Это реально сделать или нет RRAS NAT VPN(L2TP)?

monkkey · Отправлено: **09:29, 30-08-2007** | #2

Microsoft L2TP/IPSec VPN Client also provides support for IPSec Network Address Translator (NAT) traversal.
Отсюда
IPSec через NAT в Win2003 R2 поддерживается.
http://support.microsoft.com/kb/912213 - Аналогично. Нужен СП-2.
А вот устраивать маршрутизатор на DC... Не проще маршрутизатор за 200 баков купить?

artem_ · Отправлено: **12:47, 30-08-2007** | #3

Спасибо monkkey. Сегодня буду пробовать.

artem_ · Отправлено: **17:33, 30-08-2007** | #4

О горе мне!!!

If NAT is needed on the VPN router computer, do not configure PPTP and L2TP/IPSec packet filters or packet filters for other types of traffic. If you configure PPTP and L2TP/IPSec packet filters on the Internet interface, NAT cannot function. Even though you do not configure any packet filters on the Internet interface of the VPN router computer, the function of the NAT discards any traffic from the Internet that does not correspond to traffic requested by site clients.

Как же тогда использовать Preshared key??? На роутер же сертификат не установишь.

Может кто то такое настраивал? HELP!!!

monkkey · Отправлено: **17:47, 30-08-2007** | #5

Цитата artem_:

Как же тогда использовать Preshared key??? На роутер же сертификат не установишь.

ЛИБО Preshared key, ЛИБО сертификат. У меня через Preshared key работают примерно такие же Zyxel железки. Кстати, и сертификат на него можно установить. Внимательнее RTFM

artem_ · Отправлено: **18:37, 30-08-2007** | #6

А что значит Внимательнее RTFM

monkkey · Отправлено: **08:32, 31-08-2007** | #7

Последняя буква - Manual

artem_ · Отправлено: **12:39, 31-08-2007** | #8

Может я что то не правильно делал?

1. Создал новый OU - VPN Routers и создал для него GPO
2. Привязал GPO к серваку
3. В GPO
Computer configeration - Windows settings - Security - IP Security on Active directory создал новую политику
3. В новой политике создал 2 правила
- WIN2003-DLINK:
Tunel End Point: статический внешний ip сервака полученный от провайдера
Autentification method: preshared key задал свой а все остальное удалил
IP Filter: адресация Source adress: 192.168.0.0 (наша вн. подсеть) mask 255.255.255.0
Destination adress: 192.168.1.0 (сеть уд. офиса) mask 255.255.255.0
Filter action: создал новый метод
- DLINK-WIN2003
Tunel End Point: статический внешний ip РОУТЕРА полученный от провайдера
Autentification method: preshared key задал свой а все остальное удалил
IP Filter: адресация Source adress: 192.168.1.0 (наша вн. подсеть) mask 255.255.255.0
Destination adress: 192.168.0.0 (сеть уд. офиса) mask 255.255.255.0
Filter action: создал новый метод
4. Запустил политику

-----------------------------------------------------------------------------------------------------------------------------

Объясните пожайлуста следующее надо ли создавать новый интерфейс в RRAS и надо ли было создавать фильтры - у майкрософта написано следующее - если включен NAT фильтры создавать не нужно я окончательно запутался.

monkkey · Отправлено: **12:55, 31-08-2007** | #9

Цитата artem_:

192.168.0.0 (наша вн. подсеть) mask 255.255.255.0

Ваша подсеть должна иметь маску 255.255.0.0, и получается, что она включает в себя

Цитата artem_:

192.168.1.0 (сеть уд. офиса) mask 255.255.255.0

Создание VPN сервера

Цитата artem_:

IP Security on Active directory

имеет отношение ТОЛЬКО к реализации IPSec в домене, и никаким боком не касается VPN. Изучайте матчасть.
Групповые политики к VPN (по крайней мере, в данном случае) отношения не имеют.

artem_ · Отправлено: **14:47, 31-08-2007** | #10

Спасибо буду читать