помогите настроить VPN сервер
 

Имеется сеть, компы получают IP по DHCP. Подключаются к Инету а так же друг к другу через VPN. Есть сервер с Windows 2003 R2 на котором запущенно безлимтное VPN соединение . Надо сделать так чтоб пользователи подключались к нему через VPN и выходили через его безлимит в инет. А так же например если скорость канала 256кб. при подключении одного пользователя ему доставалось 256кб., двух по 128, четырех 64кб.

ПОМОГИТЕ НАЧИНАЮЩЕМУ СИСАДМИНУ!

для начала нарисуйте схему в картинках с сетевыми настройками каждого узла. со слов не очень понятно.

Hunterus, видимо забыл про эту тему, поэтому ею воспользуюсь я.
Вот схемка сети, как просил exo, если надо.

А суть такая, хочу сделать VPN сервер, на ПК с Win Server 2003, естественно. Чтобы к нему подключался пользователь. Признаюсь, пока единственная цель-WarCraft по сети. Подскажите, как все это сделать, очень прошу. Руководство брал отсюда-Руководство. Собственно, я настроил VPN- к нему подключался уже-испытывал, но вот на подключении все и остановилось.
Заранее спасибо!

а может без VPN погамаете?

я так понял, 2003 имеет серый IP адрес, т.к. за роутером. нужно бужет пробрасовать потры через роутер.
или используйте Hamachi

ну это пока только начало.

Порты я пробросил, т.е. сам роутер вроде настроен. Подключение к серверу проверял - я так понимаю, что клиент может после подключения "общаться" не только с сервером, но и с другими ПК в сети роутера, так ведь?

да. ведь получив адрес от VPN сервера, он будет в одной сети с другими ПК.

А какие настройки надо выставлять в сервере? Мой роутер раздает IP на сервер вклюентельно 192.168.1.x. На сервере тоже надо 192.168.1.x выставлять?

да. только в настройках самого VPN укажите пул, который для раздачи

exo, сделал. Вроде работает, клиент может присоединться ко мне, лазить в сети. Пинги от него до моей сети доходят, а вот от меня до него-нет. Даже с самого сервера я до него не могу достучаться.

Есть кто живой? :-[

exo, а с чем это может быть связано? может как-то надо "дать знать" компам в сети, что 192.168.1.5x(это те IP, которые выдает VPN-сервер клиентам) находятся за сервером?

monomah_v, интересная у вас схемка и достаточно стандартная.
итак, разложим по полочкам исходную:
1. есть приватная сеть (другие пк + сервер), клиенты из нее ходят в инет через NAT (роутер зиксель)
2. приватная сеть получает ип по дхцп (с роутера)
3. есть удаленные клиенты, желающие подключится к приватной сети, посредством впн.

итак начинаем решать задачку:
1. отрубить DHCP на роутере, и прописать в приватной сети ип вручную, а на роутере дать разрешение этим ип на инет через нат //далее видно будет почему. //напр диапазон 192.168.1.2...127 маска 255.255.255.0

2. на роутере настроить проброс портов впн до сервера (согласно п.1. ип его известен) напр сервер 192.168.1.1
3. на сервере впн, настроить раздачу ип для впн клиентов из того же диапазона что и приватная сеть, тоесть диапазон 192.168.1.128...254 маска 255.255.255.0

Virtual, а можно как-то сделать без отрубания дхцп на роутере, вай-фай гости мои часто используют. Да и сам сервер я использую далеко не все время, он вообще на виртуальной машине висит. )))

Virtual, проблему недоходящих пингов решилс помощью Static Route на роутере(Destination-192.168. 2. 0; Gateway-192.168. 1. 36; Subnet Mask-255.255.255. 0).
Где 192.168.2.* - эти IP выдает VPN сервер клиентам, 192.168.1.36 - IP самого VPN-сервера от роутера. Но вот War Craft :-[ все равно хосты не видит. T_T

а чем DHCP мешает ?

Мне кажется, отрубать DHCP совершенно не нужно.

И рекомендую назначать адреса VPN-клиентам из пула адресов (а не по DHCP) из другой подсети, а клиентам LAN - обязательно по DHCP: это же очень удобно. Вы же не думаете, что если клиенты локальной сети и RAS-клиенты используют одно и то же адресное пространство, то копьютеры локалки при обращении к RAS-клиентам будут интуитивно понимать, что в этом случае им надо посылать свои запросы не на шлюз по умолчанию, коим является роутер, а на сервер, чтобы тот перенаправил их на VPN-интерфейс. Поэтому у Вас без соответствующего маршрута и не работало. Подсети используются для разделения, для этого они и существуют, зачем же все компьютеры в одну кучу сгонять?

