Win 2003 Server удаленный доступ через модем из дому в интеренет на рабочем ПК

Ситуация такая:

Сервак Вин 2003 + 2 сетевухи + ВинГейт. 1-я сетевуха на АДСЛ модем, 2-я в локалку.
1-я сетевуха:
IP: 192.168.0.1
Mask: 255.255.255.0
Шлюз: 212.42.64.49
DNS1: 212.42.72.7
DNS2: 212.42.72.9
Дополнительно->IP: 192.168.0.1/255.255.255.0 212.42.64.50/255.255.255.248

2-я сетевуха:
IP: 192.168.209.1
Mask: 255.255.255.0

С локалки инет пашет нормально...
Проблема с удаленным доступом через модем...
дозвон и соединение проходит нормально, но доступа в инет нету.
Присваивается адрес 192.168.209.111
В настройках эксплорера ставится прокси 192.168.209.1/3128

В вингейте пишет DNS: lookup ".введенный адрес." и нифига

Может кто сталкивался с подобной проблемой - подскажите плиз как решить...

[oldgoat]

Года два назад пытался в конторе проделать аналогичный эксперимент на win2k server, но закончился он также неудачей.
ИМХО, причина в том, что под виндой на одном компе RAS и NAT вместе не уживаются.
Решение было найдено такое:
Выделили комп под второй сервер (это PII-350 256 Mb мозгов).
Теперь на файловом развернут только RAS и к нему подключен модем. Была проблема с входным модемом, но была решена при помощи замены на старый добрый Courier V.Everything 33600.
Второй сервер, как у тебя, шлюз в инет с двумя сетевыми интерфейсами, второй интерфейс воткнут в АДСЛ. На этом сервере развернут NAT и установлена стенка.
Все работает.

Есть еще вариант - чтобы не городить второй сервак, - развернуть RAS на любой рабочей станции во внутренней сети и туда же, разумеется, подключить модем, благо на рабочей станции с win2k или ХР это все делается без проблем.

Удачи.

[Cartman]

Цитата:

oldgoat:
причина в том, что под виндой на одном компе RAS и NAT вместе не уживаются

Фигня. Работало у меня еще на NT 4. Правда под Winroute.

Цитата:

ingvarr:
Может кто сталкивался с подобной проблемой

Честно говоря с Вингейтом с 4-ой версии не работал. Если есть возвожность - попробуй винроут. Если нет - пропингуй оба интерфейса, потом раскажи о результатах.
ЗЫ, а Вингейт сейчас НАТ поддерживает ?

[LankyMax]

Сталкивался с той же проблемой на компе без NAt'а. Проблема оказалась в правильных настройках RAS'а.

Цитата:

Сообщение от Migel M. Volos

Фигня. Работало у меня еще на NT 4. Правда под Winroute.

Честно говоря с Вингейтом с 4-ой версии не работал. Если есть возвожность - попробуй винроут. Если нет - пропингуй оба интерфейса, потом раскажи о результатах.
ЗЫ, а Вингейт сейчас НАТ поддерживает ?

НАТ включен был... Вингейт 5.2.3

Сегодня вобще фигня - нифига не пашет... Вингейт накрылся медным тазом... уже и переустанавливал его, ща качаю винроут... буду с ним пробовать, а то не дело это сегодня пашет - завтра нет... мля...

[oldgoat]

Цитата:

Migel M. Volos:
Фигня. Работало у меня еще на NT 4

Ну, про то, что совсем вместе не живут я возможно и погорячился, но все-таки, позволю себе процитировать:

Цитата:

Настройка службы маршрутизации и удаленного доступа
Данный раздел описывает использование Windows 2000 Server (или Advanced Server) в качестве IP-маршрутизатора, обеспечивающего помимо собственно маршрутизации и трансляцию адресов (NAT), или в качестве сервера удаленного доступа (RAS). Отметим, что хотя совместное использование RAS и NAT на одном компьютере и допустимо, но трансляция по NAT обмена RAS-клиентов не производится. Причина - невозможность объявить RAS интерфейсом маршрутизации и, тем более, сделать его частным интерфейсом. Рекомендуемый способ обхода – разнести сервера входящие и исходящие подключения на разные компьютеры, т.е. разделить RAS и NAT.

А живет это здесь: http://support.vulkan.ru/base/win2k.htm

Я, всего навсего, предложил работающее, проверенное не мной одним решение.

Кстати, мне кажется, что эту тему следовало бы перенести в раздел СЕТИ.

[Cartman]

Цитата:

oldgoat:
Причина - невозможность объявить RAS интерфейсом маршрутизации

Его и не нужно объявлять таковым. Настроить это непосредственно средствами виндов не получится.
Я так думаю, что можно поставить 6-ой винроут, настроить VPN и пользоваться всеми благами локальной сети, включая шлюз в интернет.

