Добрый день коллеги!
Довольно долгое время работал vpn сервер на Windows 2003, но через какое то время стали происходить чудеса (то работает, то не работает).
Как потом выяснилось, проблема была в динамических ip провайдера, то есть через одни адреса трафик vpn проходит, через другие нет, как повезет.
После того как причина была понята, пытался качать права у провайдера, написал письмо и получил ответ следующего содержания:

Макрорегиональный филиал "Юг" ОАО "Ростелеком" по электронной почте, сообщаем следующее. Если, при авторизации Вы получаете серый IP адрес (это типовая схема подключения), то функции построения VPN по L3 Вы лишаетесь. При этом другие сервисы веб серфинга и т.д. прекрасно работают. Пути решения: 1. Заказать услугу статического IP адреса и проблем не будет. 2. Перезагружать модем до тех пор , пока не получит "белый" адрес. 3. Заказать услугу VPN у Ростелекома. С уважением, ОАО "Ростелеком"

Я ответ не совсем понял, что они подразумевают под серым ip адресом и чем отличается динамический от статического (кроме статичности)?
Есть подозрение, что на некоторых динамических ip сознательно блокируют протокол VPN c целью принудительного подключения к их услугам (услуга VPN просто нелепость какая то, выкачивание денег на пустом месте...).
Имеет ли право провайдер блокировать нужные мне порты?

что они подразумевают под серым ip адресом »
один ip адрес для нескольких клиентов
чем отличается динамический от статическог »
динамичный меняется при подключении, статичный - постоянный ip
Есть подозрение, что на некоторых динамических ip сознательно блокируют протокол VPN c целью принудительного подключения к их услугам »
при сером ip это просто проблема создавать vpn, так как может быть много клиентов на одном ip

То есть в динамические адреса помимо белых ip, стали вливать и серые Ip, поэтому и возникла проблема.
Но почему кроме сервера (к серверу подключаются через DDNS) страдают клиенты (ведь им в данном случае не нужно перенаправление порта)?
Возможно ли как то решить мою проблему, не пользуясь платными услугами провайдера?

Но почему кроме сервера (к серверу подключаются через DDNS) страдают клиенты (ведь им в данном случае не нужно перенаправление порта)? »
потому что за NAT'ом провайдера несколько компьютеров и к какому подключаться клиенты не могут определить

Возможно ли как то решить мою проблему, не пользуясь платными услугами провайдера? »
только...
Перезагружать модем до тех пор , пока не получит "белый" адрес. »

Цитата Ferum01:
Но почему кроме сервера (к серверу подключаются через DDNS) страдают клиенты (ведь им в данном случае не нужно перенаправление порта)? »
потому что за NAT'ом провайдера несколько компьютеров и к какому подключаться клиенты не могут определить »
Тут я вероятно не точно объяснил, предположим серверу мы присвоим белый ip. Тогда остаются проблемы у клиентов, справедливо ли еще и клиентам присваивать белые Ip?

справедливо ли еще и клиентам присваивать белые Ip? »
нет, главное чтобы сервер был доступен

справедливо ли еще и клиентам присваивать белые Ip? »
нет, главное чтобы сервер был доступен »
Есть ли у меня юридические основания, в требовании к оператору, полной открытости ip клиентов (без блокирования vpn портов)?

Есть ли у меня юридические основания, в требовании к оператору, полной открытости ip клиентов »
Чтобы говорить об юридических основаниях, надо читать текст существующего договора дословно. Но обычно провайдеры - не дураки, текст пишут типовой общего вида и в такие тонкости как наличие NAT или отсутствие - не вдаются, не хочешь заключать типовой - не заключай.
Если на начальном этапе развития провайдер может обеспечивать клиентов белыми адресами, то потом пул этих адресов исчерпывается и провайдер может применять другие технические схемы для поддержания развития.
Когда клиентов много и провайдер стал монополистом, он может с отдельными клиентами уже не считаться. Сейчас уже в основном произошла монополизация предоставления услуг проводной связи.

