|
Проблема при настройке vpn server
Привет всем.
На одном из форумов формулировал изначальную задачу: "Прошу помощи. Есть два компа, оба подключены к интернету. У обоих разные внешние ip-адреса, т.е они не в одной локальной сети. На одном (1) стоит Windows 8.1 , на другом (2) - Windows Server 2008 r2 Нужно: одну из папок на компе (2) сделать доступной для чтения/записи c компа (1), так как это делается расшариванием при нахождении компов в одной локальной сети Помнится, лет 10 назад самому приходилось делать что-то подобное на двух компах, но тогда на обоих была Windows XP и называлось это vpn-туннель. Кому не лень, поделитесь опытом" Был совет: воспользоваться методикой, многократно описанной на разных ресурсах, в частности на http://alexeev.pro/?page_id=1819 Итак: подключаюсь к серверной машине по rdp, делаю все что написано в методике Пользователя использую того-же что и при подключении по rdp. В итоге на сервере в "диспетчере сервера" в роли "службы политики сети и доступа" имею ошибку: "... Имя журнала: System Источник: RemoteAccess Дата: 26.01.2015 23:54:17 Код события: 20253 Категория задачи:Отсутствует Уровень: Ошибка Ключевые слова:Классический Пользователь: Н/Д Компьютер: MYSERVER Описание: CoID={9E40A01A-296E-4199-B2FC-8C0DD2CC4F6D}: Пользователь MYSERVER\USER1, подключенный к порту VPN3-127, отключен, поскольку не удалось успешно согласовать ни один сетевой протокол. ..." Вопрос: что делать? Повторюсь: я простой пользователь и хотелось-бы просто инструкцию: куда зайти и на что нажать |
|
Возможность проверить с другого устройства или провайдера:
Имеете в виду в качестве компа (1) использовать комп в совсем другом месте? Сейчас так и сделал. После попытки установить соединение получаю сообщение: Ошибка подключения к VPN-подключение. Ошибка 800 удаленное подключение не удалось установить из-за сбоя использованных vpn-туннелей. Возможно - vpn-сервер недоступен. Если это подключение пытается использовать L2TP или Ipsec туннель , параметры безопасности, необходимые для согласования Ipsec, могут быть настроены неверно Повторюсь - у меня все настроено в строгом соответствии с вышеприведённой инструкцией. Вот где копать? Соседнюю тему почитал... признаюсь, что мало что в ней понял. Я с самого начала говорил, что я простой пользователь... Да и в соседней теме, как я понял, проблема не была решена |
vklemma, какие протоколы разрешены на клиенте в свойствах PPP-подключения?
|
Если я правильно понимаю ваш вопрос:
захожу: панель управления - сеть и интернет - сетевые подключения - vpn-подключение - свойства - параметры - параметры PPP: стоит галка на "включить расширения LCP , сняты галки на "использовать программное сжатие данных" и согласовывать многоканальное подключение для одноканальных подключений" ps В безопасности ( в свойствах vpn-подключения) тип VPN стоит "автоматически". Если нужны ещё какие дополнительные данные - спрашивайте, постараюсь найти |
Цитата:
Протоколы какие выбраны на вкладке "Безопасность"? Нужно CHAP и MS-CHAP v2 |
ставлю тип vpn: Туннельный протокол точка-точка (PPnP), правильно? (просто PPP нет).
