VPN: организация и настройка - Сети

14.06.2004, 09:19

Предистория:
Есть контора, которая имеет 2 точки подключения к инет. Точки географически находятся в разных городах, каждой их них выделен свой диапазон из 4 ip-адресов. И все было бы нечего, если бы им вдруг не понадобилось выходить в Инет под одним айпишником. (программка там какая-то он-лайновская авторизует по айпишнику).
Проблема:
Добрые люди подсказили, что можно поднять VPN между точками и на одной из точек (пусть будет server) настроить IIS и тогда все будут счастливы (обе точки будут в свой программке входить под одним айпишником).
Вопросы:
1) Пусть IIS не проблема. Но вот с VPN никогда не сталкивался. Подскажте наиболее полный ресурс, где все это можно культурно почитать
2) Софт? т.е. VPN сервер, который можно было бы поставить под win98. Есть ли VPN сервер под win2000prof и winXP homeedition стандартный, или тоже какую софтину ставить?
Вобщем чего порекомендуете?
2) кто-нить уже сталкивался с данной проблемой? как решалось?
И собственно другие варианты решения проблемы (допустим, чего-нить там пров может у себя сам поправить, чтобы мне ковыряться не пришлось

)

Всем ответившим сенкс!

FantomIL · 14.06.2004, 10:49

SergeyFastEye
организовать VPN сервер можно на любом серверном варианте Винды. Идешь в Control Panel -> Administrative tools -> Routing and Remote Access. Дальше говоришь, что хочешь это дело сконфигурировать в мастере отмечаешь, что тебе нужен VPN сервер. Дальше, как говорится, все просто и интуитивно понятно

Читать здесь http://www.networkdoc.ru/files/insop...l?gl19.html#28
Далее, насколько я знаю, в Kerio Winroute есть встроенный VPN сервер.
И, наконец, можно купить аппаратный роутер со встроенным VPN сервером.
Удачи.

Mamont-San · 04.07.2004, 01:04

Создаю тему повторно, ибо в другом разделе не возымело результата.
Все что нашел на форуме, прочитал.
Помогите кто чем может, а то у меня скоро произойдет отвал башки.

Значится так:
Внутренняя сеть 192.168.0.0(255.255.255.0)
Win2k Ent Server - DHCP и DNS сервер 192.168.0.3
Win2k Ent Server - Маршрутизатор 192.168.0.2, получает автоматом из DHCP.
Второй интерфейс, внешний выделенный IP.

Хочу установить VPN.
Ранее никогда это не делал и не очень понимаю что за зверь.

Для этого запускаю мастер в Routing and Remote Access.
1. Выбираю VPN,
2. протокол TCP/IP
3. выбираю интерфейс подключение к интернету
4. выбираю способ назначения IP адресов клиентам, через DHCP
5. без RADIUS-а, авторизация Windows, пока по крайней мере.
Настраиваю клиента:
Указываю ему чтобы звонился на 192.168.0.2.
IP получать автоматически.

Звоню. Конектится. Проходит авторизацию. Регистрирует компьютер в сети. Далее:
Checking network protocol connections…
TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network. Ну и дальше он мне советует поменять имя компа и попробывать снова. Само собой это дело бесполезное.

Смотрю в DHCP. Он там арендовал несколько адресов, и один из них назначил Internal интерфейсу у маршрутизатора. Тоесть, как я понял именно он и есть интерфейс виртуальной сети.

Ну, я так понял, ip в одном сегменте, и соответственно регистрируя компьютер в сети, он наталкивается на совпадение имен.

Я полез к Internal интерфейсу, указал вручную диапазон адресов 192.168.100.1/192.168.100.254. Внутреннему будет соответствовать 192.168.100.1. Попробовал, та же перда. Указал что пользователь может задавать свой ip, и у клиента прописал этот ip – 192.168.100.10. Так он сказал: TCP/IP CP report error 735: The request address was rejected by the server. Но с рабочей станции пингует внутренний интерфейс 192.168.100.1!

Что я не так наламерил?

