С работы домой по VPN
 

Всем привет!

Подскажите в какую сторону копать. Есть на работе ноутбук с нормальным подключением к интернет и XP Home SP3. Есть дома комп с Vista Ultra, подключенный к Интернет через роутер Asus RT-N15.
Задача подключиться с работы с ноутбука на компьютер домой.

Ранее, когда в виде роутера был ДЛинк я использовал VPN установку на роутере и с ноутбука подключался в домашнюю локальную сеть. Т.е. было соединение Ноутбук -> VPN на DLink -> Комп. Насколько я помню использовался IPSec. Сейчас на асусе, как я понимаю такого функционала нет. Нет возможности настроить VPN хост.

Соответственно сейчас нужно сделать следующее, как я понимаю:
Ноутбук -> Проброс сессии VPN по порту на Asus -> Комп
При этом поток VPN соединение открывается непосредственно между ноутбуком и домашним компом.

Отсюда вопрос - каким ПО воспользоваться? Сильно сильное шифрование не нужно. Хорошо бы, что бы была инструкция по установке и проброске портов.

Заранее спосибо.

А VPN - обязательное условие? :confused:
ИМХО, вполне достаточно просто открыть порт RDP (TCP 3389) и подключаться стандартным "Удалённым рабочим столом"...

Человек говорит, что у него на работе Home версия, есть ли там "Удаленный рабочий" ? Никогда не пользовал, но что-то слышал про его отсутствие...

Я посоветовал (в ЛС) Teamviewer, ИМХО, это решение проблемы...

Как-то не очень хочется оставлять открытый порт через домашний железный файрвол.
Мало ли чего....

добавлено через 1 минуту
Ремот в хоме есть. Во всяком случае его и отдельно можно поставить.

У меня стоит logmein (бесплатная версия). Просто и удобно. Не мешают никакие прокси и брандмауэры, поскольку работа идет через браузер (хотя наверное есть исключения). Настройка совершенно тривиальная.
Позволяет даже буферы обмена синхронизировать.

Вот немного смущают меня программы работающие через третие сервера. Смущают. Хотелось бы честный VPN поставить.... Мне какжется, что оно как-то надежнее будет.

Это решается закрытием достпа к этому порту извне для любых адресов кроме вашей рабочей сетки.

В качестве сетки используется Yota. Там динамические адреса. Так что не особо поможет :)

Так же - поскольку оконечное устройство ноут, то его можно таскать везде с собой. В результате подключения могут быть не только через йоту, а например и через обычный вайфай в кафе гдеть.

Так что враиант с закрыванием на сетку - не очень подходет.

ну тогда чего-нибуть такое, например
http://theillustratednetwork.mvps.or...P/PPTPVPN.html
навсчет l2tp точно будут проблемы
http://support.microsoft.com/kb/926179

У любого решения есть плючы и минусы. Минус - работа через чужой сервер. Плюс - работа без инсталляции с любой машины, через прокси в фаерволы.

Да, первая инструкция оказалась полезной :) Удалось настроить достаточно легко и сервер и клиента.
С роутером пришлось немного подолее повозиться, но все равно сраслось.
На роутере нужно открыть 1723 для TCP на машину с сервером плюс открыть 47-й протокол на машину с сервером. Тогда коннектится. Роутер RT-N15 от асуса.

Все подключается, но не могу пока разобраться с роутингом. Дома ВайМакс не ловится, а вайфай соседа имеет такую же седку подсети, что и моя домашняя сетка.

В общем как результат - тунель устанавливается (на сервере появляется подключение). Но даже не пигуется ничего в моей домашней сети с клиента. Не очень понятно как нужно рутинг писать..... Даже в общих чертах.
Весь трафик пускать по VPN или что-то не пускать... Пока ничего не работает....

на первый взгляд ничего прописывать не нужно у вас на клиенте будет IP из подсети локалки.
Тут скорее дело в фаерволахи и их правилах

На файрвол не похоже. Хочу убедиться, что у меня все ОК с роутингом сначала.... (см. ниже)...

добавлено через 8 минут
Коллеги, все с роутингом нормально у меня при подключении по VPN-у?

До подключения - маршруты на ноутбуке (подключен по ваймаксу):

---------------------------------------------------------
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : AspireOne
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети 4 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Samsung USB mWiMAX Adapter
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.128.31.254
Маска подсети . . . . . . . . . . : 255.255.224.0
Основной шлюз . . . . . . . . . . : 10.128.0.1
DHCP-сервер . . . . . . . . . . . : 10.128.0.1
DNS-серверы . . . . . . . . . . . : 94.25.128.74
94.25.208.74
------------------------------------------------

При этом роутинг вот такой:
------------------------------------------------
====================================================================== =====
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.128.0.1 10.128.31.254 20
10.128.0.0 255.255.224.0 10.128.31.254 10.128.31.254 20
10.128.31.254 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.128.31.254 10.128.31.254 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.128.31.254 10.128.31.254 20
255.255.255.255 255.255.255.255 10.128.31.254 10.128.31.254 1
Основной шлюз: 10.128.0.1
====================================================================== =====
Постоянные маршруты:
Отсутствует

--------------------------

После подключения по VPN-у получаем следующее:
-----------------------------
Подключение по локальной сети 4 - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Samsung USB mWiMAX Adapter
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.128.31.254
Маска подсети . . . . . . . . . . : 255.255.224.0
Основной шлюз . . . . . . . . . . : 10.128.0.1
DHCP-сервер . . . . . . . . . . . : 10.128.0.1
DNS-серверы . . . . . . . . . . . : 94.25.128.74
94.25.208.74
Аренда получена . . . . . . . . . : 29 мая 2009 г. 8:38:10
Аренда истекает . . . . . . . . . : 29 мая 2009 г. 11:38:10

KVV HOME - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.110
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.0.110
DNS-серверы . . . . . . . . . . . : 192.168.0.1
------------------------
и:
------------------------
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.128.0.1 10.128.31.254 21
0.0.0.0 0.0.0.0 192.168.0.110 192.168.0.110 1
10.128.0.0 255.255.224.0 10.128.31.254 10.128.31.254 20
10.128.31.254 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.128.31.254 10.128.31.254 20
77.37.143.115 255.255.255.255 10.128.0.1 10.128.31.254 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.110 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.110 192.168.0.110 50
224.0.0.0 240.0.0.0 10.128.31.254 10.128.31.254 20
224.0.0.0 240.0.0.0 192.168.0.110 192.168.0.110 1
255.255.255.255 255.255.255.255 10.128.31.254 10.128.31.254 1
255.255.255.255 255.255.255.255 192.168.0.110 192.168.0.110 1
Основной шлюз: 192.168.0.110
------------------------
При этом интернет на буке ессно не работает :) Пинги ни на одну машину в сети 192.168.0.х не ходят (ни на хост, который 109, ни на рутер, который 1).... Отключения файрволов не помогает.

Явно нет.
При соединении по VPN через инет основной шлюз не должен вешаться на VPN-соединение.
В противном случае весь инет-траффик заворачивается в домашнюю сетку... Точнее, в данном конкретном случае, он весь остаётся на 192.168.0.110 (кроме прописанного отдельно в таблице роутинга 77.37.143.115).
Если из каких-либо специальных соображений инет-траффик необходимо пропускать через домашнюю сетку - шлюзом по умолчанию должен назначаться 192.168.0.1 (или какой он там у вас)...

Вот мне так то же кажется. Не понятно только почему он таким становится? :)
Нигде никаких намеков на такой роутинг даже нету....
Но, так же не понятно следующее:
1. Если на клиенте не устанавливать принудительно IP адрес (х.110), то он присваевается автоматически х.109 (а это адрес сервера VPN).
2. Почему не идут пинги до сети 168.х? Если все заручено именно туда.
3. Стоит ли прописывать статический рутинг в этом случае или попытаться понять, почему оно само так хитро рутится?

1. проверьте пул, который вы на выдачу поставили.
Если верить тому, что в примере по ссылке, а оснований не верить нет, то так быть не должно

На сервере VPN стоит - давать адрес автоматически используя DHCP.
Но он что-то как-то ленится. В сети 192.х есть DHCP сервер на роутере....

Можно конечно, попробовать поставить, что бы он жестко давал адрес.... Но исправит ли это рутинг?

В общем поставил диапазон со 110-го по 120-й, в понедельник посмотрим :)

В понедельник попробовать не удалось. Йота лежала весь день и даже не валялась. Однако во вторник все завелось :) И помогла ведь сущая ерунда - на сервере прописать пул адресов.
Текущая ситуация - на буке инте есть при подключении VPN, на домашний комп могу заходить через RDC. Шаренные папки пока не вижу.

В общем сейчас роутинг после подключения по VPN выглядит следующим образом:
====================================================================== =====
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.128.0.1 10.128.25.148 21
0.0.0.0 0.0.0.0 192.168.0.113 192.168.0.113 1
10.128.0.0 255.255.224.0 10.128.25.148 10.128.25.148 20
10.128.25.148 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.128.25.148 10.128.25.148 20
77.37.143.115 255.255.255.255 10.128.0.1 10.128.25.148 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.113 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.113 192.168.0.113 50
224.0.0.0 240.0.0.0 10.128.25.148 10.128.25.148 20
224.0.0.0 240.0.0.0 192.168.0.113 192.168.0.113 1
255.255.255.255 255.255.255.255 10.128.25.148 10.128.25.148 1
255.255.255.255 255.255.255.255 192.168.0.113 192.168.0.113 1
Основной шлюз: 192.168.0.113
====================================================================== =====
Постоянные маршруты:
Отсутствует

Некоторое время оно работает, работает, потом отрубается (отрубается даже инет на машине, помогает только включить выключить модем). Мне кажется, что зря 192.168.0.113 становится основным шлюзом :-\
Как бы это поправить покрасивше?

самое простое это сделать батник который будет стирать ненужный дефолт и прописывать роут на домашнюю сетку через впн подключение

С маршрутами удалось разобраться. Почитав мелкософт http://technet.microsoft.com/en-us/l.../cc776755.aspx
удалось получить такой рутинг:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.128.0.1 10.128.30.147 20
10.128.0.0 255.255.224.0 10.128.30.147 10.128.30.147 20
10.128.30.147 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.128.30.147 10.128.30.147 20
77.37.143.115 255.255.255.255 10.128.0.1 10.128.30.147 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.113 192.168.0.113 1
192.168.0.113 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.113 192.168.0.113 50
224.0.0.0 240.0.0.0 10.128.30.147 10.128.30.147 20
224.0.0.0 240.0.0.0 192.168.0.113 192.168.0.113 50
255.255.255.255 255.255.255.255 10.128.30.147 10.128.30.147 1
255.255.255.255 255.255.255.255 192.168.0.113 192.168.0.113 1
Основной шлюз: 10.128.0.1
====================================================================== =====

Т.е. со шлюзами все ОК, рутинг то же выглядит нормально.
Дело оказалось в том, что в продвинутых настройках TCP/IP клиента стояла галочка - использовать туннель как гейтвей. Естественно все туда и рутилось.

Однако проблема "зависания" интернет подключения осталась. Т.е. если подключать VPN, то все чудно работает, однако минуты через 3 отрубается коннект Интернет напрочь. Напомню, у меня юзается йота при помози USB свситка WiMax. При этом модем работает, подключение есть, но никакие пакеты никуда не уходят.

Пока не понятно очего это происходит, даже предположений нету... Из-за рутинга? Похоже по симпотомам и времени возникновения (3-4 минуты после подключения), однако ROUTE PRINT показывает в общем-то не криминальную картину.

Так, а ларчик оказывается открывался еще проще, чем выглядело с самого начала.
Оказывается, что с роутингом было все в порядке. Даже в режиме перенаправления всех соединений в VPN тунель. При этому перенаправляется действительно все (кроме роутинга непосредственно на сам сервер VPN-а) и Интернет должен работать через тунель.
В оригинальном XP, действительно была проблема связанная с таким режимом, на мелкософте даже есть хотфикс. Однако начиная с SP2 ее поправили стандартно.

В моем случае собака порылась в друго месте, а именно в MTU. По умолчанию XP ставит MTU 1500 для всех соединений. Нормально его ни посмотреть, ни поменять нельзя, только через регистр.
Вот тут описывается подробно, как это сделать
http://support.microsoft.com/kb/826159
. После установки малого MTU (поставил что-то вроде 500) на VPN - все стало работать без каких-то падений.

Остается только догадываться, почему падало основное подключение к интернет, при падении VPN канала. Видимо связано с общей кривостью стека XP. Поскольку, если смотреть по пингам, то во время установления VPN туннеля, происходит небольшое замирание (ну или залипание) основного соединения (один пинг не проходит).

