![]() |
помогите настроить VPN сервер
Имеется сеть, компы получают IP по DHCP. Подключаются к Инету а так же друг к другу через VPN. Есть сервер с Windows 2003 R2 на котором запущенно безлимтное VPN соединение . Надо сделать так чтоб пользователи подключались к нему через VPN и выходили через его безлимит в инет. А так же например если скорость канала 256кб. при подключении одного пользователя ему доставалось 256кб., двух по 128, четырех 64кб.
ПОМОГИТЕ НАЧИНАЮЩЕМУ СИСАДМИНУ! |
Цитата:
|
Hunterus, видимо забыл про эту тему, поэтому ею воспользуюсь я.
Вот схемка сети, как просил exo, если надо. ![]() А суть такая, хочу сделать VPN сервер, на ПК с Win Server 2003, естественно. Чтобы к нему подключался пользователь. Признаюсь, пока единственная цель-WarCraft по сети. Подскажите, как все это сделать, очень прошу. Руководство брал отсюда-Руководство. Собственно, я настроил VPN- к нему подключался уже-испытывал, но вот на подключении все и остановилось. Заранее спасибо! |
Цитата:
я так понял, 2003 имеет серый IP адрес, т.к. за роутером. нужно бужет пробрасовать потры через роутер. или используйте Hamachi |
Цитата:
Порты я пробросил, т.е. сам роутер вроде настроен. Подключение к серверу проверял - я так понимаю, что клиент может после подключения "общаться" не только с сервером, но и с другими ПК в сети роутера, так ведь? |
Цитата:
|
А какие настройки надо выставлять в сервере? Мой роутер раздает IP на сервер вклюентельно 192.168.1.x. На сервере тоже надо 192.168.1.x выставлять?
|
Цитата:
|
exo, сделал. Вроде работает, клиент может присоединться ко мне, лазить в сети. Пинги от него до моей сети доходят, а вот от меня до него-нет. Даже с самого сервера я до него не могу достучаться.
|
Есть кто живой? :-[
|
Цитата:
|
exo, а с чем это может быть связано? может как-то надо "дать знать" компам в сети, что 192.168.1.5x(это те IP, которые выдает VPN-сервер клиентам) находятся за сервером?
|
monomah_v, интересная у вас схемка и достаточно стандартная.
итак, разложим по полочкам исходную: 1. есть приватная сеть (другие пк + сервер), клиенты из нее ходят в инет через NAT (роутер зиксель) 2. приватная сеть получает ип по дхцп (с роутера) 3. есть удаленные клиенты, желающие подключится к приватной сети, посредством впн. итак начинаем решать задачку: 1. отрубить DHCP на роутере, и прописать в приватной сети ип вручную, а на роутере дать разрешение этим ип на инет через нат //далее видно будет почему. //напр диапазон 192.168.1.2...127 маска 255.255.255.0 2. на роутере настроить проброс портов впн до сервера (согласно п.1. ип его известен) напр сервер 192.168.1.1 3. на сервере впн, настроить раздачу ип для впн клиентов из того же диапазона что и приватная сеть, тоесть диапазон 192.168.1.128...254 маска 255.255.255.0 |
Virtual, а можно как-то сделать без отрубания дхцп на роутере, вай-фай гости мои часто используют. Да и сам сервер я использую далеко не все время, он вообще на виртуальной машине висит. )))
|
Virtual, проблему недоходящих пингов решилс помощью Static Route на роутере(Destination-192.168. 2. 0; Gateway-192.168. 1. 36; Subnet Mask-255.255.255. 0).
Где 192.168.2.* - эти IP выдает VPN сервер клиентам, 192.168.1.36 - IP самого VPN-сервера от роутера. Но вот War Craft :-[ все равно хосты не видит. T_T |
Цитата:
|
Мне кажется, отрубать DHCP совершенно не нужно.
