не работают два "встречных" VPN между двумя серверами 2003
 

Всем привет!

Ситуация такая.
Два сервера с W2003, каждый подключен к интернету через ADSL-модем. Подключение к интернету настроено через RRAS. Так же в RRAS настроены VPN-соединения (РРТР) каждого сервера друг к другу. Если поднимать VPN-соединениe только на каком-то одном сервере, то оно подключается без проблем и все работает как надо. Но если попытаться поднять VPN-соединение, например, с сервера 2 на 1, когда с 1 на 2 оно уже поднято, то оно висит на подключении секунд 40 и отваливается с ошибкой"Соединение прервано раньше, чем установлено". При этом в журнале ошибок того сервера, к которому производилась попытка подключения, появляется следующая запись:

Источник: RasMan
Код(ID): 20209
Связь между VPN-сервером и VPN-клиентом 92.126.45.103 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком.


Проверялось на двух разных парах серверов (одна пара сервер 2008 и 2003SP2, другая оба 2003R2), поведение одинаковое. Это так и должно быть или все-таки глюк? Как добиться, чтобы VPN между серверами работалo одновременно в обе стороны?

Заранее благодарю за советы.

"Копать будем с двух сторон одновременно. Срок завершения работы - месяц. За точность не ручаюсь, но в крайнем случае будет два тоннеля" :)

VPN соединение поднимается в одном направлении и прекрасно работает в обе стороны. Что сверх этого надо, непонятно

Спасибо, я в курсе, что оно работает в обе стороны.
Понимаете, тут вопрос политический.
На том, чтобы работало "два тоннеля" :) настаивает админ из головной конторы нашего предприятия. Типа у него с другим региональным офисом именно так и работает (встречно 2 VPN), но проверить я не могу. И я не могу доказать ему, что хватает 1 соединения, и не могу сделать как он заставляет - 2 одновременных-встречных.
То есть либо я научусь - с помощью уважаемого сообщества - устанавливать такие соединения, либо смогу доказать ему что это, допустим, невозможно :)

Поэтому, при всей возможной глупости вопроса, он остается открытым...

Встречный вопрос - кто из родственников этого админа занимает руководящую должность в головной конторе :)*:)*:)

В конце-концов, подними соединение со своей стороны, а дальше пусть он сам через "удалённый рабочий стол" сравнивает настройки на твоём сервере и на сервере другого офиса.

В возражения даже на уровне логики тут простые.
Во-первых, при создании исходящего соединения компьютер получает IP-адрес из подсети сервера. А если создавать подключения в обоих направлениях, то центральный сервер получит огромное количество разных IP.
Во-вторых, в сети получается большое количество "колец", что не есть гуд. Опять же, размер таблицы маршрутизации превысит все разумные пределы.

Из достоинств?
Ну скорость передачи информации при наличии одной физической линии никак не увеличится. Опять же надёжность тоже не возрастёт - если на реальном соединении возникнут проблемы, оба виртуальных канала разорвутся одновременно

А есть ли смысл поднимать 2 vpn? Тем более это нереально при условии что и у отправляющей и у принимающей стороны по 1 инет соединению.

Они заработают только если у обоих сторон 2 инет соединения (например основной static ip и резервный dsl), и то только при условии, что соединяться будете по 1 соединению на ip то есть примерно так

КОМП 1 _____STATIC IP - DSL ______> КОМП 2

КОМП 2 _____STATIC IP - DSL_______> КОМП 1

Но это опять кольцо - оно не нужно....

Коллеги, давайте пока не обращать внимание на минусы такого подхода. Я-то их прекрасно осознаю. Самое главное для меня сейчас разобраться - так вообще должно работать или нет? Надеюсь на вашу помощь.

Вообще "головной" админ так и делал, как советовал El Scorpio, перекопал мне весь RRAS, но ничего не нарыл и поручил мне переустановить систему. Но система нормально у меня работает, и я не вижу для этого оснований. Более того, два свежеустановленных тестовых сервера 2003R2 также не могут подключиться друг к другу одновременно. Я зачем буду сносить живую систему, чтобы получить тот же результат. Но ему же не докажешь. А надо :)

g0ga, а давай копнём чуток в другом направлении.
Первым устанавливается соединение какое? Ты -> Они? Или Они -> Ты?

Angry Demon, а без разницы. Первое соединение между серверами всегда происходит нормально, без ошибок, независимо от того, кто его установил. А второе, во встречном направлении, уже не удается установить.

Кстати, только что проверил это "взаимное" соединение между двумя серверами 2003 в локальной сети - все работает отлично. Причем один из этих серверов - наш интернет-шлюз - как раз тот, к которому не может подключиться (через интернет) сервер головной конторы, если в это время наш шлюз уже подключен к нему. Жаль, что сразу не проверил. Грешить на модем (но он у нас настроен бриджом - может ли он влиять?) или провайдера?

Это возможно, если изменить порт подключения VPN-канала. Только, вообще-то, ситуация абсурдная. Канал он и есть канал, работает в обе, естественно, стороны.

Нет и Нет

"Взаимное" соединение на виртуальных машинах получилось установить даже между двумя XP, но всё равно результаты ipconfig /all и route print получились весьма головоломными :)
Возможно, проблемы могут возникнуть из-за схожих IP-адресов

Эт вряд ли, оба сервера при VPN подключениях раздают непересекающиеся адреса
сервер головной конторы работает в сети 192.168.0.х, раздает адреса из своей подсети.
мой сервер работает в сети 192.168.1.х, раздает адреса 192.168.2.х
да и я так полагаю, что ошибка возникает еще до поднятия интерфейса и выдачи IP-адреса.
может, выложить логи из %windir%\tracing ? подскажите, какие?

1 - админ из головной конторы не сам настраевал соединения иначе бы он знал в чём причина неработоспособности....) ему явно кто то помогал.)
2 - давай ipconfig /all с обоих серверов или только с твоего до подключения к VPN и после. и укажи из какого состояния производится попытка установки встречного тонеля.
3 - до попытки установки встречного VPN давай rout print
4 - если устанавливать VPN с того сервера к тебе он работает? а если иначе от тебя к нему работает?
5 - и неплохо бы увидеть настройки VPN в частности адрес VPN-servera. без этого чем-то помочь будет сложно.(

з.ы. если 4-й пункт выполняется полностью и сетевого экрана нет, то что-то мне подсказывает что после установки одного VPN соединения маршрут к точке подключения указывает в другое место, если вообще он корректен.) а не стоит ли у VPN подключения галочка "использовать шлюз в удалённой сети"?

попробую на виртуалках в ближайшее время.)

g0ga, в чём Ваша задача? Умудриться заставить работать нерекомендуемую конфигурацию или убедить неразумного админа, что он не прав?

В общем, получается так. Попробую описать сетевые настройки обоих серверов, если чего упущу - напомните, плиз. Итак, оба сервера живут в своих сетях, 192.168.1.0/255.255.255.0, оба выходят в интернет через соединение РРРОЕ к одному и тому же провайдеру. На обоих настроен RAS, сервер удаленного доступа включен. Один сервер раздает VPN клиентам адреса 192.168.3.1-100/255.255.255.0, другой 192.168.4.1-100/255.255.255.0. Как видно, никаких пересечений по идее не должно получаться. Никаких статических маршрутов, кроме 0.0.0.0/0.0.0.0 на интерфейс РРРОЕ, на серверах в RAS не прописано, таким образом, даже когда один сервер подсоединился к другому, другой пытается осуществить вызов по правильному маршруту, а не, например, через установленное "с той стороны" подключение. Галочка "использовать шлюз в удалённой сети" естественно не стоит, т.к. в RAS ее нет - чтобы роутить что-то через RAS VPN, надо прописать отдельный статический маршрут. Тем не менее, вот route print сервера, который успешно установил соединение с другим:

а вот route print сервера, к которому подсоединились, и который уже не может:
Как видно, один сервер выделил другому адрес 192.168.3.7, особой кривости в маршрутах нет.

На самом деле головной админ уже не требует настойчиво сделать это встречное подключение. Думаю, мне удастся спустить это дело на тормозах. Но мне теперь уже самому чисто спортивный интерес разобраться, работает это или нет все-таки... :)

- а тот факт что обе локальные сети с диапозоном 192.168.1.0 255.255.255.0 на это закрыть глаза?..) в так настроенной сети ПК из одной локальной сети, находящейся по одно сторону VPN, никогда не смогут установить связь с ПК в другой локальной сети, находяшиеся по другую сторону VPN. т.к. адресные пространства этих сетей накладываются друг на друга. смысл тогда вообще в VPN? только чтоб соеденить сервера?

з.ы. поднимаю 4-ре сервера и две станции, для эмуляции твоей сети. если время будет то в эти выходные посмотрю что к чему.

Слушай, уже да :) Именно что сервера. Так как уже выяснилось, что два сервера в одной локальной сети прекрасно подцепляются по VPN друг к другу одновременно именно при таких сетевых настройках.
А первоначальный смысл VPN, конечно, потерян, но не мной. Либо я делаю как мне навяливают, либо убедительно доказываю, что это невозможно.

:o
Вообще-то если речь идёт о локальных сетях филиалов одной большой организации, то прежде всего каждому филиалу централизовано в административном порядке назначается отдельная подсеть.
Просто я к тому, что связь между серверами работать будет, а вот передача информации между клиентскими компьютерами даже при работающем VPN окажется невозможна