далее ставлю разрешить следующие протоколы: - протокол проверки пароля CHAP и - Пртокол MS-CHAP v2 Кстати, когда включаю оба эти протокола, идет предупреждение, что " выбранные протоколы включают РАР и (или) CHAP Если будет произведено согласование одного их них, шифрование данных использоваться не будет. Вы хотите оставить эти параметры? " Согласно Вашему указанию жму "да". Так и должно быть? При попытке подключения получаю ошибку 807. "Сетевое подключение компьютера к серверу виртуальной частной сети прервано. Причиной могут быть неполадки в передаче по виртуальной частной сети из-за неявного интернета или из-за превышения допустимой нагрузки на сервер виртуальной частной сети. Попытайтесь заново подключиться к серверу. При повторном возникновении этой проблемы обратитесь к администратору виртуальной частной сети и проанализируйте качество сетевого подключения" Мои комментарии: 1) о превышении допустимой нагрузки: откуда, если я единственный кто пытается эту штуку запустить. 2) в целом о качестве интернета на машине с сервером: к машине ещё иногда подключаются один-два человека по rdp, не очень интенсивно, никаких замечаний по скорости обмена нет . Никто больше на машине не работает... зы. на вкладке Параметры - Параметры PPP стоит галка на "включить расширения LCP, и НЕ стоят галки на "использовать программное сжатие данных" и "согласовывать многоканальное подключение для одноканальных подключений" ps ps. мы все это делаем на клиентской машине (1). На серверной машине (2) я ничего не подкручивал... |
Цитата:
Цитата:
Попробуйте L2TP (сервер и клиент в общих чертах). |
Цитата:
Теперь имею ошибку 809. В пояснениях к этой ошибке речь идет в частности о закрытых портах в файрвалле или на маршрутизаторе перед сервером. В моём случае маршрутизатора перед серверной машиной нет, провайдеры клянутся, что они никакие порты не закрывают, а файрвалле порт udp 1701 разрешён... Наверное ещё вопрос: как-то на серверной машине можно увидеть, приходит ли от клиентской машины запрос на подключение к серверу vpn ? |
Цитата:
|
Цитата:
Теперь, если не возражаете, хотелось-бы чуть-чуть ликбеза... В рамках одного провайдера и на клиенте и на сервере вроде удалось получить коннект. Логи внизу поста. Что осталось непонятно: 1) после того как "соединение vpn" на клиентском компе после нажатия "подключить" и ввода логина-пароля переходило в состояние "установлено", само подключение к интернету через провайдера почему-то переходило в состояние "без доступа к интернету" . 2) Cоединение vpn установилось, а что дальше? Как увидеть с клиентского компа какую-нибудь папку на сервере? По наитию на клиентском компе пытаюсь подключить сетевую папку с адресом 192.168.0.200, или 192.168.0.201 ( такой диапазон задан у меня на сервере), или \\SERVER\192.168.0.200, или \\SERVER\192.168.0.201. Задаю ввод пароля и логина. Пофиг... не подключается ничего. ps на сервере через rdp вижу вот такие логи подключения: CoID={skipped}: Пользователь "SERVER\User2" подключился к порту "VPN2-9" и успешно прошел проверку подлинности. CoID={skipped}: Пользователю SERVER\User2, подключенному к порту VPN2-9, назначен адрес 192.168.0.201 CoID={skipped}: пользователь SERVER\User2 подключился к порту VPN2-9 29.01.2015 в 23:44 и отключился 29.01.2015 в 23:44. Пользователь был активен в течение 0 мин. 21 сек. Отправлено: 1346 байт, получено: 80956 байт. Причина отключения: запрос пользователя. Использованный туннель: WAN Miniport (L2TP). Состояние карантина: "не поддерживает защиту доступа к сети". CoID={skipped}: Пользователь с IP-адресом 192.168.0.201 отключился |
Цитата:
Цитата:
Цитата:
|
Цитата:
1) при чём тут Cisco? для меня Cisco - производитель сетевого оборудования... 2) Собственно, у меня изначальная задача (см. пост 1) : к клиентской машине, постоянно подключенной к интернету , подключить в виде например сетевой папки папку с другого компа ( с сервера). Естественно, ценой за это не может быть отключение от интернета на клиентской машине. Или я изначально шёл по неверному пути? Цитата:
|
Цитата:
На клиенте в свойствах VPN-подключения снимите галку "Использовать шлюз в удалённой сети ..." в свойствах TCP/IP. Цитата:
Цитата:
|
Цитата:
Но собственно вопрос: а зачем? Разве вышеприведённые логи с сервера Цитата:
|
Цитата:
А потом ищите общие папки \\адрес_сервера |
Хорошо.