И рекомендую назначать адреса VPN-клиентам из пула адресов (а не по DHCP) из другой подсети, а клиентам LAN - обязательно по DHCP: это же очень удобно. Вы же не думаете, что если клиенты локальной сети и RAS-клиенты используют одно и то же адресное пространство, то копьютеры локалки при обращении к RAS-клиентам будут интуитивно понимать, что в этом случае им надо посылать свои запросы не на шлюз по умолчанию, коим является роутер, а на сервер, чтобы тот перенаправил их на VPN-интерфейс. Поэтому у Вас без соответствующего маршрута и не работало. Подсети используются для разделения, для этого они и существуют, зачем же все компьютеры в одну кучу сгонять? Теперь по поводу Вашего WarCraft'а. Я не знаю, каким именно образом он получает информацию о работающих серверах. Если это широковещание, то необходимо убедиться, что соответствующие пакеты клиент отправляет и через адаптер своей локальной сети, и через VPN-соединение, они доходят до серверов, те отвечают и куда дальше идут их ответы. Способы получения информации и обмен ею я бы выяснял, используя Microsoft Network Monitor. Когда станет известно, на каком именно этапе проблема, тогда и нужно будет заняться настройкой сети. |
Isotonic, упс зарапортовался
точно! впн клиенты и лан клиенты должны быть в разных подсетях, для более удобочитаемых маршрутов. пример пул для Лан клиентов 192,168,1,* (хоть дхцп на роутере хоть статика) маска 255,255,0,0 пул для впн клиентов 192,168,2,* с маской 255,255,0,0 маршруты у лан клиентов 192,168,2,0 255,255,255,0 в сервер впн |
Вложений: 1
Isotonic, вот собственно файл от MS Network Monitor. Сам я в нем мало что могу понять, не могли бы подсказать, в чем проблема?
192.168.1.* - внутренняя локаль. 192.168.2.* - впн клиент(ы). |
Ценность лога весьма сомнительна :)
1. Вам нужно также собирать трафик и самого VPN-соединения :) 2. Нужен также лог с клиента :) На какой машине у Вас в сети работает сервер WC? 192.168.1.30? Вы VPN-клиента можете пропинговать с сервера WC? На сервере RRAS выполните команду netsh ras ip show config и результаты сюда Дайте использованное Вами руководство по настройке RRAS-сервера. Вы точно по нему всё делали? У Вас VPN-соединение не шифруется, по умолчанию это не разрешено, и используется устаревший тип аутенфикации. После комментариев, которые оставлены на странице, где Вы его скачивали, я бы задумался, скачивать ли его вообще :) Что точно значит "War Craft все равно хосты не видит"? Я эту игру в глаза не видел, расшифруйте подробно, что Вы имеете ввиду и как конкретно в ней выбирается сервер для подключения. Собираем оба лога и в одно время: Запустите Network Monitor, в окне "Select Networks" поставьте флажок на адаптере "WAN Miniport", в окне Capture Filter введите not (pptp or lcp or chap or ipcp or ccp or cbcp or ppp), чтобы не собирать ненужные сведения :) и нажмите кнопку выше "Apply", только после чего "Start" для сбора. Не забываем создать трафик, относящийся к WC. Был бы полезен ещё лог, который Вы соберете на сервере WC, в то время как на одном из компьютеров LAN запустится клиент WC, найдет сервер и подключится. |
Isotonic, руководство брал это, как Вы поняли. Делал все в точности, как там написано. Оно что ли совсем плохое или я ошибся где-то?
Цитата:
Цитата:
Цитата:
|
Это руководство в порядке. Раньше в топике Вы другую ссылку давали, на той странице сами посмотрите какие комментарии, а скачать руководство нельзя. По факту у Вас клиент использует MS-CHAP (хотя он в состоянии использовать MS-CHAP v2), а шифрование передаваемых данных отсутствует напрочь, как если бы Вы при редактировании профиля коммутируемых подключений на вкладке "Шифрование" оставили бы только флажок "Без шифрования". Предполагая, что Вы всё делали по инструкции, и исходя из вышеперечисленного я предположил "качество" этой инструкции :)
Забудьте о логах. Цитата:
Больше ничего в RRAS делать не надо. Ищите способы прямого указания сервера в WC-клиенте. Например, по-любому же можно указать его IP (192.168.1.30) в окне интернет-серверов (всего 2 типа серверов: lan и inet, если наш точно не первый, то он может быть только вторым)? Клиент-то всё равно к этому серверу пойдет правильным путём. Хотя возможно такое, что добавить сервер можно, но он в списке не появится без подтверждения с Blizzard (или кто там обслуживает список, в Steam так: сервер должен быть зарегистрирован на master-серверах). |
Цитата:
Цитата:
|
После изменений надо службу перезапустить. Если флажка нет, сервер просто не будет разрешать незашифрованные соединения. Точно увидеть это можно в текущих параметрах работающего соединения на клиенте, там где написан текущий IP-адрес и всё такое. Там есть строка "Шифрование", будет написано, какова стойкость (число бит).
