 |
|
Проблемы с настройкой VPN с 1 NIC
Доброго времени суток.
Дано: - Сервер на 2008r2 с одним сетевым интерфейсом. IP: 192.168.1.119
- На сервере включены: RRAS, AD, IIS, RDS, WINS, фаервол (указываю на случай, если проблемы могут быть в них)
- Роутер с включённым NAT. Внутренний IP: 192.168.1.1. DHCP выдаёт адреса в пуле 192.168.1.100-149
Карта сети, соответственно:
Интернет - NAT-роутер - Сервер
Задача:
Настроить VPN (я выбрал PPTP, т.к. в большинстве руководств советуют его) так, чтобы: - Клиенты могли подключаться из интернета
- Клиенты могли видеть друг друга
- По-возможности - чтобы клиенты могли выходить в интернет, пока подключены
Что было сделано на данный момент: - Включена роль RRAS.
- Кол-во портов для всех VPN-каналов, кроме PPPoE и PPTP, выставлено на 0
- Клиенты получают адрес из статического пула 192.168.1.50-99
- Для IPv4 добавлен NAT, в нём NIC указан, как публичный и NAT на нём включён
- В фаерволе открыты: GRE; 423, 1701, 1723 TCP; 500 UDP
- Созданы пользователи для подключения к VPN
- На сервере настроен статический IP-адрес с основным шлюзом - роутером, в качестве DNS выставлены openDNS гугла
- На роутере настроен порт-форвард по 500UDP и 1723TCP на сервер, так же, сервер в DMZ
Что имеется на данный момент: - Клиенты могут подключаться
- Пинги между клиентами не проходят (клиенты так же не могут пропинговать сервер и роутер)
- У клиентов отсутствует связь с интернетом, если не снята галка с "Использовать основной шлюз в удалённой сети"
|
| anderson-7 |
30-11-2013 23:45 2264616 |
вообще для пинга нужен ICMP по теории
|
В фаерволе открыл правило для ICMP-трафика, теперь клиенты могут пинговать друг друга, если у них снята галка в IPv4-настройках VPN с "Использовать основной шлюз в удалённой сети".
Если же используется гейт удалённой сети, то:
1) Клиенты друг друга не видят
2) DNS не работает (пингуются внешние IP, но не доменные имена)
Сравнение tracert с включённым VPN с использованием удалённого гейта и с выключённым VPN (машина находится в одной локальной сети с сервером):
Код:
C:\Users\Kisurd>tracert 8.8.8.8
Трассировка маршрута к 8.8.8.8 с максимальным числом прыжков 30
1 1 ms * <1 мс KISURDSERVER1 [192.168.1.50]
2 * * * Превышен интервал ожидания для запроса.
3 2 ms 2 ms 3 ms 212.1.254.125
4 7 ms 10 ms 5 ms 212.1.239.41
5 2 ms 2 ms 2 ms 212.1.251.213
6 2 ms 2 ms 2 ms 72.14.212.158
7 18 ms 17 ms 17 ms 209.85.250.222
8 18 ms 26 ms 17 ms 209.85.249.79
9 49 ms 17 ms 17 ms 72.14.233.174
10 * * * Превышен интервал ожидания для запроса.
11 17 ms 17 ms 17 ms 8.8.8.8
Трассировка завершена.
Код:
C:\Users\Kisurd>tracert 8.8.8.8
Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]
с максимальным числом прыжков 30:
1 1 ms <1 мс <1 мс 192.168.1.1
2 1 ms 1 ms 1 ms msk-b12-l53.ti.ru [212.1.254.125]
3 1 ms 1 ms 2 ms 212.1.239.41
4 2 ms 1 ms 1 ms msk-r2-v9-gi-3-9.ti.ru [212.1.251.213]
5 3 ms 1 ms 1 ms 72.14.212.158
6 17 ms 17 ms 16 ms 209.85.250.222
7 17 ms 16 ms 16 ms 209.85.249.77
8 17 ms 16 ms 16 ms 72.14.233.172
9 * * * Превышен интервал ожидания для запроса.
10 17 ms 16 ms 16 ms google-public-dns-a.google.com [8.8.8.8]
Трассировка завершена.
|
| anderson-7 |
01-12-2013 08:18 2264738 |
покажите ipconfig -all клиента при включенном впн
|
| Angry Demon |
01-12-2013 10:05 2264757 |
Цитата:
Цитата Kisurd
По-возможности - чтобы клиенты могли выходить в интернет, пока подключены
|
Это как? Клиенты из Интернета выходят в Интернет через ваш VPN? Бред.
Цитата:
Цитата Kisurd
Для IPv4 добавлен NAT, в нём NIC указан, как публичный и NAT на нём включён
|
Какой NAT? У вас же одна сетевая карта!
Цитата:
Цитата Kisurd
У клиентов отсутствует связь с интернетом, если не снята галка с "Использовать основной шлюз в удалённой сети"
|
Она и должна быть снята, иначе весь трафик попрёт через вашу сеть. |
Цитата:
Цитата anderson-7
покажите ipconfig -all клиента при включенном впн »
|
Это с гейтом удалённой сети
Код:
Адаптер PPP VPN-подключение:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-подключение
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.51(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
DNS-серверы. . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBios через TCP/IP. . . . . . . . : Включен
Это со своим гейтом
Код:
Адаптер PPP VPN-подключение:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-подключение
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.53(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 8.8.8.8
8.8.4.4
NetBios через TCP/IP. . . . . . . . : Включен
Цитата:
Цитата Angry Demon
Это как? Клиенты из Интернета выходят в Интернет через ваш VPN? Бред. »
|
Это глупо или невозможно?
Я планировал этот VPN в том числе в качестве обхода закрытых портов и сайтов (например - в ВУЗах).
Цитата:
Цитата Angry Demon
Какой NAT? У вас же одна сетевая карта! »
|
Спасибо, сейчас отключу
Цитата:
Цитата Angry Demon
Она и должна быть снята, иначе весь трафик попрёт через вашу сеть. »
|
Это и нужно, в теории. |
| anderson-7 |
01-12-2013 15:45 2264905 |
Цитата:
Цитата Kisurd
DHCP включен. . . . . . . . . . . : Нет »
|
Так разве должно быть?
Основного шлюза нет, поэтому нет и пинга. Какой ip сервера vpn прописан в свойствах vpn подключения?
надо прописать маршруты и починить dhcp |
Ох, не обратил на это внимание.
IP там плавающий, поэтому прописан домен, привязанный к динамическому DNS.
Можете годных руководств скинуть?
Я несколько нуб в этом деле, сервер поднимаю, чтобы учиться :)
|
| Angry Demon |
02-12-2013 08:51 2265335 |
Цитата:
Цитата Kisurd
Это глупо или невозможно?
|
Это глупо, ибо трафик идёт и через вас, и через провайдера клиента. |
Это как раз по моей части.
Не подскажете, как сделать так, чтобы это работало? |
Время: 15:24.
© OSzone.net 2001-