Цитата:
Предположим: ip-адрес серверной машины в интернете : 93.93.93.93 Предположим: в логах серверной машины при установлении vpn-соединения я вижу ( как я уже писал выше) "CoID={skipped}: Пользователю SERVER\User2, подключенному к порту VPN2-9, назначен адрес 192.168.0.201" Какую команду ping с клиентской машины я должен выдать? >ping 93.93.93.93 или >ping 192.168.0.201 Далее, если я правильно понимаю, нужно: - на сервере расшарить для user2 нужные папки - на клиенте подключить сетевой диск с адресом \\93.93.93.93 |
Цитата:
Цитата:
Кстати, если у вас "белый" адрес у сервера, проверьте что лишнего не открыли. |
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
Естественно вас должен интересовать пинг со своего 201 адреса на 200-ый(сервера), он совсем не обязательно должен проходить, хотя вы вроде как и в одной сети - бывают еще заморочки. А если проходит, то смело можете искать папки на сервере, давая в проводнике \\192.168.0.200 или сразу задавая имя известной вам папки на сервере \\192.168.0.200\ИмяПапки |
Цитата:
|
Цитата:
Расшариваю на сервере для пользователя User2 папку xz. Но происходит странная вещь: - на клиентской машине машине прописываю в проводнике \\93.93.93.93\xz и получаю постоянный доступ к этой папке. Как так? а зачем тогда все эти заморочки с туннелем? ведь получается что цель, обозначенная в посте 1 достигнута, |
Цитата:
То, что у вас получилось, не очень хорошо. Лучше, займитесь настройкой firewall. Цитата:
|
Цитата:
буду пробовать все-таки настроить доступ только в рамках vpn-туннеля. |
vklemma, кроме настроек файрволла отключите на физическом интерфейсе сервера, смотрящем в Интернет, службу доступа к файлам и принтерам.
|
Цитата:
Центр управления сетями и общим доступом - Подключение по локальной сети 2 - Свойства - снять галку с "Служба доступа к файлам и принтерам сетей Microsoft" Я правильно понял? 2) Заняться настройками файрволла... Честно говоря, никогда в них не лез. Там есть несколько десятков правил для входящих подключений и примерно столько-же для исходящих. Смысл 95% их для меня непонятен, порой даже термины не известны . Как в свое время порекомендовал более опытный коллега при моей первой практике установки и настройки сервера - эти правила в комплекте "по умолчанию" настроены более-менее оптимально для наиболее типичных вариантов применения данной ОС, обеспечивают для них достаточный уровень защиты, и не следует без крайней нужды в них лезть. Если потребность в изменении настроек конкретного правила возникнет - тебе об этом кто-нибудь сможет подсказать применительно к возникшей ситуации Можно я тогда задам вопрос: а какие правила вы порекомендуете изменить, и на что? |
|
Цитата:
Цитата:
|
Всем огромное спасибо за подсказки и терпение.
Вроде что-то начало получаться... Применил все последние советы, теперь папки на сервере стали видны только при включённом vpn-подключении. Но пока не прощаюсь и не закрываю тему: система заработала пока только между клиентской машиной и серверной машиной, подключенными к одному и тому-же провайдеру интернета ( районная сеть). Завтра буду пробовать подключать vpn с клиентской машины, подключенной к другому провайдеру. |
К сожалению, в полной мере решить задачу не удалось. Вынужден вновь обратиться за помощью.