Цитата:
|
Вложений: 2
Схема построения в прикрепленных файлах
|
уважаемые админы.
у меня возник вопрос: есть такая же топология сети, как и у автора - локальная сеть, в которой клиентские компы и сервер 2003. на данную локалку приходит инет через роутер (на нем поднимается впн). хотелось бы на сервере 2003, который имеет статический адрес пднять впн, чтобы люди извне подключались к нему. все это сделано. я через публичный адрес подключаюсь сам и люди извне то же подключаются. при поднятии впн соединения с сервером у клиентов пропадает интернет. как я понимаю, все пакеты начинают перекидываться не по интернет каналу провайдера, а по впн соединению с сервером 2003. т.е. обычно пакеты бегут по LAN при впн они все бегут по ВПН. так ли я понял? хотелось бы отделить трафик, т.е. весь интернет трафик шел бы через роутер (как обычно) при соединении с севрером 2003 по впн. на выходе хочется: 1.интернет через провайдера (статический адрес 93,х,х,х 2.локалка провайдера (10,х,х,х) 3.локалка в квартире (192,168,1,х {все это работае, маршруты настроенны} 4.локалка по впн (192,168,2,х прошу вашей помощи. заранее спасибо. |
patrik011400, заметил такую же проблему, только интернет у клиентов не пропадает насовсем, а так, будто "отрывается". Но потом сразу начинает работать. С чем связано-не знаю.
|
patrik011400, monomah_v, посмотрите
результат route print у клиентов при поднятом впн до вас, проблема в маршрутах. |
patrik011400, если бы не ты я и не заметил бы очень неприятную вещь:
Virtual, вот результаты команды |
Цитата:
Для этого достаточно убрать галочку Использовать основной шлюз в удаленной сети делается это на стороне клиента через Свойства VPN подключения\Закладка сеть\Свойства протокола TCP IP \ Кнопка Дополнительно. И еще один момент при таком подключении могут возникать проблемы с DNS. Чтобы это проверить: устанавливаете VPN подключение, убеждаетесь что оно работает; ipconifg /flushdns nslookup ya.ru Вот ccылка на статью, в которой дядька рассказывает как обойти проблему. Не смотрите, что там написано про ISA Server проблема связана с виндовым VPN клиентом. |
artem_, убрал я галочку. Теперь в инет клиенты выходят через свое соединение. но теперь не достучаться до 192.168.1.* совсем.
|
Цитата:
Теперь для того, чтобы VPN клиентоы могли получить доступ к подсети 192.168.1.* вам придется редактировать таблицу маршрутизации на стороне клиента. Делается это скриптом. Есть еще один момент - для редактирования таблицы маршрутизации у юзера должны быть права админа. К сожалению сейчас уже времени нету бегу домой. Если хотите завтра расскажу как это сделать. Я бы не делил их на разные подсети и не имел бы гемора. |
monomah_v, так маршруты теперь ручками добавлять нужно, о чем и писалось выше.
artem_, Цитата:
|
Virtual, а что Вы можете предложить?
|
Давайте расставим все точки над и.
