vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ellviss Цитата: попытка с openvpn получилась , но при этом машины видны только по ip а по dns  не видны   где копать маршруты так как это с обоих сторон ?   При чем тут маршруты, если проблема явно с ДНС? У вас должен быть внутри настроен один сервер (возможно со слейв в удаленной сети), который будет знать все о ваших внутренних ресурсах. А если вы пользуетесь ДНС прова или гугловским, то естественно что по именам ничего не видите.   Мужики-то (Гугл, провайдер) не знают! (с) ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 16:38 25-03-2014

SalaVilaVat Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Есть вопрос по VPN следующего плана. Имеется несколько VPN серверов софтовые  и железные с различными настройками при подключении к ним с XP встроенным клиентом соединение устанавливается с маской подсети 255.255.255.255 и дополнительно (если в настройках VPN соединения снята галочка "использовать шлюз по умолчанию в удалённой сети") прописывается маршрут с маской 255.255.255.0 к подсети из которой выдан IP клиента.   Но на самом деле маска сети удалённой сети например 255.255.254.0 или 255.255.255.224 или вообще 255.255.0.0. Сам решаю проблему с помощью батника который прописывает маршрут 192.168.0.0 MASK 255.255.0.0 за IP полученный от VPN сервера. Просто несколько строк со всеми возможными IP нужная строчка срабатывает , остальные выдают ошибку, всё работает. Но для простых работников работающих удалённо хочется избежать этой процедуры. Какие есть варианты кроме использования Kerio и OpenVPN клиентов и соответствующих серверов? Хотелось бы использовать встроенные средства XP/W7. Всего записей: 79 | Зарегистр. 24-01-2003 | Отправлено: 18:11 25-03-2014

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Какие есть варианты кроме использования Kerio и OpenVPN клиентов и соответствующих серверов? Есть, например, SoftEther VPN . Ставишь на винду сервер, клиент обычный встроенный в XP/W8 L2TP/IPSec Все, что нужно клиентам (IP, маску, шлюз, ДНС, роутинг) будет выдавать DHCP сервер локалки. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 18:29 25-03-2014

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ellviss Цитата: машины которые подключены к другому шлюзу но в том же домене не будут видны ? Понятие "видны" крайне неоднозначное, вплоть до визуальной видимости. Если речь идет о видимости в оснастке "Сетевое окружение", то скорее всего нет. Если речь идет о видимости в смысле возможности взаимно получать и отправлять сетевые  пакеты, то в случае правильно настроенного роутинга, скорее всего да. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 16:48 26-03-2014

98SEUser Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Продолжаются мои хождения по мукам: после углублённого прочтения всяких текнотов от MS пришёл к однозначному выводу: на Windows 7 получить IKEv2 без сертификатов нельзя, поэтому срочненько почитал про strongSwan, генерацию сертификатов, подключился к облачному серверу и, что самое странное в моей истории, получил нечто рабочее (не валяю дурака ни разу, я ДЕЙСТВИТЕЛЬНО не сисадмин и даже не программер (!), так что можете себе представить, как это мне далось). Однако, хватит лирики: Чего хотел добиться: ходить разными дорожными хулиганами (смарты и ноутбук) с облачного сервера через VPN в интернет с облачным IP-адресом (кажется, он называется "белый"?) Это дело вполне удалось с таким конфигом (напоминаю, strongSwan):   config setup     strictcrlpolicy=no   conn %default    ikelifetime=24h    keylife=24h    keyexchange=ikev2    dpdaction=clear    dpdtimeout=3600s    dpddelay=3600s    compress=yes    #esp=aes-aes256-sha-modp1024,aes256-sha512-modp4096    #ike=aes-aes256-sha-modp1024,aes256-sha512-modp4096   conn smart    rekey=no    left=%any    leftsubnet=0.0.0.0/0,::/0    leftauth=psk    leftid=ServerPubIP    right=%any    rightsourceip=192.168.2.100/29    rightauth=eap-mschapv2    rightsendcert=never    eap_identity=%any    auto=add   conn Win7    left=%any    leftauth=pubkey    leftcert=serverCert.pem    leftid=ServerPubIP    leftsubnet=0.0.0.0/0,::/0    right=%any    rightsourceip=192.168.2.100/29    rightauth=pubkey    rightcert=clientCert.pem    rightsendcert=never    rekey=no    auto=add   Конфигурация самого strongSwana:   charon {    threads = 16    dns1 = 208.67.222.222    dns2 = 208.67.220.220 }   pluto { }   libstrongswan { }   Собственно, первоначальная задача выполнена, но попутно встала вторая: появилась необходимость общаться смартам с Windows в сетевом окружении Windows. Естественно, этого не наблюдается (даже я понимаю, что нужно как-то работать с сетевыми именами, а у меня только внешние DNS в strongswan.config). Так вот, как это сделать оказалось совершенно выше моего разумения. Люди добрые, поможите, чем сможете, а то сами мы не местные, отстали от поезда P.S. пинги от Win к смартам бегают, назад не знаю, потому что не имею представления как задать команду ping в смартфоне. Но думаю, что раз "туда" бегут, так и "оттуда" тоже: коннекты, по сути, идентичные. Всего записей: 15 | Зарегистр. 20-10-2010 | Отправлено: 22:52 31-03-2014