[LankyMax]

Есть вообще экстравагантное, но трудоемкое решение.

Ставим на этот комп FreeBSD c Firewall, Nat, Ras и Samba. Эмулируем домен.

Все законно и со вкусом.

[oldgoat]

Цитата:

ingvarr:
2-я сетевуха:
IP: 192.168.209.1
Mask: 255.255.255.0

Цитата:

ingvarr:
В вингейте пишет DNS: lookup ".введенный адрес." и нифига

Кстати, ИМХО, отчасти собака зарыта именно здесь:
надо прописать в свойствах DNS-клиента (на втором интерфейсе, который private) в качестве DNS-сервера его собственный адрес, - 192.168.209.1
Если используется NAT, поле Default Gateway оставляется пустым.

В конфигурации клиентов, выходящих в инет из сети:
в качестве DNS-сервера - 192.168.209.1 - адрес private интерфейса
в качестве Default Gateway - тоже 192.168.209.1 и то же самое должно быть у клиента, подключающегося через RAS.

LankyMax

Цитата:

LankyMax:
Ставим на этот комп FreeBSD c Firewall, Nat, Ras и Samba. Эмулируем домен.

а зачем?

[Quasar]

Цитата:

Сообщение от oldgoat

Есть еще вариант - развернуть RAS на любой рабочей станции во внутренней сети и туда же, разумеется, подключить модем, благо на рабочей станции с win2k или ХР это все делается без проблем.

Очень интересно. Я как раз рою в этом направлении, ибо у меня грабли там, где их, по идее, быть не должно.

А именно : модем на windows 2000 prof sp4 rus берет трубку, но не проходит авторизация (по таймауту).

Подозреваю, что мог остановить необходимые для приема звонков службы.

В связи с этим вопрос : какие службы должны быть запущены на windows 2000 professional "автоматом" для приема звонков? (например, служба "удаленное управление реестром" нужна или нет).

В процессе дозвона получаю на клиенте ошибку 619 (были и другие номера ошибок), а на "сервере" -

==========
Тип события: Предупреждение
Источник события: RemoteAccess
Категория события: Отсутствует
Код события: 20049
Дата: 23.09.2004
Время: 22:21:25
Пользователь: Нет данных
Компьютер: S
Описание:
Пользователь, подключенный к порту COM2, был отключен, поскольку процесс
проверки подлинности не был завершен за требуемое время.
==========

Модем "сидит" на COM2. И клиент, и "сервер" - windows 2000 professional sp4.

Вопрос : как решить проблему?

Могу прислать скриншоты ошибок.

[oldgoat]

Полагаю, что следует проверить следующие вещи:
Incoming Connection Properties -> Users
Пользователь добавлен?
Там же: чекбокс "Require all users to secure their passwords and data"
советую не заморачиваться и ПТИЦУ, если поставил ее раньше, УБРАТЬ.
С VPN я бы тоже не заморачивался.

[Quasar]

Цитата:

oldgoat:
Incoming Connection Properties -> Users
Пользователь добавлен?

Да.

Цитата:

Там же: чекбокс "Require all users to secure their passwords and data"
советую не заморачиваться и ПТИЦУ, если поставил ее раньше, УБРАТЬ.
С VPN я бы тоже не заморачивался.

Эти галки были убраны.

Больше идей нет?

Хм...
Безопасность сети определяется её самым узким местом - стало быть доступом из DMZ в локалку.
Стало быть нужно - как МИНИМУМ - обеспечить безопасное соединение. IPSec вам в помощь - благо ничего сложного в генерации сертификатов нету.
ДНС захотели удаленно поюзать? Красиво, но за это люди из отдела информ безопасности могут не только по ушам надовать, но и по другим, менее (или более) оттопыренным частям.
Как же так, люди? Вы прикиньте, что будет, если чувак из ДМЗ в локалку по ДНСу стучатся будет? =))) Ага, набираю http://www.cool-man.ru:10000 из инета - и попадаю к webminу?
Лучше уж по ИП.

MNT, так можно далеко недозаморочится. Данные-то все-таки шифровать надо, аутентификацию с авторизацией никто не отменял =))

Кстати, скажу по секрету: PPTP работает даже через цисковские НАТы =)

Lanky, кстати говоря, 'Ставим на этот комп FreeBSD c Firewall, Nat, Ras и Samba. Эмулируем домен' это бред. Почитай десять раз и поймешь.

В общем, народ - RTFM =))

Господа, вы действуете как последние ммм... админы конца 80-х - тогда тоже никто не знал, почему удаленному серваку файл зоны внутренней сети пересылать нельзя...

Аривидерчи - и учитесь думать, а не кликать!