По всей видимости в начале темы я недостаточно подробно описал исходные данные, полагая что они не актуальны для решения данной задачи. Тогда извините за многословие. Итак: Есть районный провайдер, условно - "Альфа". У него оформлены два подключения и в квартиру входят две витые пары . К первой витой паре подключен wi-fi роутер, к которому подключена разная периферия, в том числе и компьютер под управлением Windows 8.1, именуемый мною ранее как комп (1) или клиентский. На роутере поднят DHCP. Ко второй витой паре напрямую подключен комп (2) или сервер, под управлением Windows Server 2008 r2. Первая задача: проложить vpn-туннель от клиентского компа к серверу. Техподдержка провайдера "Альфа" говорила, что для обмена между компами , подключенными к "Альфа", следует использовать ip-адреса из пула 10. . Эти "внутренние" адреса они сообщили. Также они сообщили адреса "внешних" ip, из пула 178., которые нужно использовать при подключении из "внешнего" мира. После учёта всех советов, сделанных в этой теме выше, удалось настроить vpn-подключение ( по "внутреннему" ip-адресу ) , которое с клиентского компа позволило видеть папки на сервере . При этом интернет на компе (1) не отключался. Рекомендация снять на сервере галку с "Служба доступа к файлам и принтерам сетей Microsoft" учтена и при отключении vpn-подключения папки на сервере перестают быть доступны с клиента.. Казалось, задача полностью решена. После этого встала вторая задача: Ещё есть комп (3), на работе, тоже под управлением Windows 8.1. У него другой провайдер, Обит. Пытаюсь с него создать vpn-подключение к серверу. Настраиваю его по совершенно аналогичной форме, как в первом случае, только использую "внешний" ip-адрес сервера. Соединение не устанавливается. Звоню в техподдержку "Альфа". Чешут репу, уверяют, что у них нигде ничего не режется но потом говорят, что "давайте мы попробуем ваше подключение серверной машины "вывести за NAT"". Не очень понимаю смысл предложения, но соглашаюсь. VPN-подключение устанавливается, папки на сервере с компа (3) становятся доступны. Сам интернет на компе (3) тоже присутствует. Приезжаю домой. Проверяю на компе (1) работоспособность VPN-подключения ( по "внутреннему" адресу). Подключение не устанавливается (что и следовало ожидать). Подменяю в настройках "внутренний" ip-адрес на "внешний". VPN-подключение устанавливается, папки с сервера видны, но... пропадет собственно интернет. В итоге: пробую на компе (1) несколько раз: включил vpn-подключение - пропал интернет, отключил vpn-подключение - интернет сразу появился. Где теперь копать? ps Звонил в техподдержку "Альфа", предлагают самому найти проблему на своём клиентском компе (1). Их косвенные предположения, что при включённом vpn-подключении мой браузер в качестве подключения выбирает не подключение к интернету, а vpn-подключение. |
Цитата:
|
Вы мне это подсказали уже давно:
Цитата:
Сейчас перепроверил - эта галка отсутствует. Тут все-таки дело в другом. В какой-то мере интернет на компе (1) присутствует. В частности - работает Скайп. Ещё - удается по rdp подключаться терминалом к серверам, в т.ч. и к расположенному в другом городе. Но вот когда например в Гугл Хроме пытаюсь открыть страничку, например www.rbc.ru, то сначала внизу идет что-то насчет определения хоста, потом на экране вижу: Веб-страница недоступна Перезагрузить Скрыть подробности Сервер www.rbc.ru не найден из-за ошибки поиска DNS (веб-службы, которая преобразует название сайта в интернет-адрес). Обычно это вызвано отсутствием подключения к Интернету или неправильной настройкой сети. Возможно, недоступен сервер DNS. Кроме того, доступ программы Google Chrome к сети может блокировать брандмауэр. Код ошибки: DNS_PROBE_FINISHED_NXDOMAIN В IE также страница недоступна. Повторюсь, другие сервисы, использующие интернет ( rdp, skype ) при этом продолжают работать |
Цитата:
Цитата:
С Обитом Альфа вязаться не будет, имхо. |
Цитата:
У меня у обеих моих "витых пар" совершенно уникальные ip, начинающиеся на 178. Единственные на весь мир :) И с Обита к этим ip я коннекчусь без проблем. Проблема, как я указал в двух последних постах - единственная: когда на клиентском компе под Альфой я устанавливаю vpn-соединение с сервером ( который тоже под Альфой), то на клиентском компе отказывается работать браузер ( серфинг по интернету) |
Цитата:
|
Цитата:
Попробовал. Не помогает. |
vklemma, при подключенном VPN-соединении выложите результаты IPCONFIG /ALL с клиента.
|
а 139 порт доступен?