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ellviss Цитата: сейчас пинги идут в обе стороны , но rdp не работает   Возможно, проста фаервол винды или кашпировский или типа не дают доступ из "чужой" сети. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 09:35 01-04-2014

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ellviss Цитата: подсеть 192.168.1.Х не видит подсеть 192.168.2.Х   Естественно. В сети 192.168.1.0 нужно всем хостам прописать маршрут к сети 192.168.2.0 через 192.168.1.100 В сети 192.168.2.0 нужно всем хостам прописать маршрут к сети 192.168.1.0 через 192.168.2.100 Либо прописать эти маршруты на шлюзах  192.168.1.1 и 192.168.2.1 соответственно. Второй вариант удлиннит путь хождения пакетов за счет лишних хостов (шлюзы), и работать будет асимметрично, ( туда -  192.168.1.Х -  192.168.1.1 -  192.168.1.100 -  192.168.2.Х), ( назад -  192.168.2.Х -  192.168.2.1 -  192.168.2.100 -  192.168.1.Х),  но его проще настроить.   Ну, а если это вдруг не заиграет, тогда первый вариант. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 16:56 01-04-2014

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ellviss Цитата: или я чтото не догоняю ?   Похоже, что так. Это на дефолт шлюзах х.1 нужно добавить   route add -p 192.168.1.0 mask 255.255.255.0 192.168.2.100   route add -p 192.168.2.0 mask 255.255.255.0 192.168.1.100 Я не знаю, что там у вас представляют шлюзы х.100, по идее они должны знать обе сети. Если не знают, тогда на каждом нужно добавить путь к другой сети через VPN соединение.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 13:57 02-04-2014

Oldster Старик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, есть проблема, не могу решить. Имеем user1,user2,user3,admin. Надо сделать доступ извне в лок. сеть (vpn) доступ userX только с определенного ip, admin - c любого. Сейчас на шлюзе установлена ISA2006, она не обладает такой возможностью. Покурил pptpd, openvpn, SoftEther - решение не нашел. Подскажите куда копать? ---------- Ой не TCP моё IP (C) Диман Всего записей: 1367 | Зарегистр. 08-01-2003 | Отправлено: 09:08 04-04-2014

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Oldster Фишки ограничения айпишника подключения по имени юзера я не встречал ни в одной из известных мне VPN. Собственно, VPN для того и создана, чтобы можно было подключаться из любого места. А безопасность регулируется другими средствами (сертификаты, токены ...) Так что если нужно ограничить доступ к серверу вообще, это решается фаерволом. У упомянутого  SoftEther в последних версиях появился IP Access Control List, где можно разрешить либо запретить с конкретных адресов/подсетей доступ к серверу. Также у него имеется возможность персональных акцесс-листов, которые будут определять, к каким внутренним адресам/портам юзер может иметь доступ после установки соединения.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 15:28 04-04-2014 | Исправлено: vlary, 15:29 04-04-2014

Oldster Старик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Спасибо! собсно задача в итоге сводится к тому, что все пользователи должны подключится по RDP к внутреннему серверу, но каждый только со своего внешнего ip, кроме админа. Может есть аппаратное решение? микротик, d-link (dfl), etc... ---------- Ой не TCP моё IP (C) Диман Всего записей: 1367 | Зарегистр. 08-01-2003 | Отправлено: 15:37 04-04-2014

sldaac Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: я не встречал ни в одной из известных мне VPN. Цитата: собсно задача в итоге сводится к тому, что все пользователи должны подключится по RDP к внутреннему серверу, но каждый только со своего внешнего ip, кроме админа. ZyWAL 100   есть Enable Extended Authentication,  сервер  или клиент, как положено логин пароль. для каждого юзера делаеш свое правила тунеля, тем более если ИП  статические для админа,  можно сделать правило по динамическому ИП Всего записей: 752 | Зарегистр. 15-06-2005 | Отправлено: 16:00 04-04-2014

Oldster Старик Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sldaac спасибо, покурю доки на это! ---------- Ой не TCP моё IP (C) Диман Всего записей: 1367 | Зарегистр. 08-01-2003 | Отправлено: 17:07 04-04-2014

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VPN: вся информация в этой теме

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование