Роман_Пашин@vk
03-11-2013, 13:51
VPN-сервер используется для связи концов VPN-туннелей и клиентов с помощью Kerio VPN Клиента.
Доступ к VPN-серверу можно получить на вкладке Интерфейсы (Interfaces)
раздела Настройки/Интерфейсы (Configuration / Interfaces) как к отдельному интерфейсу.
http://www.socialit.ru/netcat_files/Image/10.jpg
Заходите в эту вкладку и видите среди интерфейсов нужный нам VPN Server. Два раза кликаем
на интерфейсе VPN-сервера - открывается диалог, с помощью которого вы можете установить
параметры VPN-сервера.
http://www.socialit.ru/netcat_files/Image/10-1.jpg
В новом окне нужно активизировать VPN-сервер (Enable VPN server). Также нужно указать IP адрес сети для VPN-клиентов.
К примеру, всем локальным пользователям можно назначить адреса типа 192.168.100.xxx, а всем VPN-клиентам 192.168.101.xxx.
При первом запуске после установки WinRoute по умолчанию выбирает свободную подсеть, которую будет использовать VPN.
При стандартных условиях менять исходную сеть нет необходимости. Нужно убедиться, что подсеть VPN-клиентов не вступает в конфликт с локальной подсетью!
http://www.socialit.ru/netcat_files/Image/10-2.jpg
На вкладке DNS нужно указать DNS серверы, которые будут назначены VPN-клиентам. Это может стать необходимым в доменной сети, где необходимо получения доступа к компьютерам по NS-именам.
«Использовать специальные серверы DNS (Use specific DNS servers)» - с помощью этой опции можно указать первичный и вторичный DNS серверы для VPN-клиентов. Это может пригодиться,
если в локальной сети используется не DNS-Forwarder, а другой DNS сервер.
http://www.socialit.ru/netcat_files/Image/10-3.jpg
Вкладка Advanced (Дополнительное). Она нужна далеко не всем, но все же рассмотрим ее поподробнее.
Слушать порт (Listen on port) — Порт, на котором VPN-сервер принимает подключения извне (по протоколам TCP, и UDP).
По умолчанию установлен порт 4090 (в стандартных условиях что-либо изменять порт нет смысла и необходимости).
Примечания:
Если VPN-сервер уже запущен, в момент смены порта связь со всеми VPN-клиентами автоматически будет разрываться.
Если VPN-сервер не может работать на заданном порту (порт может использоваться другой службой), при нажатии на кнопку
Применить (Apply) в журнале ошибок появится сообщение об ошибке:(4103:10048) Socket error: Unable to bind socket for service to port 4090.
(5002) Failed to start service "VPN"
bound to address 192.168.1.1.
Для того, чтобы убедиться, что заданный порт действительно свободен, нужно просмотреть Журнал ошибок и проверить, не появлялись ли подобные записи.
Пользовательские маршруты (Custom Routes)
Здесь вы можете указать другие сети, к которым сможете установить маршруты через VPN туннель. Изначально определены маршруты ко всем без исключения локальным подсетям со стороны VPN-сервера.
Полезный совет: используйте маску 255.255.255.255, чтобы определить маршрут к узлу. Это может вам помочь, к примеру, при добавлении маршрута к узлу в DMZ (демилитаризованная зона) со стороны VPN сервера.
Дальше следует создать правило для VPN-пользователей.
http://www.socialit.ru/netcat_files/Image/10-4.jpg
Первое правло пропускает пользователей к VPN-серверу из интернета по протоколу Kerio VPN (порт 4090).
Следующее правило пропускает авторизированных и подключенных VPN-пользователей, в локальную сеть и к серверу. Вместо первого правила можно создать группу IP-адресов и включить в неё все IP-адреса клиентов.
http://www.socialit.ru/netcat_files/Image/10-5.jpg
Здесь будут отображаться подключенные пользователи. В настройках пользователей можно указать, будет ли VPN-сервер выдавать клиентам адреса автоматически, а можно за каждым клиентом закрепить определенный IP адрес.
http://www.socialit.ru/netcat_files/Image/10-6.jpg
Все сделал по статье, VPN соеденение поднимается. Но пингуется только сервер на котором стоит Kerio Winroute а все остальная сетка не видна. Скажите может где в правилах надо что нибудь дописать?
