начал выдавать пользователям услуги "Интернет от МГТС" (ADSL) вместо "белых" динамических IP "серые".
Еще вдобавок обнаружил, что Cisco System VPN Client перестал цепляться, видимо 2 НАТа ему уже мешают. AnyConnect пока работает.
ссылка (http://forum.ru-board.com/topic.cgi?forum=8&topic=48407)

- если я захожу на 2ip.ru со своего модема (марки ZTE), то вижу на сайте адрес 37.190.58.8. Пытаюсь его найти и в вэб-интерфейсе модема, но в разделе «WAN IP Address» вижу адрес «10.165.57.38». Мне кажется это странным »
NAT (http://ru.wikipedia.org/wiki/NAT)
ссылка »
всё объясняет. теперь у вас нет белого адреса. вы теряете очень много фишек... (
Если я не ошибаюсь, VPN на сертификатах может подключаться к серым адресам. Но нужно что-то делать или нет на НАТе 37.190.58.8 - я не помню.

совпадение IP адресов - это конфликт »

Если (или -- когда) МГТС предоставлял "белый" адрес -- то IP на внешнем интерфейсе модема соответствовал тому IP, под которым этот модем выходил во внешнюю сеть (т.е. в интернет); т.е. это не конфликт, а реальный внешний IP-адрес.

Peutrov
Если же МГТС, как сказал Sphinx114, сменил политику выдачи адресов и теперь предоставляет "серые" адреса (а в тарифах сказано лишь, что предоставляется один динамический IP-адрес -- но не говрится что адрес будет "белым") -- то модем теперь подключается ко внутренней сети МГТС по адресу 10.165.57.38 и только оттуда выходит в интернет по общим для всех абонентов внешним адресам 37.190.58.*, выданным по NAT на этот раз уже самой МГТС. И прямой доступ извне на модем, подключённый через NAT МГТС, невозможен.

И надо в таком случае заказывать услугу типа "Фиксированный внешний IP" (если она ещё существует; с год назад я слез со Стрима, на котором сидел с первого же месяца его работы, указав в причине отказа: "Конец эпохи ADSL"), которая не является бесплатной.

mwz, я другое имел ввиду о конфликте.

Большое вам спасибо..
На форуме МГТС есть темы (http://mgts-support.ru/forum/11-381-1) об этом событии.. Sphinx114 вынес суровый вердикт.. Пользователи МГТС, звонившие в тех-под, рассказывают об их неадекватном поведении...
Но могу ли я создать vpn-сервер на "питерском Ростелекомовском адресе 78.37.161.1" (который пингуется) и "московским vpn-клиентом" к нему подключаться? Если могу, то в первом посте просил помощи - у меня не получается. Если из-за нововведений МГТС это невозможно - вопрос закрыт.. Но, если не ошибаюсь, любой может подключаться к "белому" напрямую..

Но могу ли я создать vpn-сервер на "питерском Ростелекомовском адресе 78.37.161.1" (который пингуется) и "московским vpn-клиентом" к нему подключаться? »
Я в сетях тоже не особо, но предположу. Судя по тому, что ты пишешь, ростелекомовский айпишник белый, но динамический, то есть чтобы там работал vpn-сервер, надо привязывать его текущий айпишник к доменному имени, тут придётся юзать сервис типа DynDNS. Можешь попробовать для проверки подключиться к ростелекомовскому компу через ammyy admin (http://www.ammyy.com/ru/) по IP. Прога проста как 3 копейки, полупортабельна. Если подключишься, то и vpn-сервер там скорее всего заработает.

Спасибо..
С ammyy admin знаком. Вместо ID ввожу 78.37.161.1, подключается "на ура".

Если правильно понимаю, динамический ip-адрес непостоянен и меняется после переподключения к "главной линии" - основное отличие динамического адреса. У меня на МГТС тоже был белый динамический ip. Ростелекомовский комп подключался к моему виндовому vpn-серверу, обходились без сторонних сервисов. Может быть, всё-таки дело в windows или настройках?
Попытка подключения меня к Ростелекому отваливается в моменте "проверка имени и пароля".. На "vpn-сервере" есть пользователь «1» с паролем «1» (у меня было так же), к нему тщетно пытаюсь подключиться..

