Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   помогите настроить VPN сервер (http://forum.oszone.net/showthread.php?t=133358)

Hunterus 27-02-2009 23:14 1050904

помогите настроить VPN сервер
 
Имеется сеть, компы получают IP по DHCP. Подключаются к Инету а так же друг к другу через VPN. Есть сервер с Windows 2003 R2 на котором запущенно безлимтное VPN соединение . Надо сделать так чтоб пользователи подключались к нему через VPN и выходили через его безлимит в инет. А так же например если скорость канала 256кб. при подключении одного пользователя ему доставалось 256кб., двух по 128, четырех 64кб.

ПОМОГИТЕ НАЧИНАЮЩЕМУ СИСАДМИНУ!

exo 01-03-2009 01:04 1051681

Цитата:

Цитата Hunterus
ПОМОГИТЕ НАЧИНАЮЩЕМУ СИСАДМИНУ »

для начала нарисуйте схему в картинках с сетевыми настройками каждого узла. со слов не очень понятно.

monomah_v 12-03-2009 23:34 1062215

Hunterus, видимо забыл про эту тему, поэтому ею воспользуюсь я.
Вот схемка сети, как просил exo, если надо.

А суть такая, хочу сделать VPN сервер, на ПК с Win Server 2003, естественно. Чтобы к нему подключался пользователь. Признаюсь, пока единственная цель-WarCraft по сети. Подскажите, как все это сделать, очень прошу. Руководство брал отсюда-Руководство. Собственно, я настроил VPN- к нему подключался уже-испытывал, но вот на подключении все и остановилось.
Заранее спасибо!

exo 13-03-2009 01:51 1062299

Цитата:

Цитата monomah_v
Признаюсь, пока единственная цель-WarCraft по сети »

а может без VPN погамаете?

я так понял, 2003 имеет серый IP адрес, т.к. за роутером. нужно бужет пробрасовать потры через роутер.
или используйте Hamachi

monomah_v 13-03-2009 08:18 1062378

Цитата:

Цитата exo
а может без VPN погамаете? »

ну это пока только начало.

Порты я пробросил, т.е. сам роутер вроде настроен. Подключение к серверу проверял - я так понимаю, что клиент может после подключения "общаться" не только с сервером, но и с другими ПК в сети роутера, так ведь?

exo 13-03-2009 11:01 1062514

Цитата:

Цитата monomah_v
но и с другими ПК в сети роутера, так ведь? »

да. ведь получив адрес от VPN сервера, он будет в одной сети с другими ПК.

monomah_v 13-03-2009 11:19 1062542

А какие настройки надо выставлять в сервере? Мой роутер раздает IP на сервер вклюентельно 192.168.1.x. На сервере тоже надо 192.168.1.x выставлять?

exo 13-03-2009 13:23 1062647

Цитата:

Цитата monomah_v
На сервере тоже надо 192.168.1.x выставлять? »

да. только в настройках самого VPN укажите пул, который для раздачи

monomah_v 13-03-2009 13:30 1062656

exo, сделал. Вроде работает, клиент может присоединться ко мне, лазить в сети. Пинги от него до моей сети доходят, а вот от меня до него-нет. Даже с самого сервера я до него не могу достучаться.

monomah_v 14-03-2009 14:01 1063527

Есть кто живой? :-[

exo 14-03-2009 19:11 1063833

Цитата:

Цитата monomah_v
Есть кто живой? :-[ »

да... но я не так хорошо знаю тему, чтобы дать вам совет...

monomah_v 14-03-2009 20:01 1063897

exo, а с чем это может быть связано? может как-то надо "дать знать" компам в сети, что 192.168.1.5x(это те IP, которые выдает VPN-сервер клиентам) находятся за сервером?

Virtual 15-03-2009 15:38 1064523

monomah_v, интересная у вас схемка и достаточно стандартная.
итак, разложим по полочкам исходную:
1. есть приватная сеть (другие пк + сервер), клиенты из нее ходят в инет через NAT (роутер зиксель)
2. приватная сеть получает ип по дхцп (с роутера)
3. есть удаленные клиенты, желающие подключится к приватной сети, посредством впн.