Может клиент должен на внутренний ip стучаться?
Посоветуйте как все это правильно сделать.

leonski · 04.07.2004, 06:42

Цитата:

Сообщение от Mamont-San

...Win2k Ent Server - Маршрутизатор 192.168.0.2, получает автоматом из DHCP.Второй интерфейс, внешний выделенный IP...

...Я полез к Internal интерфейсу, указал вручную диапазон адресов 192.168.100.1/192.168.100.254. Внутреннему будет соответствовать 192.168.100.1...

Как я понял из твоего высказывания выше, твой W2k router получает 192.168.0.2 автомвтом из DHCP. Зачем? Пропишы ему статический IP. Так же буть уверен что твой DHCP scope выдает не пересекающиеся IP адреса клиентам. Как ты указал выше, твоя сеть 192.168.0.0(255.255.255.0) то как это ты собираешся использовать диапазон 192.168.100.1 - 192.168.100.254 когда твоя сеть имеет маску 24? Так как ты пока не используешь RADIUS сервер то смотри event viewer твоего VPN сервера, там обычно фиксируется кто и как, когда законектился, а так же если нет, то почему нет. Какой тунельный протокол ты используешь для своих клиентов? Я думаю ты знаешь что для L2TP/IPSec нужен CA

Mamont-San · 04.07.2004, 12:58

Цитата:

Сообщение от leonski

Как я понял из твоего высказывания выше, твой W2k router получает 192.168.0.2 автомвтом из DHCP. Зачем? Пропишы ему статический IP.

Статический ip ему ничего не дает, в DHCP он зарезервирован.
Но для приличия укажу.

Цитата:

Сообщение от leonski

Так же буть уверен что твой DHCP scope выдает не пересекающиеся IP адреса клиентам.

Выдает пересекающиеся.

И я собстно немогу понять как ему это запретить.
Я вот думаю не может тут влиять что 192.168.0.2 зарезервирован в DHCP?
Ведь вроде как внутренний интерфейс роутера использует мак-адрес интерфейса внутреннй сети...

Цитата:

Сообщение от leonski

Как ты указал выше, твоя сеть 192.168.0.0(255.255.255.0) то как это ты собираешся использовать диапазон 192.168.100.1 - 192.168.100.254 когда твоя сеть имеет маску 24?

Клиенты получают ip из DHCP, плюс VPN должен выдавать им тот же ip?

Цитата:

Сообщение от leonski

Так как ты пока не используешь RADIUS сервер то смотри event viewer твоего VPN сервера, там обычно фиксируется кто и как, когда законектился, а так же если нет, то почему нет.

Понял, посмотрю как до работы доберусь.

Цитата:

Сообщение от leonski

Какой тунельный протокол ты используешь для своих клиентов? Я думаю ты знаешь что для L2TP/IPSec нужен CA

PPTP

07.07.2004, 12:00

Имеется HP 9304 (Routing Switch) на котором висит вся локалка.
В одном порту Cisco 2620 (80.250.x.x)
В другом HP 2650 Switch (192.168.11.x)

Можно ли к примеру только на 48 порт HP2650 вывести подсеть 80.250.x.x?

Скорее всего это делается через VPN, но как настроить 9304 и 2650?

-----
with Respect...

XoxoL · 07.07.2004, 12:19

Порт соедененный с роутером включаешь в транк, на сиске интерфейс расбираешь на подинтерфейсы, а порт подключаешь в необходимый вилан (соответствующий подинтерфейсу)

07.07.2004, 18:22

Чесно гря я мало что понял. С цисками не дружу. Можно на пальцах объяснить?
Забыл ещё кое-чё:
Cisco 2620 включена в Switch HP 4108GL, а он уже в роутер.

На 4108GL есть закрытый VLan куда подключено несколько машин + Cisco2620

Получается мне нужно "объеденить" два закрытых VLan'а на разных свичах через роутер. Можно это сделать?

p.s.: Извиняюсь, за изначально неверные данные...

-----
with Respect...

Mamont-San · 11.07.2004, 17:33

Снес IAS, указал внутренний диапазон 192.168.100.1-192.168.100.255.
Теперь консктится, выдает клиенту адрес из указанного диапазона. Но инета нет!

1 комп, маршрутизатор, в домене 192.168.0.4
статический ip 192.168.0.1, шлюз пустой, dns 192.168.0.4

2 комп, клиентский, в домене192.168.0.4
DHCP-192.168.0.3, выделяет ip 192.168.0.10, шлюз 192.168.0.1, dns 192.168.0.4

VPN получает шлюз тот же что и его ip.
dns получает от локального интерфейса маршрутизатора.
тобишь ip 192.168.100.2, шлюз 192.168.100.2, dns 192.168.0.4 ???

Чего-то я не понимаю.

Ну помогите разобраться...

З.Ы. И кстати, у меня только один выделенный ip от провыйдера, а не подсеть.

21.07.2004, 19:53

Mamont-San
Ti VPN megdu chem i chem hochesch postavit'?

mmv · 25.07.2004, 04:49

Если ты с машинки которая уже физически в локальной сети, пытаешся соединится с той же локальной сетью по VPN. то как раз получится
Checking network protocol connections…
TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network.
Помоему.
Это же не критическая ошибка. соединение не должно рватся.

Не тот ли случай?

Кстати на мой взгляд. когда была эта ошибка ты был ближе всего к цели. потом похоже ты не в ту сторону копал. тут только сеть майкрософт не сконфигурировалась а Сам VPN и TCP/IP похоже работали.
В той конфигурации по адресам интерфейсов VPN роутера пинговалось?

Mamont-San · 26.07.2004, 11:01

Суть вот в чем:
У меня сервер с двумя интерфейсами.
Один с выделенным ip в интернет, другой соответственно в локалку.
Я хочу чтобы юзеры в локалке подключались к интернету по VPN.
И вот тут начинается весь затык.

Проблему с выделение адресов я решил. Он как раз и смотрел из локалки в нее же. Исправил. Смотрит в интернет, но интернета нет.

Может я упустил чего?

А вот еще IGMP как должен быть настроен?
Интернетовский интерфойс обьявлять прокси, а внутренний маршрутизатором?

mmv · 26.07.2004, 16:22

Насчет прокси что то я немного не понял, это ты где настраиваеш?

Ты клиентам Приватные IP раздаеш.
Значит для доступа нужен прокси (или NAT настраивать). у тебя что?

IGMP ? а он тебе вообще нужен? Это мультикастовый протокол для всяких вещей вроде радиовещания... в целом и без него все будет работать.

Mamont-San · 26.07.2004, 18:33

Про IGMP понял. У меня NAT. Диапазон он назначавет из одного ip, того же что на интернет интерфейсе, тогда маска (255.255.255.255). Это правельно?

Потом NAT ставится с локального интерфейса на интернетовский. А внутренний я так понимаю должен его настройки использовать?

26.07.2004, 18:46

Mamont-San
Postav' na servak NAT+DHCP-server. Klientov nastroi na automat poluchenie IP pri vkluchenii. Tunnel VPN, kak ya ponyal, ti xochesch megdu client-server mutit'? Esli tak, to vse kruto...

06.08.2004, 10:37

Mamont-San
Кстати, попробуй OpenVPN 1.6 - для Виндов

Mamont-San · 06.08.2004, 13:57

У меня так и неполучился VPN. Как обычный сервер доступа в интернет я его делаю легко, но получается что все кто стучится на локальный интерфейс, получают доступ к интернету. Но как только делаю сервер удаленного доступа, все пропадает.

А OpenVPN что за зверь?

ivtip · 06.08.2004, 18:12

Народ подскажите как лучше сделать.
У меня есть два офиса, между ними лежит оптика.
В одном локальная сеть с АД, в другом сервер с БД.
что за оптика и чья не знаю. поэтому хочу настроить соединение через VPN.
На сервер должны попадать только пользователи домена. Это можно сделать встроенными средствами В2к.

Подскажите как лучше организовать это соединение, чтобы данные которые ходили бы между сервером и удаленными пользователями были понадежнее защищены и стоимость этого решения была не очень большой.

mmv · 08.08.2004, 17:47

У MS бывают странные ограничения на допустимые конфигурации.
например NAT и RRAS Dialin вроде бы на одной машине не работают :-(

Пропадает даже для не VPN клиентов?

Mamont-San · 09.08.2004, 08:47

ага

04.07.2004, 01:04	# 3
Mamont-San Junior Member Регистрация: 25.05.2003 Адрес: Moskow Сообщения: 177	Как правильно настроить Vpn сервер? Создаю тему повторно, ибо в другом разделе не возымело результата. Все что нашел на форуме, прочитал. Помогите кто чем может, а то у меня скоро произойдет отвал башки. Значится так: Внутренняя сеть 192.168.0.0(255.255.255.0) Win2k Ent Server - DHCP и DNS сервер 192.168.0.3 Win2k Ent Server - Маршрутизатор 192.168.0.2, получает автоматом из DHCP. Второй интерфейс, внешний выделенный IP. Хочу установить VPN. Ранее никогда это не делал и не очень понимаю что за зверь. Для этого запускаю мастер в Routing and Remote Access. 1. Выбираю VPN, 2. протокол TCP/IP 3. выбираю интерфейс подключение к интернету 4. выбираю способ назначения IP адресов клиентам, через DHCP 5. без RADIUS-а, авторизация Windows, пока по крайней мере. Настраиваю клиента: Указываю ему чтобы звонился на 192.168.0.2. IP получать автоматически. Звоню. Конектится. Проходит авторизацию. Регистрирует компьютер в сети. Далее: Checking network protocol connections… TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network. Ну и дальше он мне советует поменять имя компа и попробывать снова. Само собой это дело бесполезное. Смотрю в DHCP. Он там арендовал несколько адресов, и один из них назначил Internal интерфейсу у маршрутизатора. Тоесть, как я понял именно он и есть интерфейс виртуальной сети. Ну, я так понял, ip в одном сегменте, и соответственно регистрируя компьютер в сети, он наталкивается на совпадение имен. Я полез к Internal интерфейсу, указал вручную диапазон адресов 192.168.100.1/192.168.100.254. Внутреннему будет соответствовать 192.168.100.1. Попробовал, та же перда. Указал что пользователь может задавать свой ip, и у клиента прописал этот ip – 192.168.100.10. Так он сказал: TCP/IP CP report error 735: The request address was rejected by the server. Но с рабочей станции пингует внутренний интерфейс 192.168.100.1! Что я не так наламерил? Может клиент должен на внутренний ip стучаться? Посоветуйте как все это правильно сделать. __________________ Ничего если я буду немного тупить...?

07.07.2004, 12:00	# 6
LX. Guest Сообщения: n/a	Как настроить VPN через Router Имеется HP 9304 (Routing Switch) на котором висит вся локалка. В одном порту Cisco 2620 (80.250.x.x) В другом HP 2650 Switch (192.168.11.x) Можно ли к примеру только на 48 порт HP2650 вывести подсеть 80.250.x.x? Скорее всего это делается через VPN, но как настроить 9304 и 2650? ----- with Respect...

07.07.2004, 12:19	# 7
XoxoL ::VIP:: Регистрация: 18.02.2004 Адрес: 127.0.0.1 - жду хакеров в гости! Сообщения: 656	Порт соедененный с роутером включаешь в транк, на сиске интерфейс расбираешь на подинтерфейсы, а порт подключаешь в необходимый вилан (соответствующий подинтерфейсу) __________________ Саксовость мастдая в том, что рулезность его фич глюкава!

07.07.2004, 18:22	# 8
LX. Guest Сообщения: n/a	Чесно гря я мало что понял. С цисками не дружу. Можно на пальцах объяснить? Забыл ещё кое-чё: Cisco 2620 включена в Switch HP 4108GL, а он уже в роутер. На 4108GL есть закрытый VLan куда подключено несколько машин + Cisco2620 Получается мне нужно "объеденить" два закрытых VLan'а на разных свичах через роутер. Можно это сделать? p.s.: Извиняюсь, за изначально неверные данные... ----- with Respect... Последний раз редактировалось LX.; 07.07.2004 в 18:26.