Теперь по поводу Вашего WarCraft'а. Я не знаю, каким именно образом он получает информацию о работающих серверах. Если это широковещание, то необходимо убедиться, что соответствующие пакеты клиент отправляет и через адаптер своей локальной сети, и через VPN-соединение, они доходят до серверов, те отвечают и куда дальше идут их ответы. Способы получения информации и обмен ею я бы выяснял, используя Microsoft Network Monitor.

Когда станет известно, на каком именно этапе проблема, тогда и нужно будет заняться настройкой сети.

Isotonic, упс зарапортовался
точно! впн клиенты и лан клиенты должны быть в разных подсетях, для более удобочитаемых маршрутов.

пример
пул для Лан клиентов 192,168,1,* (хоть дхцп на роутере хоть статика) маска 255,255,0,0
пул для впн клиентов 192,168,2,* с маской 255,255,0,0
маршруты у лан клиентов
192,168,2,0 255,255,255,0 в сервер впн

Isotonic, вот собственно файл от MS Network Monitor. Сам я в нем мало что могу понять, не могли бы подсказать, в чем проблема?
192.168.1.* - внутренняя локаль.
192.168.2.* - впн клиент(ы).

Ценность лога весьма сомнительна :)
1. Вам нужно также собирать трафик и самого VPN-соединения :)
2. Нужен также лог с клиента :)

На какой машине у Вас в сети работает сервер WC? 192.168.1.30?
Вы VPN-клиента можете пропинговать с сервера WC?
На сервере RRAS выполните команду netsh ras ip show config и результаты сюда

Дайте использованное Вами руководство по настройке RRAS-сервера. Вы точно по нему всё делали? У Вас VPN-соединение не шифруется, по умолчанию это не разрешено, и используется устаревший тип аутенфикации. После комментариев, которые оставлены на странице, где Вы его скачивали, я бы задумался, скачивать ли его вообще :)

Что точно значит "War Craft все равно хосты не видит"? Я эту игру в глаза не видел, расшифруйте подробно, что Вы имеете ввиду и как конкретно в ней выбирается сервер для подключения.


Собираем оба лога и в одно время:
Запустите Network Monitor, в окне "Select Networks" поставьте флажок на адаптере "WAN Miniport", в окне Capture Filter введите not (pptp or lcp or chap or ipcp or ccp or cbcp or ppp), чтобы не собирать ненужные сведения :) и нажмите кнопку выше "Apply", только после чего "Start" для сбора. Не забываем создать трафик, относящийся к WC. Был бы полезен ещё лог, который Вы соберете на сервере WC, в то время как на одном из компьютеров LAN запустится клиент WC, найдет сервер и подключится.

Isotonic, руководство брал это, как Вы поняли. Делал все в точности, как там написано. Оно что ли совсем плохое или я ошибся где-то?

Да. Да. Да.



При нажатии в меню "Игра по локали" сразу появляется список доступных игр. Никаких кнопок "обновить" или "присоединиться к..." нет. Если игра появится, то появится, если нет, то нет.

Можно поподробнее и конкретнее о логах собственно. Я не очень понимаю, что от меня нужно. )

Это руководство в порядке. Раньше в топике Вы другую ссылку давали, на той странице сами посмотрите какие комментарии, а скачать руководство нельзя. По факту у Вас клиент использует MS-CHAP (хотя он в состоянии использовать MS-CHAP v2), а шифрование передаваемых данных отсутствует напрочь, как если бы Вы при редактировании профиля коммутируемых подключений на вкладке "Шифрование" оставили бы только флажок "Без шифрования". Предполагая, что Вы всё делали по инструкции, и исходя из вышеперечисленного я предположил "качество" этой инструкции :)

Забудьте о логах.

Этим пользуются стандартные пользователи, но мы-то с Вами типа админы? :) Неужели нет там какого-то подобия консоли, которая открывалась бы по волшебной кнопке, или запуска самой программы-клиента с определенными параметрами (прописанными в ярлыке)? Я гамаю только в Half-Life, и то, и то там есть. Дело в том, что информация о работающих в локальной сети серверах WC поступает в виде широковещательных рассылок, которые получают все компьютеры, находящиеся в локальной сети. Собственно, поэтому в игре есть специальное окно для неё :) Ваш VPN-клиент по факту не находится в локальной сети, он имеет к ней доступ только за счет того, что RRAS-сервер работает маршрутизатором: перенаправляет пакеты с интерфейса VPN на интерфейс LAN и обратно. Беда в том, что передача широковещательных пакетов роутерами запрещена в принципе, Microsoft это требование соблюдает чётко, и, чтобы мы с Вами не делали, RRAS эти пакеты маршрутизовать не будет.