Есть ли у меня юридические основания, в требовании к оператору, полной открытости ip клиентов (без блокирования vpn портов)? »
а какое отношение провайдер имеет к вашим клиентам? Если у вас серый ip то открывать вам отдельные порты провайдер не обязан.

Цитата freese:
Есть ли у меня юридические основания, в требовании к оператору, полной открытости ip клиентов (без блокирования vpn портов)? »
а какое отношение провайдер имеет к вашим клиентам? Если у вас серый ip то открывать вам отдельные порты провайдер не обязан. »
Предположим серый ip у клиента, а у сервера белый ip.
Хотя это уже не важно. Сегодня опять был такой глюк (через оператора Ростелеком), поэтому попробовал подключиться к серверверу vpn через оператора МТС и о чудо соединение проходит. Далее пробую открытость портов (у Ростелекома) через сайт http://www.whatsmyip.org/port-scanner/ порт 1723 открыт. Далее прихожу к выводу, что Ростелеком каким то образом блокирует протокол GRE 47, так как соединение доходит до проверки пользователя, а потом пытается установить связь то по PPTP, то L2TP. Прихожу к выводу, что на одних IP Ростелекома протокол GRE 47 работает, на других нет. Может быть даже и байка, что у Ростелекома есть серые Ip.
Что с этим делать?

Я ответ не совсем понял, что они подразумевают под серым ip адресом и чем отличается динамический от статического (кроме статичности)? »
Серые адреса - специальные диапазоны 10.*.*.*, 172.*.*.*, 192.168.*.* - зарезервированные для внутренних локальных сетей. Доступ к серверам интернета с этого адреса возможен только через маршрутизатор, который выполняет специальную замену адресов (NAT). Доступ к устройству по этому адресу из интернета технически невозможен, так как такого адреса в интернете нет. Доступ к отдельным службам требует специальной настройки маршрутизатора.
Белый адрес - это адрес устройства из адресного пространства интернета. К такому устройству можно подключиться из любой точки мира (при условии, что оное не блокируют системы защиты самого устройства)

Есть подозрение, что на некоторых динамических ip сознательно блокируют протокол VPN c целью принудительного подключения к их услугам (услуга VPN просто нелепость какая то, выкачивание денег на пустом месте...). »
Судя по всему из-за переполнения выделенного диапазона белых адресов ваш оператор связи вынужден периодически назначать клиентам серые адреса из своей внутренней сети. В этом случае провайдер ничего вам не блокирует, однако при таком режиме подключение к службам вашего сервера невозможно в принципе (см. выше).

Но почему кроме сервера (к серверу подключаются через DDNS) страдают клиенты (ведь им в данном случае не нужно перенаправление порта)? »
Дело в том, что если ваш сервер получил серый адрес, то в службе dyndns регистрируется либо этот серый адрес, к которому технически невозможно подключиться (см. выше), либо белый адрес маршрутизатора провайдера, который является совершенно другим устройством.

Есть ли у меня юридические основания, в требовании к оператору, полной открытости ip клиентов (без блокирования vpn портов)? »
Повторяю - оператор связи ничего вам не блокирует. Он просто предоставляет услуги связи в соответствии с условиями договора.
Интернет у вас работает? Да, работает в полном объёме. Вы можете подключаться к любым внешним службам и сайтам.
У вас в договоре прописано обязательное наличие белого адреса на оконечном устройстве и/или возможность приёма входящих соединений по используемому тарифу? Нет, не прописано. Значит вам его предоставляют "по возможности"?
Хотите, чтобы эта возможность была всегда? Хорошо, перейдите на тариф, обеспечивающий данную возможность.
Можете даже заказать себе постоянный адрес, чтобы вместо использования всяких костылей dyndns обслуживать своих клиентов по постоянному IP-адресу или зарегистрировать свой сервер с нормальным именем.