Я не спец, насколько понимаю, справка намекает о некорректно настроенной сети (не идёт нужный траффик). »

Там не только на это намекает: там приведена методика выявления (troubleshooting) причины проблемы. Если с английским вы "на Вы" (а на русском этой статьи нет) -- нет ли у вас знакомого, который ориентируется хотя бы не в сетях, но в компьютерном английском, и который смог бы с вами посидеть полчасика чтоб пройти эти шаги?

И не исключено что МГТС перекрывает стандартный порт, используемый для VPN (как перекрывает порты 80, 8080 и с десяток других -- сведения о номерах закрытых портов у них раньше можно было найти) -- и тогда надо переводить VPN на какой-либо из нестандартных портов.

Ну и, как отметил Sphinx114, если Ростелеком даёт хоть и белый, но динамический адрес (т.е. такой, который может меняться) -- то надо заводить доменное имя третьего уровня (пример: мой домашний серверок практически всегда (если не лежит и если динамический IP не поменялся менее минуты назад) доступен по http://mwz.dyndns-home.com и по http://mwz-ru.homeserver.com при том, что IP у меня динамический) на сайтах типа http://www.no-ip.com/ , http://dyndns.com и нескольких других, которые предоставляют бесплатную услугу (расширенные услуги у них платные) по предоставлению динамического DNS.

Если в справке есть методика, с помощью которой я смогу выявить проблему, то в роли знакомого мне послужит google translator.. спасибо..
Не могу понять, для чего заводить доменное имя третьего уровня? Ведь соединение без него по vpn я уже успешно делал.. Доменное имя необходимо чтобы "серые" адреса подключались к "белому" или для того чтобы выявить проблему или потому что провайдер закрыл порты?
Если имеет смысл указать цель для которой мне нужно vpn-соединение - это игры через LAN с питерской девчонкой. И также для общего развития: почему на всех виндах с белым динамическим ip работает встроенный vpn-сервер, а у неё ни в какую. А может не работает именно у меня из-за портов МГТС. Тогда цель не оправдывает затраты.
С моей целью кто-нибудь посоветует использовать Hamachi, но Hamachi тоже не даёт прямое соединение (Настраивал по разным инструкциям. Когда у меня был белый - давал) и в таком плохом случае предлагает пинг свыше 200 мс (в прямом подключении ~50 мс). А мне разобраться с Hamachi также непросто как с данным топиком.

Не могу понять, для чего заводить доменное имя третьего уровня? »
Вначале ты писал, что у ростелекомовского компа айпишник 78.37.178.*, а теперь 78.37.161.1, значит он меняется. Можно конечно постоянно узнавать текущий адрес этого компа и прописывать в св-вах vpn-клиента, а можно привязать к постоянному имени и dns-сервер при запросе будет преобразовывать доменное имя в текущий айпишник. С серыми адресами всё посложнее.

наконец понял, спасибо... пусть меняется, ничуть не напрягает.. тем более меняется только после ребута модема.

Пробовал подключиться к питерскому Ростелекому с другого компьютера (провайдер NBN, белый или серый адрес - не узнавал) - подключается как и должно. Может.. к белому подключается только белый? Но я больше склоняюсь к тому что мгтс решил основательно нагнуть своих абонетнов..

Может.. к белому подключается только белый? »
что бы не задавать такие вопросы, вам нужно почитать об IP протоколе. Всё почитать.
Самый известный пример IP адреса - адрес места жительства.
г. Москва ул. Авиаторов д.х - это внешний адрес. Фамилия имя отчество - это внутренний адрес. Дом - локальная сеть.
Все в доме знают ваше ФИО. За пределами дома, т.е. локальной сети, известен только адрес дома - т.е. внешний адрес.

Если вы напишите письмо (отправите пакет) на внешний адрес с внутреннего - оно дойдёт.
Если вы напишите письмо только на внутренний адрес ФИО - Ивановых в России много...

Не уверен что смогу решить проблему прочитав всё об ip протоколе. Спасибо за пример. По своим догадкам считал точно также. Но "начитки" о протоколах, без практики, вряд ли хватит для того чтобы решать сетевые задачи, такие как у меня..
Таков вопрос, может ли серый подключиться к белому через vpn через два NAT? Сначала видимо прыжок в 10.*.*.*, потом 37.*.*.*.

Подключение через интернет (ADSL), форвардинг на обоих модемах настроен »
Я где-то вычитал, что иногда проброс не помогает и надо перевести модем в режим моста.

У меня usb 3g модем, подключения к впн отлично работают.