Или хоть куда копать?
Доступ к VPN-серверу можно получить на вкладке Интерфейсы (Interfaces)
раздела Настройки/Интерфейсы (Configuration / Interfaces) как к отдельному интерфейсу.
http://www.socialit.ru/netcat_files/Image/10.jpg
Заходите в эту вкладку и видите среди интерфейсов нужный нам VPN Server. Два раза кликаем
на интерфейсе VPN-сервера - открывается диалог, с помощью которого вы можете установить
параметры VPN-сервера.
http://www.socialit.ru/netcat_files/Image/10-1.jpg
В новом окне нужно активизировать VPN-сервер (Enable VPN server). Также нужно указать IP адрес сети для VPN-клиентов.
К примеру, всем локальным пользователям можно назначить адреса типа 192.168.100.xxx, а всем VPN-клиентам 192.168.101.xxx.
При первом запуске после установки WinRoute по умолчанию выбирает свободную подсеть, которую будет использовать VPN.
При стандартных условиях менять исходную сеть нет необходимости. Нужно убедиться, что подсеть VPN-клиентов не вступает в конфликт с локальной подсетью!
http://www.socialit.ru/netcat_files/Image/10-2.jpg
На вкладке DNS нужно указать DNS серверы, которые будут назначены VPN-клиентам. Это может стать необходимым в доменной сети, где необходимо получения доступа к компьютерам по NS-именам.
«Использовать специальные серверы DNS (Use specific DNS servers)» - с помощью этой опции можно указать первичный и вторичный DNS серверы для VPN-клиентов. Это может пригодиться,
если в локальной сети используется не DNS-Forwarder, а другой DNS сервер.
http://www.socialit.ru/netcat_files/Image/10-3.jpg
Вкладка Advanced (Дополнительное). Она нужна далеко не всем, но все же рассмотрим ее поподробнее.
Слушать порт (Listen on port) — Порт, на котором VPN-сервер принимает подключения извне (по протоколам TCP, и UDP).
По умолчанию установлен порт 4090 (в стандартных условиях что-либо изменять порт нет смысла и необходимости).
Примечания:
Если VPN-сервер уже запущен, в момент смены порта связь со всеми VPN-клиентами автоматически будет разрываться.
Если VPN-сервер не может работать на заданном порту (порт может использоваться другой службой), при нажатии на кнопку
Применить (Apply) в журнале ошибок появится сообщение об ошибке:(4103:10048) Socket error: Unable to bind socket for service to port 4090.
(5002) Failed to start service "VPN"
bound to address 192.168.1.1.
Для того, чтобы убедиться, что заданный порт действительно свободен, нужно просмотреть Журнал ошибок и проверить, не появлялись ли подобные записи.
Пользовательские маршруты (Custom Routes)
Здесь вы можете указать другие сети, к которым сможете установить маршруты через VPN туннель. Изначально определены маршруты ко всем без исключения локальным подсетям со стороны VPN-сервера.
Полезный совет: используйте маску 255.255.255.255, чтобы определить маршрут к узлу. Это может вам помочь, к примеру, при добавлении маршрута к узлу в DMZ (демилитаризованная зона) со стороны VPN сервера.
Дальше следует создать правило для VPN-пользователей.
http://www.socialit.ru/netcat_files/Image/10-4.jpg
Первое правло пропускает пользователей к VPN-серверу из интернета по протоколу Kerio VPN (порт 4090).
Следующее правило пропускает авторизированных и подключенных VPN-пользователей, в локальную сеть и к серверу. Вместо первого правила можно создать группу IP-адресов и включить в неё все IP-адреса клиентов.
http://www.socialit.ru/netcat_files/Image/10-5.jpg
Здесь будут отображаться подключенные пользователи. В настройках пользователей можно указать, будет ли VPN-сервер выдавать клиентам адреса автоматически, а можно за каждым клиентом закрепить определенный IP адрес.
http://www.socialit.ru/netcat_files/Image/10-6.jpg
Все сделал по статье, VPN соеденение поднимается. Но пингуется только сервер на котором стоит Kerio Winroute а все остальная сетка не видна. Скажите может где в правилах надо что нибудь дописать?
Или хоть куда копать?