Помогите с настройкой VPN-сервера для Windows 2003
 

Доброго времени суток всем.
У меня есть следующая проблема: настроено АДСЛ соединение через Usergate 2.8. Все было бы нормально, если бы не было прокси для работы в интернете и нормало принимало бы почту. Из-за прокси естественно не работают онлайн игры, в которых в свойствах сети явно не указана возможность подключения через прокси.
Задача: небходимо создать VPN-сервер (в данном случае на Вин 2003) для избавления от прокси и раздачи инета по логину и паролю.
Очень хотелось бы получить от уважаемых обитателей этого форума пошаговую инструкцию для настройки ВПН-сервера под 2003 Виндовс с указанием как создать пользователя и присвоить ему логин/пароль. Также чем можно для этой системы считать и раздавать траффик, ограничивать скорость, указывать правила для работы в инете, считать траффик по разному тарифу в разное время суток. Если не трудно, напишите или дайте ссылку на подробный материал по этому вопросу для "чайника".

P.S. Убедительная просьба не отправлять меня в хелп по Виндовсу, так как там конкретно я ничего не нашел.
P.P.S. я почти уверен, что многие сетестроители сталкивались с подобной проблемой и задачей, так что очень надеюсь на вашу помощь...
Заранее спасибо...

Пуск-Администрирование-Маршрутизация и удаленный доступ
Консоль управления-локальный сервер-нижняя левая часть окна. Если увидишь красный индикатор, значит, необходимая служба не подключена,для этого правой кнопкой по имени сервера -Настроить и включить маршрутизацию и удаленный доступ
Далее-Удаленный доступ (VPN или модем) отмечаешь VPN.
Появившееся окно-VPN-подключение предлагает обозначить некоторые параметры будущих подключений. Выбираешь то подключение, которое относится к твоей локальной сети или же Интернету (в зависимости от планируемой структуры и назначения VPN-соединения),а затем-Далее
В окне Назначение IP-адреса мастер предлагает задать настройки IP-адресов, которые будут присваиваться клиентам при подключении. Если на машине установлен DHCP-сервер (что довольно вероятно), выбери пункт Автоматически-Далее
Если хочешь задать диапазон выдаваемых IP-адресов вручную, введи интересующие тебя значения в поля Начальный IP-адрес и Конечный IP-адрес. Проследи, чтобы эти IP-адреса были из той же подсети, что и твой компьютер. В противном случае придется прописывать дополнительные правила маршрутизации, чтобы все клиенты были достигаемы.
На следующем шагу принять параметр по умолчанию -Нет, использовать маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение-Далее-Готово
По большому счету, VPN-сервер готов к работе, однако, подключения к нему пока еще запрещены. Разрешить удаленные подключения поможет опять же системный апплет Маршрутизация и удаленный доступ (окно Администрирование)

Дважды на объекте сервер и выбери-Политики удаленного доступа.
Значок Подключения к серверу маршрутизации и удаленного доступа-правой кнопкой мыши -Свойства опция-Предоставить разрешение на удаленный доступ. Активируй-ОК
Теперь VPN-сервер может принимать входящие подключения, но пока непонятно, какие и от кого. Теперь необходимо указать системе авторизированных для подключения пользователей, что осуществляется через службу каталогов (Active Directory)

Пуск-Администрирование-Active Directory - пользователи и компьютеры
Создай новую или найди интересующую тебя учетную запись и открой ее свойства
В закладке Входящие соединения есть пункт Разрешить доступ. Его и нужно активировать.

В двух словах это всё. Для более тонкой юстировки VPN всё же придётся лезть в хелп.
step-by-step это достаточно трудоёмко. :(
Для всяческих подсчётов и ограничения трафа гляньте архив. Там много чего на эту тему обсуждалось. :)

А нельзя ли хоть одну ссылочку увидеть. А то очень надо.

делаю, и получаю сообщение "В настоящее время на компьютере включен брандмауэр подключение к интернету (ICF). Чтобы настроить RRAS, отключите ICF и повторите попытку."

Захожу в управление компом, отключаю службу, повторяю действия, получаю эту же ошибку!

Собственно в чем косяк?

А если не службу отключать, а сам брандмауер, через "панель управления" - "центр безопасности" ?

а нету такого в панели управления. Помоему такая фишка в ХР, у меня 2003

Точно.
В 2003 оно находится в "control panel" - "windows firewall"

"control panel" - "administrative tools" - "manage your server" -> "add role" -> "remote access/vpn server"
Дальше по смыслу

не поверишь нету :) вот скрин
http://forum.oszone.net/attachment.p...1&d=1200297038

гы =)



А service pack стоит ?

sp1 только, а вообще хз... служба обновлений ничего нового не качает.

у меня тоже sp1

смотри тут, тут или, на худой конец, тут

Упс... В общем снял галочку со всех соединений и мастер настройки VPN заработал

Я тут почитал посматрел поднял впн и возник такой вопрос впн я поднял на проксе на которой нет АД зато на другом сервере АД есть как сделать чтоб юзвери логинили по АД именами
Ада прокся ни в какие домены не входит

Если у тебя прокся в сетке, в которой есть АД но сама туды не включена (по соображениям безопасности - предпологаю).
Можешь попробовать на своей проксе (впн сервере) сделать так - аторизацию пользователей переключить на радиус сервер (его нада будет поднять), который в свою очередь является членом домна.
Start - Adm. tools - R.. A.. R.. A.. правой по серверу, свойства, закладка Security - Autentification provider - RADIUS autentification.

Ради интереса можешь на виртуалках поднять контроллер на нем радиус и впн сервер с клиентом - у меня кажется такое получалось.

Я вчера все сделал как тут написано и у меня слетел весь инет(настроен средствами самой винды 2003-NAT) и dhcp . восстановил все но теперь в dhcp какие-то новые записи возникают с названием BAD_ADDRESS . Что нужно сделать чтобы избежать этих проблем в будущем? И что за записи такие ?

Извините, что я тут с немного левым вопросом... Но тоже про VPN.
Схема строения сети такая: (провайдер)-<PPTP tunnel>-(файл-сервер и прочее на базе 2003 Server SP2)-(WAN-port D-Link DIR-300)-(мини-локалка на LAN-портах и вайфае DIR-300). Хочется сделать стабильную раздачу интернета в локалку.
Проблема первая: ICS, видимо, не работает, пока кто-либо не залогинится на сервер.
Проблема вторая: RRAS в режиме NAT - та же история, но вдобавок приходится лезть в панель администрирования и кликать по connect'у для соответствующего demand-dial интерфейса.

Нужно: обеспечить раздачу интернета в среде, где техобслуживание крайне ограничено (максимум умеет нажимать ресет при зависаниях сервера или power при отключениях напряжения). Решабельно ли это, и если да, то как? Делать ICS+автологин?

Upd: вроде всё решилось отказом от дефолтной маршрутизации на VPN-интерфейсе.

подскажите! глупый вопрос, но увы!

а на клиентских машинах как людям подключаться по VPN ?

а не проще было сделать так
route delete 0.0.0.0.
route add -p 0.0.0.0 mask 0.0.0.0 ip-proxy
и все приложения долны ходить в инет через прокси ( в настройках везде прокси нужно отключить)

s.salata, взгляните на дату создания темы=)

и что из этого , тема разве закрыта?
если нет то может кому-то инфа окажется полезной