итак начинаем решать задачку:
1. отрубить DHCP на роутере, и прописать в приватной сети ип вручную, а на роутере дать разрешение этим ип на инет через нат //далее видно будет почему. //напр диапазон 192.168.1.2...127 маска 255.255.255.0

2. на роутере настроить проброс портов впн до сервера (согласно п.1. ип его известен) напр сервер 192.168.1.1
3. на сервере впн, настроить раздачу ип для впн клиентов из того же диапазона что и приватная сеть, тоесть диапазон 192.168.1.128...254 маска 255.255.255.0

monomah_v 15-03-2009 15:58 1064534

Virtual, а можно как-то сделать без отрубания дхцп на роутере, вай-фай гости мои часто используют. Да и сам сервер я использую далеко не все время, он вообще на виртуальной машине висит. )))

monomah_v 15-03-2009 16:39 1064570

Virtual, проблему недоходящих пингов решилс помощью Static Route на роутере(Destination-192.168. 2. 0; Gateway-192.168. 1. 36; Subnet Mask-255.255.255. 0).
Где 192.168.2.* - эти IP выдает VPN сервер клиентам, 192.168.1.36 - IP самого VPN-сервера от роутера. Но вот War Craft :-[ все равно хосты не видит. T_T

exo 15-03-2009 17:48 1064644

Цитата:

Цитата Virtual
1. отрубить DHCP на роутере, »

а чем DHCP мешает ?

Safety1st 15-03-2009 18:14 1064667

Мне кажется, отрубать DHCP совершенно не нужно.

И рекомендую назначать адреса VPN-клиентам из пула адресов (а не по DHCP) из другой подсети, а клиентам LAN - обязательно по DHCP: это же очень удобно. Вы же не думаете, что если клиенты локальной сети и RAS-клиенты используют одно и то же адресное пространство, то копьютеры локалки при обращении к RAS-клиентам будут интуитивно понимать, что в этом случае им надо посылать свои запросы не на шлюз по умолчанию, коим является роутер, а на сервер, чтобы тот перенаправил их на VPN-интерфейс. Поэтому у Вас без соответствующего маршрута и не работало. Подсети используются для разделения, для этого они и существуют, зачем же все компьютеры в одну кучу сгонять?

Теперь по поводу Вашего WarCraft'а. Я не знаю, каким именно образом он получает информацию о работающих серверах. Если это широковещание, то необходимо убедиться, что соответствующие пакеты клиент отправляет и через адаптер своей локальной сети, и через VPN-соединение, они доходят до серверов, те отвечают и куда дальше идут их ответы. Способы получения информации и обмен ею я бы выяснял, используя Microsoft Network Monitor.

Когда станет известно, на каком именно этапе проблема, тогда и нужно будет заняться настройкой сети.

Virtual 16-03-2009 08:39 1065213

Isotonic, упс зарапортовался
точно! впн клиенты и лан клиенты должны быть в разных подсетях, для более удобочитаемых маршрутов.

пример
пул для Лан клиентов 192,168,1,* (хоть дхцп на роутере хоть статика) маска 255,255,0,0
пул для впн клиентов 192,168,2,* с маской 255,255,0,0
маршруты у лан клиентов
192,168,2,0 255,255,255,0 в сервер впн

monomah_v 17-03-2009 14:32 1066326

Вложений: 1
Isotonic, вот собственно файл от MS Network Monitor. Сам я в нем мало что могу понять, не могли бы подсказать, в чем проблема?
192.168.1.* - внутренняя локаль.
192.168.2.* - впн клиент(ы).