Больше ничего в RRAS делать не надо. Ищите способы прямого указания сервера в WC-клиенте. Например, по-любому же можно указать его IP (192.168.1.30) в окне интернет-серверов (всего 2 типа серверов: lan и inet, если наш точно не первый, то он может быть только вторым)? Клиент-то всё равно к этому серверу пойдет правильным путём. Хотя возможно такое, что добавить сервер можно, но он в списке не появится без подтверждения с Blizzard (или кто там обслуживает список, в Steam так: сервер должен быть зарегистрирован на master-серверах).

я убрал вообще галочку "Без шифрования" теперь. А как посмотреть шифруются ли данные или нет?

Насколько я понял, полазив по форумам, разрабы либо "забыли", либо одно из двух. Но в итоге нашел прогу(lancraft), которая позволяет коннектится напрямую по IP. Так что вопрос видимо снят?

После изменений надо службу перезапустить. Если флажка нет, сервер просто не будет разрешать незашифрованные соединения. Точно увидеть это можно в текущих параметрах работающего соединения на клиенте, там где написан текущий IP-адрес и всё такое. Там есть строка "Шифрование", будет написано, какова стойкость (число бит).

В этом топике точно :)

Схема построения в прикрепленных файлах

уважаемые админы.

у меня возник вопрос:

есть такая же топология сети, как и у автора - локальная сеть, в которой клиентские компы и сервер 2003. на данную локалку приходит инет через роутер (на нем поднимается впн).


хотелось бы на сервере 2003, который имеет статический адрес пднять впн, чтобы люди извне подключались к нему.

все это сделано. я через публичный адрес подключаюсь сам и люди извне то же подключаются. при поднятии впн соединения с сервером у клиентов пропадает интернет. как я понимаю, все пакеты начинают перекидываться не по интернет каналу провайдера, а по впн соединению с сервером 2003. т.е.
обычно пакеты бегут по LAN
при впн они все бегут по ВПН. так ли я понял?

хотелось бы отделить трафик, т.е. весь интернет трафик шел бы через роутер (как обычно) при соединении с севрером 2003 по впн.

на выходе хочется:

1.интернет через провайдера (статический адрес 93,х,х,х
2.локалка провайдера (10,х,х,х)
3.локалка в квартире (192,168,1,х
{все это работае, маршруты настроенны}

4.локалка по впн (192,168,2,х


прошу вашей помощи. заранее спасибо.

patrik011400, monomah_v, посмотрите
результат route print у клиентов при поднятом впн до вас, проблема в маршрутах.

patrik011400, если бы не ты я и не заметил бы очень неприятную вещь:


Virtual, вот результаты команды

Скорее всего проблемы в маршруте по умолчанию.

Для этого достаточно убрать галочку Использовать основной шлюз в удаленной сети делается это на стороне клиента через Свойства VPN подключения\Закладка сеть\Свойства протокола TCP IP \ Кнопка Дополнительно.

И еще один момент при таком подключении могут возникать проблемы с DNS.
Чтобы это проверить:
устанавливаете VPN подключение, убеждаетесь что оно работает;
ipconifg /flushdns
nslookup ya.ru

Вот ccылка на статью, в которой дядька рассказывает как обойти проблему. Не смотрите, что там написано про ISA Server проблема связана с виндовым VPN клиентом.

artem_, убрал я галочку. Теперь в инет клиенты выходят через свое соединение. но теперь не достучаться до 192.168.1.* совсем.

разбили VPN клиентов и локалку на разные подсети - получите!!!

Теперь для того, чтобы VPN клиентоы могли получить доступ к подсети 192.168.1.* вам придется редактировать таблицу маршрутизации на стороне клиента. Делается это скриптом. Есть еще один момент - для редактирования таблицы маршрутизации у юзера должны быть права админа.

К сожалению сейчас уже времени нету бегу домой. Если хотите завтра расскажу как это сделать.

Я бы не делил их на разные подсети и не имел бы гемора.

monomah_v, так маршруты теперь ручками добавлять нужно, о чем и писалось выше.

artem_, уверен что гемороя небыло-бы? ;)

Virtual, а что Вы можете предложить?

Давайте расставим все точки над и.

Для чего отделяют VPN клиентов и LAN клиентов в разные пулы IP адресов???
Это может потребоваться в нескольких случаях

1. Как и в начале этой статьи писалось для упрощения схемы маршрутизации.
Случай, когда клиенты из локальной сети, в которой находится VPN сервер, должны иметь возможность получать доступ к ресурсам, находящимся на VPN клиентах (ну очень редко требуется).
Это вообще то можно решить при помощи Статической маршрутизации пользователя см. Свойства пользователя\Закладка Входящие звонки\Использовать статическую маршрутизацию

2. Когда клиент подключается к VPN серверу, который в свою очередь расположен перед Внутренним файрволом (не думаю я, что у кого то из этих людей такая схема)

LAN - [FW] - [VPN Server] - [FW] - INTERNET

3. Или когда админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса).

Недостаток.
На стороне VPN клиента необходимо править таблицу маршрутизации, после того как VPN соединение установлено. Еще раз повторюсь - нужны админские права.

Дальнейший сценарий рассчитан, на тех кто хочет пустить у клиента интернет через его собственное подключение а не через VPN канал.
Для тех кому побарабану как он интернет будет получать (или ваще не будет во время VPN сеанса). Можно оставить галочку Использовать шлюз в удаленной подсети и не морочить голову.

Как поправить таблицу маршрутизации - сам с этим долбался и вот нашел решение.
Для этого нам понадобится CMAK .
Создаем соединение по инструкции (на русском, как не странно)

ВАЖНЫЙ МОМЕНТ: оставляем галочку использовать маршрут в удаленной подсети, мы его потом грохним!!!

Для того, чтобы переопределить (см. Рис 15 руководства) таблицу маршрутизации, вам нужно будет создать .txt файл следующего содержания
1 строка добавляет новый статический маршрут в сеть 192.168.1.0, через VPN подключение (которое пока что является шлюзом по умолчанию).
Сколько подсетей, столько строчек только с разным идентификатором сети.
2 убивает шлюз по умолчанию (вот и не стало шлюза по умолчанию)

artem_, большое спасибо! поставил бы еще больше благодарностей, да нельзя!

Кхм, создал я значить подключение под 2003 сервом через СМАК. На XP x86 все работает, но вот под Vista x64 не хочет даже устанавливаться...

И мне СМАК не предлагал выбирать ось, под которую надо было создать exe'шник, так как он показывал в руководстве(руководство-то под 2008)

Вам нужен CMAK для VISTы качайте Microsoft Remote Server Administration Tools for Windows Vista и будет вам счастье. Еще один момент, там есть еще куча прикольных штук для админа :)

Microsoft Remote Server Administration Tools for Windows Vista

Пакет адля администрирования MS Server'ов с Vistы. Эта хрень устанавливает вам дополнительные оснастки, которы появляются потом в Администрировании. У меня такая же штука на XP стоит. Только для XP.

Просто тема получилась мега большая не хочу постить дальше.
Можно поставить на сервер, только если есть 2008й в сети :). Там кстати эта штука встроенная.

P.S. если все получится не забудьте тему решенной отметить.

artem_, а этот "СМАК для висты" на висту ставить? или на сервер? а то я скачал-там ***.msu. И что с ним делать?

а нельзя что-то поставить на сервер, чтобы создавать с помощью СМАКа подключения для 64 битной Висты?

ясно. т.е. "изолированно" ото всех других осей нельзя? значит будем ставить на висту.. ((

А тема не моя, я ее в своих целях использую просто. )

Здравствуйте, подскадите пожалуйста, после создания подлючения в CMAK'е, может ли пользователь менять IP адрес (у сервера он динамический) и как это сделать. На рисунке 7 (в инструкции) видно, что он предлагает на выбор только два варианта: 1. Либо только один адрес
2. либо список, но я не могу заранее знать какой адрес серверу выдаст провайдер

Заранее благодарен.

приветствую уважаемые!
имеем лок. сеть на основе раб. группы с ип 192.168.0.1-192.168.0.100

есть шлюз кот. имеет две сет. карты одна- в локалку(192.168.0.1), другая- смотрящая в инет.
на ип 192.168.0.5 поднял VPN сервер. подключение к VPN серверу отличное.
если в настройках VPN сервера для клиентов указываю ип 192.168.0.101-192.168.0.201, то само собой могу пинговать компы в локалке и получать доступ к их шарам и принтерам.