Для чего отделяют VPN клиентов и LAN клиентов в разные пулы IP адресов??? Это может потребоваться в нескольких случаях 1. Как и в начале этой статьи писалось для упрощения схемы маршрутизации. Случай, когда клиенты из локальной сети, в которой находится VPN сервер, должны иметь возможность получать доступ к ресурсам, находящимся на VPN клиентах (ну очень редко требуется). Это вообще то можно решить при помощи Статической маршрутизации пользователя см. Свойства пользователя\Закладка Входящие звонки\Использовать статическую маршрутизацию 2. Когда клиент подключается к VPN серверу, который в свою очередь расположен перед Внутренним файрволом (не думаю я, что у кого то из этих людей такая схема) LAN - [FW] - [VPN Server] - [FW] - INTERNET 3. Или когда админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса). Недостаток. На стороне VPN клиента необходимо править таблицу маршрутизации, после того как VPN соединение установлено. Еще раз повторюсь - нужны админские права. Дальнейший сценарий рассчитан, на тех кто хочет пустить у клиента интернет через его собственное подключение а не через VPN канал. Для тех кому побарабану как он интернет будет получать (или ваще не будет во время VPN сеанса). Можно оставить галочку Использовать шлюз в удаленной подсети и не морочить голову. Как поправить таблицу маршрутизации - сам с этим долбался и вот нашел решение. Для этого нам понадобится CMAK . Создаем соединение по инструкции (на русском, как не странно) ВАЖНЫЙ МОМЕНТ: оставляем галочку использовать маршрут в удаленной подсети, мы его потом грохним!!! Для того, чтобы переопределить (см. Рис 15 руководства) таблицу маршрутизации, вам нужно будет создать .txt файл следующего содержания Код:
ADD 192.168.1.0 MASK 255.255.255.0 default METRIC default IF default Сколько подсетей, столько строчек только с разным идентификатором сети. 2 убивает шлюз по умолчанию (вот и не стало шлюза по умолчанию) |
artem_, большое спасибо! поставил бы еще больше благодарностей, да нельзя!
|
|
Вам нужен CMAK для VISTы качайте Microsoft Remote Server Administration Tools for Windows Vista и будет вам счастье. Еще один момент, там есть еще куча прикольных штук для админа :)
Microsoft Remote Server Administration Tools for Windows Vista Пакет адля администрирования MS Server'ов с Vistы. Эта хрень устанавливает вам дополнительные оснастки, которы появляются потом в Администрировании. У меня такая же штука на XP стоит. Только для XP. Просто тема получилась мега большая не хочу постить дальше. Можно поставить на сервер, только если есть 2008й в сети :). Там кстати эта штука встроенная. P.S. если все получится не забудьте тему решенной отметить. |
artem_, а этот "СМАК для висты" на висту ставить? или на сервер? а то я скачал-там ***.msu. И что с ним делать?
а нельзя что-то поставить на сервер, чтобы создавать с помощью СМАКа подключения для 64 битной Висты? ясно. т.е. "изолированно" ото всех других осей нельзя? значит будем ставить на висту.. (( А тема не моя, я ее в своих целях использую просто. ) |
Здравствуйте, подскадите пожалуйста, после создания подлючения в CMAK'е, может ли пользователь менять IP адрес (у сервера он динамический) и как это сделать. На рисунке 7 (в инструкции) видно, что он предлагает на выбор только два варианта: 1. Либо только один адрес
2. либо список, но я не могу заранее знать какой адрес серверу выдаст провайдер Заранее благодарен. |
приветствую уважаемые!
имеем лок. сеть на основе раб. группы с ип 192.168.0.1-192.168.0.100 есть шлюз кот. имеет две сет. карты одна- в локалку(192.168.0.1), другая- смотрящая в инет. на ип 192.168.0.5 поднял VPN сервер. подключение к VPN серверу отличное. если в настройках VPN сервера для клиентов указываю ип 192.168.0.101-192.168.0.201, то само собой могу пинговать компы в локалке и получать доступ к их шарам и принтерам. но хотелось бы разграничить локалку и vpn клиентов!!!. посредством выдачи vpn клиентам другой подсети - например 192.168.1.1-192.168.1.* как понял мне необходимо на клиенте прописать статический маршрут, чтобы получить доступ к локальной сети(шары, принтера и тд. и др.) будет ли такой маршрут правильным: route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.0.5 ??? и еще вопрос: может можно как то сделать на строне VPN сервера чтобы он клинету выдавал такой маршрут??? |
Цитата:
|
Ну вообще это удобно для администрирования сети. Да и для самообразования пригодится
ну или когда "админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса)." |
Ну, если Вам так хочется, сделайте шлюз для VPN-клиентов.
|
а разве шлюзом не может быть сам VPN сервер между клиентами и локальной сетью
и все таки может быть как вариант решения команда: route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.0.5 тем самым я указываю впн клиенту маршрут на локалку или же я ошибаюсь??? |
Добрый день!