Safety1st 17-03-2009 15:36 1066392

Ценность лога весьма сомнительна :)
1. Вам нужно также собирать трафик и самого VPN-соединения :)
2. Нужен также лог с клиента :)

На какой машине у Вас в сети работает сервер WC? 192.168.1.30?
Вы VPN-клиента можете пропинговать с сервера WC?
На сервере RRAS выполните команду netsh ras ip show config и результаты сюда

Дайте использованное Вами руководство по настройке RRAS-сервера. Вы точно по нему всё делали? У Вас VPN-соединение не шифруется, по умолчанию это не разрешено, и используется устаревший тип аутенфикации. После комментариев, которые оставлены на странице, где Вы его скачивали, я бы задумался, скачивать ли его вообще :)

Что точно значит "War Craft все равно хосты не видит"? Я эту игру в глаза не видел, расшифруйте подробно, что Вы имеете ввиду и как конкретно в ней выбирается сервер для подключения.


Собираем оба лога и в одно время:
Запустите Network Monitor, в окне "Select Networks" поставьте флажок на адаптере "WAN Miniport", в окне Capture Filter введите not (pptp or lcp or chap or ipcp or ccp or cbcp or ppp), чтобы не собирать ненужные сведения :) и нажмите кнопку выше "Apply", только после чего "Start" для сбора. Не забываем создать трафик, относящийся к WC. Был бы полезен ещё лог, который Вы соберете на сервере WC, в то время как на одном из компьютеров LAN запустится клиент WC, найдет сервер и подключится.

monomah_v 17-03-2009 23:22 1066742

Isotonic, руководство брал это, как Вы поняли. Делал все в точности, как там написано. Оно что ли совсем плохое или я ошибся где-то?

Цитата:

Цитата Isotonic
На какой машине у Вас в сети работает сервер WC? 192.168.1.30?
Вы VPN-клиента можете пропинговать с сервера WC? »

Да. Да. Да.

Результаты работы указанной команды
C:\Documents and Settings\Администратор>netsh ras ip show config

IP-конфигурация RAS

Режим согласования: allow
Режим доступа: all
Режим запроса адреса: deny
Разрешение имени передачи: enabled
Режим назначения: pool
Пул:
192.168.2.1 - 192.168.2.5


Цитата:

Цитата Isotonic
Я эту игру в глаза не видел »

При нажатии в меню "Игра по локали" сразу появляется список доступных игр. Никаких кнопок "обновить" или "присоединиться к..." нет. Если игра появится, то появится, если нет, то нет.

Цитата:

Цитата Isotonic
Собираем оба лога »

Можно поподробнее и конкретнее о логах собственно. Я не очень понимаю, что от меня нужно. )

Safety1st 18-03-2009 01:08 1066813

Это руководство в порядке. Раньше в топике Вы другую ссылку давали, на той странице сами посмотрите какие комментарии, а скачать руководство нельзя. По факту у Вас клиент использует MS-CHAP (хотя он в состоянии использовать MS-CHAP v2), а шифрование передаваемых данных отсутствует напрочь, как если бы Вы при редактировании профиля коммутируемых подключений на вкладке "Шифрование" оставили бы только флажок "Без шифрования". Предполагая, что Вы всё делали по инструкции, и исходя из вышеперечисленного я предположил "качество" этой инструкции :)

Забудьте о логах.

Цитата:

Цитата monomah_v
При нажатии в меню "Игра по локали" сразу появляется список доступных игр. Никаких кнопок "обновить" или "присоединиться к..." нет. Если игра появится, то появится, если нет, то нет. »

Этим пользуются стандартные пользователи, но мы-то с Вами типа админы? :) Неужели нет там какого-то подобия консоли, которая открывалась бы по волшебной кнопке, или запуска самой программы-клиента с определенными параметрами (прописанными в ярлыке)? Я гамаю только в Half-Life, и то, и то там есть. Дело в том, что информация о работающих в локальной сети серверах WC поступает в виде широковещательных рассылок, которые получают все компьютеры, находящиеся в локальной сети. Собственно, поэтому в игре есть специальное окно для неё :) Ваш VPN-клиент по факту не находится в локальной сети, он имеет к ней доступ только за счет того, что RRAS-сервер работает маршрутизатором: перенаправляет пакеты с интерфейса VPN на интерфейс LAN и обратно. Беда в том, что передача широковещательных пакетов роутерами запрещена в принципе, Microsoft это требование соблюдает чётко, и, чтобы мы с Вами не делали, RRAS эти пакеты маршрутизовать не будет.

