VPN server на ISA 2006
Здравствуйте.
Имеется рядовой сервер w2k3, под него ISA server 2006. В сети НЕТ больше никких серверов и сеть одноранговая. (то есть без контроллера домена).
Теперь надо поднимать VPN сервер под ISA.
я создал отдельную группу VPN users в "пользователи и группы" на этом же сервере и туда ввел пользователей, которые должны подключаться к нам в сеть. Теперь пытаюсь вводить эту группу в VPN сервер, но выдает такую ошибку:
дела в том, что работаю под привилегиями АДМИНИСТРАТОР !
как можно решить эту проблему ? |
krec
В ISA->Конфигурация->Общие->Назначение административных ролей: пользователю под которым работаете дали роль "Полный администратор ISA Server " ???
|
Telepuzik,
спасибо большое. блин, у меня просто он на виртуальном среде работает и я забыл, что с хостового машины пытаюсь добавить группу из хостового машины )))
|
А скажите пожалуйста, вот такая политика хватит для тобо, чтоб удаленные пользователи смогли подключиться к нашему сети ?
 |
Настраивал VPN на сервер, вроде как все положено, но когда клиент подключается к серверу - у клиента пропадает сам интернет !
Я как понимаю - надо где-то писать маршрутизацию.
настроил так:
- активировал VPN киенты, добавил тех пользователей, которые должны подключаться к серверу(учетные записи), потом добавил пул IP адресов: 192.168.2.200 - 192.168.2.230.
На удаленном машине локальный адреса : 192.168.1.0/24 раздается. а на офисном сети: 192.168.0.0/24.
Щас вот задача в том, чтобы клиенты смогли к нам подключиться, пользоваться нашими расшаренными документми, получили почту из нашего локального почтового сервера, но при этом использовали СВОЙ интернет.
Может подскажете как настроить клиента ?
|
krec
Смотрите в настройках VPN соединения на клиенте параметр "Использовать основной шлюз в удалённой сети" галка должна быть снята.
|
Telepuzik
спасибо. нашел ! буду пробовать
|
пробовал. теперь все нормально подключается, просто не видно и не пингуется к нашего сети.
вот IPconfig у клиента , когда подключен к VPN серверу:
Код:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : Clinet2
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Адаптер PPP VPN-connect:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-server
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.201(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8102E Family PCI-E Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-24-8C-E7-xx-xx
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.211(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1
а вот и таблица маршрутизации у клиента:
Код:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.211 276
77.39.хх.хх 255.255.255.255 192.168.1.1 192.168.1.211 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.211 276
192.168.1.211 255.255.255.255 On-link 192.168.1.211 276
192.168.1.255 255.255.255.255 On-link 192.168.1.211 276
192.168.2.0 255.255.255.0 192.168.2.200 192.168.2.201 21
192.168.2.201 255.255.255.255 On-link 192.168.2.201 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.211 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.211 276
255.255.255.255 255.255.255.255 On-link 192.168.2.201 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
===========================================================================
подскажите пожалуйста, как настроить правильно ? |
krec
Тут есть два варианта:
1. Сделать пул адрессов для VPN клиентов из внутренней подсети 192.168.0.0, а не из подсети 192.168.2.0
2. Оставить пул адрессов VPN 192.168.2.0 и на клиентах прописать route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200
|
Telepuzik
Цитата:
Цитата Telepuzik
1. Сделать пул адрессов для VPN клиентов из внутренней подсети 192.168.0.0, а не из подсети 192.168.2.0 »
|
а если у нас в локалке используеться адресация 192.168.0.0/24 - ничего?
Цитата:
Цитата Telepuzik
2. Оставить пул адрессов VPN 192.168.2.0 и на клиентах прописать route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200 »
|
а после переподключение этот маршрут не удалиться ?
а вот и на всякий случай вкладываю Ipconfig из ISA(vpn) сервера:
Код:
C:\>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server_ISA
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Интерфейс RAS-сервера - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.200
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
LOCAL - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
Физический адрес. . . . . . . . . : 00-0C-29-A2-хх-хх
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
INET - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter #2
Физический адрес. . . . . . . . . : 00-0C-29-A2-хх-хх
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.11
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1
C:\>
|
Цитата:
Цитата krec
а если у нас в локалке используеться адресация 192.168.0.0/24 - ничего? »
|
Исключите из внутренней подсети часть адресов которые будут выдаваться VPN клиентам.