Сейчас осталось разобраться только с тем, как начать видить сеть и сетевые ресурсы удаленной сети через проводник и подобные ресурсы, а так же попытаться подключить удаленный принтер :)

В общем все работает как мне надо, т.е. файлы по мелкософт нетвор гонятся туда-сюда между шарами, принтер подключился. Свзяь стабильная, не рвется.

Исключение - немного аннонит то, что не вижу в рабочей группе другие компьютеры в удаленной сети. А так же не могу зайти на \\имя_ресурса или подконенктится к \\имя_ресурса\шара
Могу только на \\айпи_ресурса\шара (просто \\айпи_ресурса не видит).
Естественно в просмотре сети, вижу только самого себя.

Что делать не очень понятно :-\ принципе жить-то можно, но как-то не кузяво получается.

ну можно файлик hosts заполнить

Можно конечно, но как-о не кузяво :) NetLook все видит (и даже больше), а вот виндус не желает ничего видеть :-\
Все советы связанные решением проблем завязаны на использование домена, ну а какой домен на домашней-то сетке :)

Установка PPTP VPN Server под виндус 7 тут http://www.howtonetworking.com/VPN/win7vpn1.htm

Что-то разладилась моя система. Понять не могу почему. Все работало до определенного момента нормально. Потом раз и перестало. И главное ведь, ничего не делал.

С ноутбука подключаюсь к главному компу, соединение начинается, доходит до проверки логина и пароля. Долго думает и вылезает:

Ошибка: 721: Удаленный компьютер не отвечает.

В ивентвьювере главного компа никаких записей нет вообще. Пробовал менять пароли на пользователя для подключения.... Ничего.

Если удалить соединение на главном компе, то нетбук не доходит до логина с паролем. Выдает 800-ю ошибку. Это значит, что коннект проходит.

При помощи утилиты PPTP Ping (http://technet.microsoft.com/en-us/l.../bb877965.aspx) проверил - компы видят друг друга и это не проблема с файрволами, роутерами и прочим.

ultra_boss,

Чем все закончилось? В итоге удалось подключиться?

Хренушки - пока нет. В чем дело не понятно. Но пока необходимость отпала в этом, поэтому поставил на холд. Однако если у кого-то есть свежие мысли на эту тему - буду рад еще покапаться немного.

PS. Так же дополнительно проверил все сервисы, что бы были включены, которые могут быть задействованы на VPN.
Поискал отдельные VPN сервера. Таковых под виндовс из вменяемых оказался только Kerio. Но у него VPN задействован только с их рутером (вот уж чего мне не надо) :)

Так в вялом режиме сделал следующее:
1. Снес Sunbelt (бывший Kerio) Personal Firewall
Подключился к соседскому вайфаю

Заработало.

Ранее подключался через Skype.

Отсюда два варианта:
1. Начал дурить Sunbelt (хотя я его отключал);
2. На йоте начали резать трафик, причем хитро.

А ежели отказаться от VPN и, скажем, попробовать SSH port forwarding? Это если железяка поддерживает SSH... По крайней мере, заморочек не будет с рутингом.

Кстати хорошая идея между прочим.
Роутер может перенаправить порт или пару портов на комп из сети. Если SSH-у это будет достаточно, то наверное будет работать.

Осталось только убедится, что Asus этот поддерживает ssh. Явно это нигде не прописано.

Порт форвардинга разве будет недостаточно на нем?

Т.е.:

Нетбук -> Интернет -> Асус Роутер -> Комп с SSH сервером

Более чем достаточно... :)

Ну тогда вопросов нету, кроме соответственно выбора клиента-сервера и стратегии инкапсуляции протоколов. Видимо там же будет вопрос и роутинга.

Однако есть вопрос относительно стабильности SSH по отношению к PPTP VPN.

Через мобильный PPTP работает из рук вон плохо (EDGE), при малейшей проблеме (или загрузке канала) связь (VPN туннель) рвется и все.

SSH в таком режиме надёжнее или как?

ultra_boss, если у Вас рвётся канал - то рвутся и все туннели в нём. И тут уже не важно, какой туннель...

Так он не совсем рвется. В нем просто затык происходит. Коннект остается, а вот тунель сначала затыкается, через некоторое время отваливается. Способов как это поправить не знаю :-/

Курить настройки туннеля на предмет таймаутов...