Больше ничего в RRAS делать не надо. Ищите способы прямого указания сервера в WC-клиенте. Например, по-любому же можно указать его IP (192.168.1.30) в окне интернет-серверов (всего 2 типа серверов: lan и inet, если наш точно не первый, то он может быть только вторым)? Клиент-то всё равно к этому серверу пойдет правильным путём. Хотя возможно такое, что добавить сервер можно, но он в списке не появится без подтверждения с Blizzard (или кто там обслуживает список, в Steam так: сервер должен быть зарегистрирован на master-серверах).

monomah_v 18-03-2009 11:43 1067095

Цитата:

Цитата Isotonic
только флажок "Без шифрования" »

я убрал вообще галочку "Без шифрования" теперь. А как посмотреть шифруются ли данные или нет?

Цитата:

Цитата Isotonic
еужели нет там какого-то подобия консоли »

Насколько я понял, полазив по форумам, разрабы либо "забыли", либо одно из двух. Но в итоге нашел прогу(lancraft), которая позволяет коннектится напрямую по IP. Так что вопрос видимо снят?

Safety1st 18-03-2009 13:02 1067162

После изменений надо службу перезапустить. Если флажка нет, сервер просто не будет разрешать незашифрованные соединения. Точно увидеть это можно в текущих параметрах работающего соединения на клиенте, там где написан текущий IP-адрес и всё такое. Там есть строка "Шифрование", будет написано, какова стойкость (число бит).

Цитата:

Цитата monomah_v
Так что вопрос видимо снят? »

В этом топике точно :)

Hunterus 21-03-2009 00:08 1069873

Вложений: 2
Схема построения в прикрепленных файлах

patrik011400 23-03-2009 22:58 1072623

уважаемые админы.

у меня возник вопрос:

есть такая же топология сети, как и у автора - локальная сеть, в которой клиентские компы и сервер 2003. на данную локалку приходит инет через роутер (на нем поднимается впн).


хотелось бы на сервере 2003, который имеет статический адрес пднять впн, чтобы люди извне подключались к нему.

все это сделано. я через публичный адрес подключаюсь сам и люди извне то же подключаются. при поднятии впн соединения с сервером у клиентов пропадает интернет. как я понимаю, все пакеты начинают перекидываться не по интернет каналу провайдера, а по впн соединению с сервером 2003. т.е.
обычно пакеты бегут по LAN
при впн они все бегут по ВПН. так ли я понял?

хотелось бы отделить трафик, т.е. весь интернет трафик шел бы через роутер (как обычно) при соединении с севрером 2003 по впн.

на выходе хочется:

1.интернет через провайдера (статический адрес 93,х,х,х
2.локалка провайдера (10,х,х,х)
3.локалка в квартире (192,168,1,х
{все это работае, маршруты настроенны}

4.локалка по впн (192,168,2,х


прошу вашей помощи. заранее спасибо.

monomah_v 24-03-2009 00:43 1072736

patrik011400, заметил такую же проблему, только интернет у клиентов не пропадает насовсем, а так, будто "отрывается". Но потом сразу начинает работать. С чем связано-не знаю.

Virtual 25-03-2009 12:43 1074228

patrik011400, monomah_v, посмотрите
результат route print у клиентов при поднятом впн до вас, проблема в маршрутах.

monomah_v 25-03-2009 14:20 1074316

patrik011400, если бы не ты я и не заметил бы очень неприятную вещь:
tracert forum.oszone.net
C:\Documents and Settings\Ilya Vassyutovich>tracert forum.oszone.net

Трассировка маршрута к forum.oszone.net [89.108.74.133]
с максимальным числом прыжков 30:

1 863 ms * 1542 ms 192.168.2.1
2 880 ms 659 ms 719 ms 192.168.1.1
3 718 ms 742 ms 677 ms ppp91-77-244-1.pppoe.mtu-net.ru [91.77.244.1]
4 * 1604 ms 1037 ms a197-crs-1-be1-53.msk.stream-internet.net [212.188.1.113]
5 699 ms * 1262 ms a197-crs-1-be1-53.msk.stream-internet.net [212.188.1.113]
6 993 ms 760 ms 719 ms m9-cr02-po4.msk.stream-internet.net [195.34.59.49]
7 703 ms 743 ms 778 ms m9-cr01-po1.msk.stream-internet.net [195.34.59.53]
8 571 ms 1080 ms 760 ms TTK-m9.msk.stream-internet.net [195.34.38.2]
9 871 ms 757 ms 658 ms SkyMedia10-gw.transtelecom.net [217.150.39.5]
10 577 ms 742 ms 695 ms agava-po-gw.netflow.ru [88.212.194.50]
11 959 ms 755 ms 683 ms oszone.net [89.108.74.133]

Трассировка завершена.


Virtual, вот результаты команды
route print
C:\Documents and Settings\Ilya Vassyutovich>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x20003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x30004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.216.74.68 10.216.74.68 2
0.0.0.0 0.0.0.0 192.168.2.4 192.168.2.4 1
10.6.6.6 255.255.255.255 10.216.74.68 10.216.74.68 1
10.216.74.68 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.216.74.68 10.216.74.68 50
91.77.244.184 255.255.255.255 10.216.74.68 10.216.74.68 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.2.4 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.2.255 255.255.255.255 192.168.2.4 192.168.2.4 50
224.0.0.0 240.0.0.0 10.216.74.68 10.216.74.68 2
224.0.0.0 240.0.0.0 192.168.2.4 192.168.2.4 1
255.255.255.255 255.255.255.255 10.216.74.68 10.216.74.68 1
255.255.255.255 255.255.255.255 192.168.2.4 192.168.2.4 1
Основной шлюз: 192.168.2.4
===========================================================================
Постоянные маршруты:
Отсутствует

artem_ 27-03-2009 10:38 1076006

Цитата:

Цитата monomah_v
0.0.0.0 0.0.0.0 10.216.74.68 10.216.74.68 2
0.0.0.0 0.0.0.0 192.168.2.4 192.168.2.4 1
»

Скорее всего проблемы в маршруте по умолчанию.

Для этого достаточно убрать галочку Использовать основной шлюз в удаленной сети делается это на стороне клиента через Свойства VPN подключения\Закладка сеть\Свойства протокола TCP IP \ Кнопка Дополнительно.

И еще один момент при таком подключении могут возникать проблемы с DNS.
Чтобы это проверить:
устанавливаете VPN подключение, убеждаетесь что оно работает;
ipconifg /flushdns
nslookup ya.ru

Вот ccылка на статью, в которой дядька рассказывает как обойти проблему. Не смотрите, что там написано про ISA Server проблема связана с виндовым VPN клиентом.

monomah_v 27-03-2009 12:42 1076132

artem_, убрал я галочку. Теперь в инет клиенты выходят через свое соединение. но теперь не достучаться до 192.168.1.* совсем.
nslookup oszone.ru
C:\>nslookup oszone.ru
*** Can't find server name for address 10.77.48.3: Non-existent domain
*** Can't find server name for address 10.77.48.2: Non-existent domain
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.1.1: Timed out
*** Default servers are not available
Server: UnKnown
Address: 10.77.48.3

Non-authoritative answer:
Name: oszone.ru
Address: 89.108.74.133

artem_ 30-03-2009 20:24 1079340

Цитата:

Цитата monomah_v
192.168.1.* »

разбили VPN клиентов и локалку на разные подсети - получите!!!

Теперь для того, чтобы VPN клиентоы могли получить доступ к подсети 192.168.1.* вам придется редактировать таблицу маршрутизации на стороне клиента. Делается это скриптом. Есть еще один момент - для редактирования таблицы маршрутизации у юзера должны быть права админа.

К сожалению сейчас уже времени нету бегу домой. Если хотите завтра расскажу как это сделать.