Помогите разобраться с проблемой. Схема сети такая: маршрутизатор-VPN сервер-локальная сеть. Создал VPN сервер средствами windows 2003. Подключение PPTP работает, после подключения могу через RDP подключиться к VPN серверу. Проблема в том что я не могу через RDP подключиться к терминальному серверу стоящему в локальной сети за VPN сервером (т.е. не вижу рабочих станций) Можете подсказать в чем дело. Вот показания клиента и сервер при включеном PPTP соединении: route print server после подключения клиента ================================================== ========================= Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.101 20 __.___.1_3.148 255.255.255.255 192.168.0.1 192.168.0.101 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.0.0 255.255.255.0 192.168.0.101 192.168.0.101 20 192.168.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.0.255 255.255.255.255 192.168.0.101 192.168.0.101 20 192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20 192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20 192.168.1.39 255.255.255.255 192.168.1.41 192.168.1.41 1 192.168.1.41 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20 224.0.0.0 240.0.0.0 192.168.0.101 192.168.0.101 20 224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20 255.255.255.255 255.255.255.255 192.168.0.101 192.168.0.101 1 255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1 Основной шлюз: 192.168.0.1 ================================================== ========================= Постоянные маршруты: Отсутствует ================================================== ========================= route print client после подключения клиента ================================================== ========================= Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.1.39 192.168.1.39 1 0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.110 26 __.__._51.118 255.255.255.255 192.168.10.1 192.168.10.110 25 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.1.0 255.255.255.0 192.168.1.39 192.168.1.39 1 192.168.1.39 255.255.255.255 127.0.0.1 127.0.0.1 50 192.168.1.255 255.255.255.255 192.168.1.39 192.168.1.39 50 192.168.10.0 255.255.255.0 192.168.10.110 192.168.10.110 25 192.168.10.110 255.255.255.255 127.0.0.1 127.0.0.1 25 192.168.10.255 255.255.255.255 192.168.10.110 192.168.10.110 25 224.0.0.0 240.0.0.0 192.168.10.110 192.168.10.110 25 224.0.0.0 240.0.0.0 192.168.1.39 192.168.1.39 1 255.255.255.255 255.255.255.255 192.168.1.39 192.168.1.39 1 255.255.255.255 255.255.255.255 192.168.10.110 192.168.10.110 1 Основной шлюз: 192.168.1.39 ================================================== ========================= Постоянные маршруты: Отсутствует Где: 192.168.1.2 адрес сетевой карты VPN севера -для локальной сети 192.168.0.101 адрес сетевой карты VPN сервера в сторону маршрутизатора 192.168.1.39 адрес VPN сервера присваемый при PPTP подключении 192.168.1.41 адрес VPN клиента присваемый при PPTP подключении __.__._51.118 реальный адрес VPN сервера в интернете. Сеть домашняя 192.168.110.ХХХ Сеть рабочая 192.168.1.ХХХ Всем кто откликнется-большое спасибо :) |
Немножко переделал схему:
VPN соединение создаем из интернета (пользователь с модемом скайлинка). Звонок PPTP (если так можно выразиться) поступает на маршрутизатор (Wan реальный IP-__.__._51.118, Lan 192.168.0.1). Далее с маршрутизатора перекидывается на "внешнюю" сетевую карту VPN сервера (192.168.0.101). Вторая сетевая карта (192.168.1.2 этого сервера смотрит во "внутреннюю сеть" . Этот же сервер исполняет роль вторичного DNS сервера и прокси сервера. Проблема в том что при создании соединения не могу получить доступ к компам в локалке: 192.168.1.1, 192.168.1.3 ...... VPN пользователи получают ip из диапазона 192.168.2.2-192.168.2.10, 192.168.2.1-присваивается vpn серверу. Я так понимаю что надо прописать статический маршрут для "объединения" сетей 192.168.2.ХХХ и 192.168.1.ХХХ Можете подсказать в этом ли решение или еще что-то упустил. |
Время: 09:35. |
Время: 09:35.
© OSzone.net 2001-