но хотелось бы разграничить локалку и vpn клиентов!!!.
посредством выдачи vpn клиентам другой подсети - например 192.168.1.1-192.168.1.*

как понял мне необходимо на клиенте прописать статический маршрут, чтобы получить доступ к локальной сети(шары, принтера и тд. и др.)

будет ли такой маршрут правильным:
route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.0.5 ???
и еще вопрос: может можно как то сделать на строне VPN сервера чтобы он клинету выдавал такой маршрут???

Зачем, если им нужно попасть в локальную сеть?

Ну вообще это удобно для администрирования сети. Да и для самообразования пригодится
ну или когда "админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса)."

Ну, если Вам так хочется, сделайте шлюз для VPN-клиентов.

а разве шлюзом не может быть сам VPN сервер между клиентами и локальной сетью
и все таки может быть как вариант решения команда:
route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.0.5
тем самым я указываю впн клиенту маршрут на локалку

или же я ошибаюсь???

Добрый день!
Помогите разобраться с проблемой. Схема сети такая: маршрутизатор-VPN сервер-локальная сеть. Создал VPN сервер средствами windows 2003. Подключение PPTP работает, после подключения могу через RDP подключиться к VPN серверу.
Проблема в том что я не могу через RDP подключиться к терминальному серверу стоящему в локальной сети за VPN сервером (т.е. не вижу рабочих станций) Можете подсказать в чем дело.
Вот показания клиента и сервер при включеном PPTP соединении:
route print
server после подключения клиента
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.101 20
__.___.1_3.148 255.255.255.255 192.168.0.1 192.168.0.101 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.101 192.168.0.101 20
192.168.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.101 192.168.0.101 20
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.39 255.255.255.255 192.168.1.41 192.168.1.41 1
192.168.1.41 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.0.101 192.168.0.101 20
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
255.255.255.255 255.255.255.255 192.168.0.101 192.168.0.101 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
Основной шлюз: 192.168.0.1
================================================== =========================
Постоянные маршруты:
Отсутствует

================================================== =========================
route print
client после подключения клиента
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.39 192.168.1.39 1
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.110 26
__.__._51.118 255.255.255.255 192.168.10.1 192.168.10.110 25
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.39 192.168.1.39 1
192.168.1.39 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.1.255 255.255.255.255 192.168.1.39 192.168.1.39 50
192.168.10.0 255.255.255.0 192.168.10.110 192.168.10.110 25
192.168.10.110 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.10.255 255.255.255.255 192.168.10.110 192.168.10.110 25
224.0.0.0 240.0.0.0 192.168.10.110 192.168.10.110 25
224.0.0.0 240.0.0.0 192.168.1.39 192.168.1.39 1
255.255.255.255 255.255.255.255 192.168.1.39 192.168.1.39 1
255.255.255.255 255.255.255.255 192.168.10.110 192.168.10.110 1
Основной шлюз: 192.168.1.39
================================================== =========================
Постоянные маршруты:
Отсутствует
Где:
192.168.1.2 адрес сетевой карты VPN севера -для локальной сети
192.168.0.101 адрес сетевой карты VPN сервера в сторону маршрутизатора
192.168.1.39 адрес VPN сервера присваемый при PPTP подключении
192.168.1.41 адрес VPN клиента присваемый при PPTP подключении
__.__._51.118 реальный адрес VPN сервера в интернете.
Сеть домашняя 192.168.110.ХХХ
Сеть рабочая 192.168.1.ХХХ
Всем кто откликнется-большое спасибо :)

Немножко переделал схему:
VPN соединение создаем из интернета (пользователь с модемом скайлинка).
Звонок PPTP (если так можно выразиться) поступает на маршрутизатор (Wan реальный IP-__.__._51.118, Lan 192.168.0.1). Далее с маршрутизатора перекидывается на "внешнюю" сетевую карту VPN сервера (192.168.0.101). Вторая сетевая карта (192.168.1.2 этого сервера смотрит во "внутреннюю сеть" . Этот же сервер исполняет роль вторичного DNS сервера и прокси сервера.
Проблема в том что при создании соединения не могу получить доступ к компам в локалке: 192.168.1.1, 192.168.1.3 ......
VPN пользователи получают ip из диапазона 192.168.2.2-192.168.2.10, 192.168.2.1-присваивается vpn серверу.


Я так понимаю что надо прописать статический маршрут для "объединения" сетей 192.168.2.ХХХ и 192.168.1.ХХХ
Можете подсказать в этом ли решение или еще что-то упустил.