Я бы не делил их на разные подсети и не имел бы гемора.

Virtual 31-03-2009 06:20 1079704

monomah_v, так маршруты теперь ручками добавлять нужно, о чем и писалось выше.

artem_,
Цитата:

Я бы не делил их на разные подсети и не имел бы гемора.
уверен что гемороя небыло-бы? ;)

monomah_v 31-03-2009 12:46 1079935

Virtual, а что Вы можете предложить?

artem_ 31-03-2009 13:07 1079952

Давайте расставим все точки над и.

Для чего отделяют VPN клиентов и LAN клиентов в разные пулы IP адресов???
Это может потребоваться в нескольких случаях

1. Как и в начале этой статьи писалось для упрощения схемы маршрутизации.
Случай, когда клиенты из локальной сети, в которой находится VPN сервер, должны иметь возможность получать доступ к ресурсам, находящимся на VPN клиентах (ну очень редко требуется).
Это вообще то можно решить при помощи Статической маршрутизации пользователя см. Свойства пользователя\Закладка Входящие звонки\Использовать статическую маршрутизацию

2. Когда клиент подключается к VPN серверу, который в свою очередь расположен перед Внутренним файрволом (не думаю я, что у кого то из этих людей такая схема)

LAN - [FW] - [VPN Server] - [FW] - INTERNET

3. Или когда админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса).

Недостаток.
На стороне VPN клиента необходимо править таблицу маршрутизации, после того как VPN соединение установлено. Еще раз повторюсь - нужны админские права.

Дальнейший сценарий рассчитан, на тех кто хочет пустить у клиента интернет через его собственное подключение а не через VPN канал.
Для тех кому побарабану как он интернет будет получать (или ваще не будет во время VPN сеанса). Можно оставить галочку Использовать шлюз в удаленной подсети и не морочить голову.

Как поправить таблицу маршрутизации - сам с этим долбался и вот нашел решение.
Для этого нам понадобится CMAK .
Создаем соединение по инструкции (на русском, как не странно)

ВАЖНЫЙ МОМЕНТ: оставляем галочку использовать маршрут в удаленной подсети, мы его потом грохним!!!

Для того, чтобы переопределить (см. Рис 15 руководства) таблицу маршрутизации, вам нужно будет создать .txt файл следующего содержания
Код:

ADD 192.168.1.0 MASK 255.255.255.0 default METRIC default IF default
REMOVE_GATEWAY

1 строка добавляет новый статический маршрут в сеть 192.168.1.0, через VPN подключение (которое пока что является шлюзом по умолчанию).
Сколько подсетей, столько строчек только с разным идентификатором сети.
2 убивает шлюз по умолчанию (вот и не стало шлюза по умолчанию)

monomah_v 31-03-2009 14:03 1080009

artem_, большое спасибо! поставил бы еще больше благодарностей, да нельзя!

monomah_v 31-03-2009 14:19 1080019

Кхм, создал я значить подключение под 2003 сервом через СМАК. На XP x86 все работает, но вот под Vista x64 не хочет даже устанавливаться...

И мне СМАК не предлагал выбирать ось, под которую надо было создать exe'шник, так как он показывал в руководстве(руководство-то под 2008)

artem_ 31-03-2009 14:39 1080043

Вам нужен CMAK для VISTы качайте Microsoft Remote Server Administration Tools for Windows Vista и будет вам счастье. Еще один момент, там есть еще куча прикольных штук для админа :)

Microsoft Remote Server Administration Tools for Windows Vista

Пакет адля администрирования MS Server'ов с Vistы. Эта хрень устанавливает вам дополнительные оснастки, которы появляются потом в Администрировании. У меня такая же штука на XP стоит. Только для XP.

Просто тема получилась мега большая не хочу постить дальше.
Можно поставить на сервер, только если есть 2008й в сети :). Там кстати эта штука встроенная.