Цитата:
Цитата krec
а после переподключение этот маршрут не удалиться ? »
|
Могу конечно и ошибаться но помоему ISA присваевает себе первый адрес из пула. При переподключении адрес шлюза остается 192.168.2.200 или меняется? После того как прописали route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200 пинг стал проходить во внутреннюю сеть ? |
Telepuzik,
Цитата:
Цитата Telepuzik
Исключите из внутренней подсети часть адресов которые будут выдаваться VPN клиентам. »
|
И как это делать ? если в DHCP сервере "урезать" адреса для локального сети: 192.168.0.20 - 192.168.0.199, то получится в ISA добавить пул 192.168.0.200 - 192.168.0.220 ?
хотя вот картина из DHCP сервера:
Цитата:
Цитата Telepuzik
Могу конечно и ошибаться но помоему ISA присваевает себе первый адрес из пула. При переподключении адрес шлюза остается 192.168.2.200 или меняется? После того как прописали route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200 пинг стал проходить во внутреннюю сеть ? »
|
просто это немного нудно кажется, и не очень уверен, что после переподключене все будет работать.
P.S. кстати, я в предыдушем посте добавил Ipconfig из ISA сервера. посмотрите, может поможет разобратся ситуацией ?
|
Цитата:
Цитата krec
И как это делать ? если в DHCP сервере "урезать" адреса для локального сети: 192.168.0.20 - 192.168.0.199, то получится в ISA добавить пул 192.168.0.200 - 192.168.0.220 ? »
|
В ISA->Конфигурация->Сети выбираете внутреннюю сеть и на закладке "Адреса" задаете например два диапазона:
1.192.168.0.0 - 192.168.0.199
2.192.168.0.221 - 192.168.0.255
А VPN клиентам отдаете диапазон 192.168.0.200 - 192.168.0.220, и соответственно исключаете этот диапазон из выдачи на DHCP сервере. |
подключился клиент к нам. И по IP может посмотреть наши расшаренные ресурсы, но мы не сможем достучатья до клиенам. вот окно состояния клиента:
Пинги не идут на 192.168.0.204. (это IP VPN клиента). как можно установить 2-х сторонную работу?
P.S. кстати, можно длать так, чтоб клиеты всегда имели один и тот же IP при каждом подключение ? а то каждый раз у них другой IP.
вот так выглядит сетевые политики:
 |
Цитата:
Цитата krec
Пинги не идут на 192.168.0.204. (это IP VPN клиента). как можно установить 2-х сторонную работу? »
|
Создайте правило файрвола: Весь исходящий трафик из Internal к VPN Clients Разрешить Все пользователи
И сетевое правило: Сети источника: Internal Сети назначения: VPN Clients Отношение сетей: Маршрутизация |
Ага. сделел все, как сказали. создал правило в файрвола - пинги пошли. все с пнгами в порядке, а вот подключиться к расшаренным папкам VPN клиента - не получается, выдает такая ошибка:
само сетевое правило создал так:
 |
krec
Это уже проблема с настройками системы VPN клиента, посмотрите вот эту тему.
|
Telepuzik
блин, а там Windows vista home basic. так что надо искать альтернативные методы. ну ладно, это в другом разделе обсужу. Но у меня остались несколько непоняток - чисто любопытные вопросы:
- можно делать так, чтоб пользователи получили статический IP от VPN сервера ? (чтоб прописать у себя пути к расшаренным папкам клинта)
- можно настроить клиент так, чтоб при подключение к сети(интернет) - автоматом подключились к нам в сети? (чтоб сразу составили чась нашего локальног сети)
- зачем надо было сетевое правило:
Цитата:
Цитата Telepuzik
Сети источника: Internal Сети назначения: VPN Clients Отношение сетей: Маршрутизация »
|
??
|
Цитата:
Цитата krec
можно делать так, чтоб пользователи получили статический IP от VPN сервера ? (чтоб прописать у себя пути к расшаренным папкам клинта) »
|
В свойствах пользователя, под которым подключается клиент(в Active directory) - вкладка Входящие звонки - ставим галку "Статический адрес пользователя" - и указываем нужный IP. У меня так 3 филиала работают.
Цитата:
Цитата krec
можно настроить клиент так, чтоб при подключение к сети(интернет) - автоматом подключились к нам в сети? (чтоб сразу составили чась нашего локальног сети) »
|
Как подключение происходит? Если подключение по требованию(ADSL или еще как), то можно просто сделать bat файл, в котором прописать:
Код:
rasdial "имя подключения к интернет"
rasdial "имя подключения к VPN"
|
Время: 12:51.
© OSzone.net 2001-