Именно так работает Невидимая Рука Рынка, во имя которой 25 лет тому назад была разрушена наша страна.
Есть продавец, у него есть сколько-то товара (в данном случае - белые IP-адреса), есть сколько-то покупателей. Если конкретному покупателю товар нужен больше, чем другим покупателям, он предлагает большую цену.
Если у Васи Пупкина интернет работает и на сером адресе, он ничего не доплачивает.
А если ИП Пупкин запустил у себя сервер, которому очень сильно нужен белый IP, значит Невидимая Рука Рынка хорошо пошарится по его кошельку.

Серые адреса - специальные диапазоны 10.*.*.*, 172.*.*.*, 192.168.*.* - зарезервированные для внутренних локальных сетей. Доступ к серверам интернета с этого адреса возможен только через маршрутизатор, который выполняет специальную замену адресов (NAT). Доступ к устройству по этому адресу из интернета технически невозможен, так как такого адреса в интернете нет. Доступ к отдельным службам требует специальной настройки маршрутизатора.
Белый адрес - это адрес устройства из адресного пространства интернета. К такому устройству можно подключиться из любой точки мира (при условии, что оное не блокируют системы защиты самого устройства) »
Мне кажется, что вы пропустили предыдущие посты...

Мне кажется, что вы пропустили предыдущие посты... »
Мне кажется, что вы совершенно не знаете, чем серые IP отличаются от белых IP. Иначе бы не задавались этим вопросом.
И среди предыдущих постов достаточно понятных объяснений я не увидел, посему дал своё пояснение.
Вы с ним не согласны?


Что касается сути вопроса, то провайдер дал вам точный, однозначный и исчёрпывающий ответ.
Никто вас ни в чём не обманывает и ничего вам не блокирует.
Если вам требуется белый адрес для работы вашей системы - платите деньги за белый адрес.

Мне кажется, что вы совершенно не знаете, чем серые IP отличаются от белых IP. Иначе бы не задавались этим вопросом.
И среди предыдущих постов достаточно понятных объяснений я не увидел, посему дал своё пояснение.
Вы с ним не согласны?
Что касается сути вопроса, то провайдер дал вам точный, однозначный и исчёрпывающий ответ.
Никто вас ни в чём не обманывает и ничего вам не блокирует.
Если вам требуется белый адрес для работы вашей системы - платите деньги за белый адрес. »
Повторюсь,
Ростелеком каким то образом блокирует протокол GRE 47, так как соединение доходит до проверки пользователя, а потом пытается установить связь то по PPTP, то L2TP. Через оператора МТС в тот же момент я ведь могу подключиться (а раз могу, значит со стороны интернета сервера vpn проблем нет)!

может проще на 1 месяц подключить предлагаемую услугу и проверить?

Из ваших слов не вполне ясно, какие устройства с каких IP-адресов куда именно пытаются подключиться.
Напишите адреса (пусть даже без последнего октета), и вам самим станет понятнее.


Ростелеком каким то образом блокирует протокол GRE 47 »
Вот так вот специально блокирует :)
Просто алгоритм работы NAT, прекрасно справляющийся с пакетами TCP и UDP, не рассчитан на обработку пакетов GRE.
В этом случае для серого IP-адреса невозможно установление даже исходящих соединений.

та же wiki говорит что
Так как GRE является протоколом сетевого уровня и не использует порты (как протоколы TCP или UDP), а одним из необходимых условий работы механизма PAT является наличие «открытого» порта, то работа протокола GRE через межсетевой экран может быть затруднена.
Частным случаем решения проблемы для протокола PPTP является технология PPTP Passthrough, в этом случае межсетевой экран «разрешает» исходящие (клиентские) подключения из защищённой сети.
Но причина этого - исключительно из-за "альтернативно одарённых" разработчиков, решивших в своё время использовать такой "уникальный" протокол.

Если вам так нужен протокол GRE сделайте запрос в техподдержку - поддерживает ли их оборудование NAT для этого протокола.
Но скорее всего они предложат вам перейти на использование белого адреса.

Через оператора МТС в тот же момент я ведь могу подключиться (а раз могу, значит со стороны интернета сервера vpn проблем нет)! »
Значит у МТС хватает белых IP-адресов. Однако повышенные расходы на аренду такого большого диапазона перекладываются на всех пользователей сотовой связи.