P.S. если все получится не забудьте тему решенной отметить.

monomah_v 31-03-2009 14:49 1080050

artem_, а этот "СМАК для висты" на висту ставить? или на сервер? а то я скачал-там ***.msu. И что с ним делать?

а нельзя что-то поставить на сервер, чтобы создавать с помощью СМАКа подключения для 64 битной Висты?

ясно. т.е. "изолированно" ото всех других осей нельзя? значит будем ставить на висту.. ((

А тема не моя, я ее в своих целях использую просто. )

Zenith 04-12-2009 16:08 1286757

Здравствуйте, подскадите пожалуйста, после создания подлючения в CMAK'е, может ли пользователь менять IP адрес (у сервера он динамический) и как это сделать. На рисунке 7 (в инструкции) видно, что он предлагает на выбор только два варианта: 1. Либо только один адрес
2. либо список, но я не могу заранее знать какой адрес серверу выдаст провайдер

Заранее благодарен.

aka_daemon 06-12-2009 23:54 1288198

приветствую уважаемые!
имеем лок. сеть на основе раб. группы с ип 192.168.0.1-192.168.0.100

есть шлюз кот. имеет две сет. карты одна- в локалку(192.168.0.1), другая- смотрящая в инет.
на ип 192.168.0.5 поднял VPN сервер. подключение к VPN серверу отличное.
если в настройках VPN сервера для клиентов указываю ип 192.168.0.101-192.168.0.201, то само собой могу пинговать компы в локалке и получать доступ к их шарам и принтерам.

но хотелось бы разграничить локалку и vpn клиентов!!!.
посредством выдачи vpn клиентам другой подсети - например 192.168.1.1-192.168.1.*

как понял мне необходимо на клиенте прописать статический маршрут, чтобы получить доступ к локальной сети(шары, принтера и тд. и др.)

будет ли такой маршрут правильным:
route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.0.5 ???
и еще вопрос: может можно как то сделать на строне VPN сервера чтобы он клинету выдавал такой маршрут???

monkkey 07-12-2009 09:03 1288393

Цитата:

Цитата aka_daemon
но хотелось бы разграничить локалку и vpn клиентов!!!. »

Зачем, если им нужно попасть в локальную сеть?

aka_daemon 07-12-2009 10:46 1288461

Ну вообще это удобно для администрирования сети. Да и для самообразования пригодится
ну или когда "админ хочет жестко разделить LAN и VPN клиентов на разные пулы IP адресов (например для контроля трафика через тот же файрвол, который умеет отличат VPN клиентов от LAN только на основе IP адреса)."

monkkey 07-12-2009 11:49 1288515

Ну, если Вам так хочется, сделайте шлюз для VPN-клиентов.

aka_daemon 07-12-2009 11:56 1288520

а разве шлюзом не может быть сам VPN сервер между клиентами и локальной сетью
и все таки может быть как вариант решения команда:
route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.0.5
тем самым я указываю впн клиенту маршрут на локалку

или же я ошибаюсь???

XXXandr 13-12-2009 10:52 1293982

Добрый день!
Помогите разобраться с проблемой. Схема сети такая: маршрутизатор-VPN сервер-локальная сеть. Создал VPN сервер средствами windows 2003. Подключение PPTP работает, после подключения могу через RDP подключиться к VPN серверу.
Проблема в том что я не могу через RDP подключиться к терминальному серверу стоящему в локальной сети за VPN сервером (т.е. не вижу рабочих станций) Можете подсказать в чем дело.
Вот показания клиента и сервер при включеном PPTP соединении:
route print
server после подключения клиента
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.101 20
__.___.1_3.148 255.255.255.255 192.168.0.1 192.168.0.101 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.101 192.168.0.101 20
192.168.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.101 192.168.0.101 20
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.39 255.255.255.255 192.168.1.41 192.168.1.41 1
192.168.1.41 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 192.168.0.101 192.168.0.101 20
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
255.255.255.255 255.255.255.255 192.168.0.101 192.168.0.101 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
Основной шлюз: 192.168.0.1
================================================== =========================
Постоянные маршруты:
Отсутствует