11.07.2004, 17:33	# 9
Mamont-San Junior Member Регистрация: 25.05.2003 Адрес: Moskow Сообщения: 177	Снес IAS, указал внутренний диапазон 192.168.100.1-192.168.100.255. Теперь консктится, выдает клиенту адрес из указанного диапазона. Но инета нет! 1 комп, маршрутизатор, в домене 192.168.0.4 статический ip 192.168.0.1, шлюз пустой, dns 192.168.0.4 2 комп, клиентский, в домене192.168.0.4 DHCP-192.168.0.3, выделяет ip 192.168.0.10, шлюз 192.168.0.1, dns 192.168.0.4 VPN получает шлюз тот же что и его ip. dns получает от локального интерфейса маршрутизатора. тобишь ip 192.168.100.2, шлюз 192.168.100.2, dns 192.168.0.4 ??? Чего-то я не понимаю. Ну помогите разобраться... З.Ы. И кстати, у меня только один выделенный ip от провыйдера, а не подсеть. __________________ Ничего если я буду немного тупить...? Последний раз редактировалось Mamont-San; 11.07.2004 в 19:08.

14.06.2004, 09:19	# 1
SergeyFastEye Guest Сообщения: n/a	VPN: организация и настройка Предистория: Есть контора, которая имеет 2 точки подключения к инет. Точки географически находятся в разных городах, каждой их них выделен свой диапазон из 4 ip-адресов. И все было бы нечего, если бы им вдруг не понадобилось выходить в Инет под одним айпишником. (программка там какая-то он-лайновская авторизует по айпишнику). Проблема: Добрые люди подсказили, что можно поднять VPN между точками и на одной из точек (пусть будет server) настроить IIS и тогда все будут счастливы (обе точки будут в свой программке входить под одним айпишником). Вопросы: 1) Пусть IIS не проблема. Но вот с VPN никогда не сталкивался. Подскажте наиболее полный ресурс, где все это можно культурно почитать 2) Софт? т.е. VPN сервер, который можно было бы поставить под win98. Есть ли VPN сервер под win2000prof и winXP homeedition стандартный, или тоже какую софтину ставить? Вобщем чего порекомендуете? 2) кто-нить уже сталкивался с данной проблемой? как решалось? И собственно другие варианты решения проблемы (допустим, чего-нить там пров может у себя сам поправить, чтобы мне ковыряться не пришлось ) Всем ответившим сенкс!

14.06.2004, 10:49	# 2
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	SergeyFastEye организовать VPN сервер можно на любом серверном варианте Винды. Идешь в Control Panel -> Administrative tools -> Routing and Remote Access. Дальше говоришь, что хочешь это дело сконфигурировать в мастере отмечаешь, что тебе нужен VPN сервер. Дальше, как говорится, все просто и интуитивно понятно Читать здесь http://www.networkdoc.ru/files/insop...l?gl19.html#28 Далее, насколько я знаю, в Kerio Winroute есть встроенный VPN сервер. И, наконец, можно купить аппаратный роутер со встроенным VPN сервером. Удачи. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

21.07.2004, 19:53	# 10
sasa001 Guest Сообщения: n/a	Mamont-San Ti VPN megdu chem i chem hochesch postavit'?

25.07.2004, 04:49	# 11
mmv Junior Member Регистрация: 26.11.2002 Сообщения: 55	Если ты с машинки которая уже физически в локальной сети, пытаешся соединится с той же локальной сетью по VPN. то как раз получится Checking network protocol connections… TCP/IP CP report error 52: You were not connected because a duplicate name exist on the network. Помоему. Это же не критическая ошибка. соединение не должно рватся. Не тот ли случай? Кстати на мой взгляд. когда была эта ошибка ты был ближе всего к цели. потом похоже ты не в ту сторону копал. тут только сеть майкрософт не сконфигурировалась а Сам VPN и TCP/IP похоже работали. В той конфигурации по адресам интерфейсов VPN роутера пинговалось? Последний раз редактировалось mmv; 25.07.2004 в 04:55.