|
спасибо, вечером смогу посмотреть
|
Цитата:
|
Цитата:
Скрытый текст
C:\Users\user>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : PC1 Основной DNS-суффикс . . . . . . : Тип узла. . . . . . . . . . . . . : Гибридный IP-маршрутизация включена . . . . : Нет WINS-прокси включен . . . . . . . : Нет Адаптер PPP VPN-подключение: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : VPN-подключение Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.0.201(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . . . . : DNS-серверы. . . . . . . . . . . : 178.xxx.xxx.xxx 178.xxx.xxx.xxx NetBios через TCP/IP. . . . . . . . : Включен Ethernet adapter Ethernet: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Контроллер семейства Realtek PCIe GBE Физический адрес. . . . . . . . . : 1X-6X-6X-9X-7X-6X DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да Локальный IPv6-адрес канала . . . : fe80::201f:b3f5:6a12:66e4%3(Основной) IPv4-адрес. . . . . . . . . . . . : 192.168.0.253(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Аренда получена. . . . . . . . . . : 5 февраля 2015 г. 21:15:41 Срок аренды истекает. . . . . . . . . . : 6 февраля 2015 г. 21:15:40 Основной шлюз. . . . . . . . . : 192.168.0.1 DHCP-сервер. . . . . . . . . . . : 192.168.0.1 IAID DHCPv6 . . . . . . . . . . . : 52195173 DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1C-1E-33-77-1C-6F-65-95-7E-67 DNS-серверы. . . . . . . . . . . : 192.168.0.1 NetBios через TCP/IP. . . . . . . . : Включен Туннельный адаптер isatap.{377D0BB6-B0A1-4C1B-8009-EF8515804109}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да Туннельный адаптер Teredo Tunneling Pseudo-Interface: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6abd:3cac:5af:4d03:97c9(Основ ной) Локальный IPv6-адрес канала . . . : fe80::3cac:5af:4d03:97c9%5(Основной) Основной шлюз. . . . . . . . . : :: IAID DHCPv6 . . . . . . . . . . . : 134217728 DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1C-1E-33-77-1C-6F-65-95-7E-67 NetBios через TCP/IP. . . . . . . . : Отключен Туннельный адаптер isatap.{C89ED266-7EDD-47D5-BFEF-EA10674BF1B5}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2 Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да C:\Users\user>route print =========================================================================== Список интерфейсов 25...........................VPN-подключение 3...1x 6x 6x 9x 7x 6x ......Контроллер семейства Realtek PCIe GBE 1...........................Software Loopback Interface 1 4...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP 5...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.253 10 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 178.XXX.XXX.XX2 255.255.255.255 192.168.0.1 192.168.0.253 11 192.168.0.0 255.255.255.0 On-link 192.168.0.253 266 192.168.0.0 255.255.255.0 192.168.0.200 192.168.0.201 11 192.168.0.201 255.255.255.255 On-link 192.168.0.201 266 192.168.0.253 255.255.255.255 On-link 192.168.0.253 266 192.168.0.255 255.255.255.255 On-link 192.168.0.253 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.0.253 266 224.0.0.0 240.0.0.0 On-link 192.168.0.201 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.0.253 266 255.255.255.255 255.255.255.255 On-link 192.168.0.201 266 =========================================================================== Постоянные маршруты: Отсутствует IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 5 306 ::/0 On-link 1 306 ::1/128 On-link 5 306 2001::/32 On-link 5 306 2001:0:9d38:6abd:3cac:5af:4d03:97c9/128 On-link 3 266 fe80::/64 On-link 5 306 fe80::/64 On-link 3 266 fe80::201f:b3f5:6a12:66e4/128 On-link 5 306 fe80::3cac:5af:4d03:97c9/128 On-link 1 306 ff00::/8 On-link 3 266 ff00::/8 On-link 5 306 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует |
0. У вас домашняя локальная сеть и сеть, в которой находится ваш сервер, принадлежат одной подсети: 192.168.0.*. Меняйте где-нибудь подсеть.
1. Отключите в свойствах сетевых подключений протокол IPv6. Не нужен он вам. 2. Это что за: Цитата:
|
работает, спасибо всем огромное
|
Позволю себе продолжить...
( не понимаю, как снять статус "решено" ) На клиентской машине Windows 10. Вроде повторил всю настройку, но.... Проблема выглядит так: когда включаю VPN подключение, пропадает подключение к интернету. Помнится при настройке под Windows 8.1 в аналогичной ситуации решение было: "На клиенте в свойствах VPN-подключения снимите галку "Использовать шлюз в удалённой сети ..." в свойствах TCP/IP" Здесь-же ( под Windows 10 ) я не могу найти что-либо подобное в свойствах VPN. |
Цитата:
Цитата:
|
Цитата:
Всё заработало, спасибо |
| Время: 15:19. |
Время: 15:19.
© OSzone.net 2001-