================================================== =========================
route print
client после подключения клиента
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.39 192.168.1.39 1
0.0.0.0 0.0.0.0 192.168.10.1 192.168.10.110 26
__.__._51.118 255.255.255.255 192.168.10.1 192.168.10.110 25
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.39 192.168.1.39 1
192.168.1.39 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.1.255 255.255.255.255 192.168.1.39 192.168.1.39 50
192.168.10.0 255.255.255.0 192.168.10.110 192.168.10.110 25
192.168.10.110 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.10.255 255.255.255.255 192.168.10.110 192.168.10.110 25
224.0.0.0 240.0.0.0 192.168.10.110 192.168.10.110 25
224.0.0.0 240.0.0.0 192.168.1.39 192.168.1.39 1
255.255.255.255 255.255.255.255 192.168.1.39 192.168.1.39 1
255.255.255.255 255.255.255.255 192.168.10.110 192.168.10.110 1
Основной шлюз: 192.168.1.39
================================================== =========================
Постоянные маршруты:
Отсутствует
Где:
192.168.1.2 адрес сетевой карты VPN севера -для локальной сети
192.168.0.101 адрес сетевой карты VPN сервера в сторону маршрутизатора
192.168.1.39 адрес VPN сервера присваемый при PPTP подключении
192.168.1.41 адрес VPN клиента присваемый при PPTP подключении
__.__._51.118 реальный адрес VPN сервера в интернете.
Сеть домашняя 192.168.110.ХХХ
Сеть рабочая 192.168.1.ХХХ
Всем кто откликнется-большое спасибо :)

XXXandr 16-12-2009 10:04 1296475

Немножко переделал схему:
VPN соединение создаем из интернета (пользователь с модемом скайлинка).
Звонок PPTP (если так можно выразиться) поступает на маршрутизатор (Wan реальный IP-__.__._51.118, Lan 192.168.0.1). Далее с маршрутизатора перекидывается на "внешнюю" сетевую карту VPN сервера (192.168.0.101). Вторая сетевая карта (192.168.1.2 этого сервера смотрит во "внутреннюю сеть" . Этот же сервер исполняет роль вторичного DNS сервера и прокси сервера.
Проблема в том что при создании соединения не могу получить доступ к компам в локалке: 192.168.1.1, 192.168.1.3 ......
VPN пользователи получают ip из диапазона 192.168.2.2-192.168.2.10, 192.168.2.1-присваивается vpn серверу.
читать дальше »
Вот отчеты с сервера при подключенном клиенте:
================================================== =========================
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.101 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.101 192.168.0.101 20
192.168.0.101 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.101 192.168.0.101 20
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.2.7 255.255.255.255 192.168.2.1 192.168.2.1 1
__.__.203.023 255.255.255.255 192.168.0.1 192.168.0.101 20
224.0.0.0 240.0.0.0 192.168.0.101 192.168.0.101 20
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
255.255.255.255 255.255.255.255 192.168.0.101 192.168.0.101 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
Основной шлюз: 192.168.0.1
================================================== =========================
Постоянные маршруты:
Отсутствует

Параметры клиенты без параметра "испольовать шлюз в удленой сети"
ipconfig.exe /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : user1007
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.4
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.0.1

tracert 192.168.1.2

Трассировка маршрута к 192.168.1.2 с максимальным числом прыжков 30

1 72 ms 197 ms 293 ms 91.149.120.19
2 168 ms 309 ms 145 ms 91.149.120.2
3 159 ms 155 ms 132 ms 188.128.6.145
4 * * * Превышен интервал ожидания для запроса.
30 * * * Превышен интервал ожидания для запроса.

Трассировка завершена.

C:\Documents and Settings\1>ping.exe 192.168.1.2
Превышен интервал ожидания для запроса.


Я так понимаю что надо прописать статический маршрут для "объединения" сетей 192.168.2.ХХХ и 192.168.1.ХХХ
Можете подсказать в этом ли решение или еще что-то упустил.


Время: 09:35.

Время: 09:35.
© OSzone.net 2001-