26.07.2004, 11:01	# 12
Mamont-San Junior Member Регистрация: 25.05.2003 Адрес: Moskow Сообщения: 177	Суть вот в чем: У меня сервер с двумя интерфейсами. Один с выделенным ip в интернет, другой соответственно в локалку. Я хочу чтобы юзеры в локалке подключались к интернету по VPN. И вот тут начинается весь затык. Проблему с выделение адресов я решил. Он как раз и смотрел из локалки в нее же. Исправил. Смотрит в интернет, но интернета нет. Может я упустил чего? А вот еще IGMP как должен быть настроен? Интернетовский интерфойс обьявлять прокси, а внутренний маршрутизатором? __________________ Ничего если я буду немного тупить...?

26.07.2004, 16:22	# 13
mmv Junior Member Регистрация: 26.11.2002 Сообщения: 55	Насчет прокси что то я немного не понял, это ты где настраиваеш? Ты клиентам Приватные IP раздаеш. Значит для доступа нужен прокси (или NAT настраивать). у тебя что? IGMP ? а он тебе вообще нужен? Это мультикастовый протокол для всяких вещей вроде радиовещания... в целом и без него все будет работать.

26.07.2004, 18:33	# 14
Mamont-San Junior Member Регистрация: 25.05.2003 Адрес: Moskow Сообщения: 177	Про IGMP понял. У меня NAT. Диапазон он назначавет из одного ip, того же что на интернет интерфейсе, тогда маска (255.255.255.255). Это правельно? Потом NAT ставится с локального интерфейса на интернетовский. А внутренний я так понимаю должен его настройки использовать? __________________ Ничего если я буду немного тупить...?

26.07.2004, 18:46	# 15
sasa001 Guest Сообщения: n/a	Mamont-San Postav' na servak NAT+DHCP-server. Klientov nastroi na automat poluchenie IP pri vkluchenii. Tunnel VPN, kak ya ponyal, ti xochesch megdu client-server mutit'? Esli tak, to vse kruto...

06.08.2004, 10:37	# 16
sasa001 Guest Сообщения: n/a	Mamont-San Кстати, попробуй OpenVPN 1.6 - для Виндов

06.08.2004, 13:57	# 17
Mamont-San Junior Member Регистрация: 25.05.2003 Адрес: Moskow Сообщения: 177	У меня так и неполучился VPN. Как обычный сервер доступа в интернет я его делаю легко, но получается что все кто стучится на локальный интерфейс, получают доступ к интернету. Но как только делаю сервер удаленного доступа, все пропадает. А OpenVPN что за зверь? __________________ Ничего если я буду немного тупить...?

06.08.2004, 18:12	# 18
ivtip Junior Member Регистрация: 22.05.2003 Сообщения: 82	VPN между двух офисов Народ подскажите как лучше сделать. У меня есть два офиса, между ними лежит оптика. В одном локальная сеть с АД, в другом сервер с БД. что за оптика и чья не знаю. поэтому хочу настроить соединение через VPN. На сервер должны попадать только пользователи домена. Это можно сделать встроенными средствами В2к. Подскажите как лучше организовать это соединение, чтобы данные которые ходили бы между сервером и удаленными пользователями были понадежнее защищены и стоимость этого решения была не очень большой.

08.08.2004, 17:47	# 19
mmv Junior Member Регистрация: 26.11.2002 Сообщения: 55	У MS бывают странные ограничения на допустимые конфигурации. например NAT и RRAS Dialin вроде бы на одной машине не работают :-( Пропадает даже для не VPN клиентов?

09.08.2004, 08:47	# 20
Mamont-San Junior Member Регистрация: 25.05.2003 Адрес: Moskow Сообщения: 177	ага __________________ Ничего если я буду немного тупить...?