PDA

Показать полную графическую версию : VPN. Тунелирование. Защищенный канал.


Страниц : 1 2 3 [4] 5 6 7 8 9 10 11

Svex
26-08-2005, 10:02
ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : maxi

Основной DNS-суффикс . . . . . . :

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : нет

Порядок просмотра суффиксов DNS . :xxx.lan



Подключение по внутренней локальной сети Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

Физический адрес. . . . . . . . . : 00-2D-5E-12-A2-32

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.0.1

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :



Подключение к локальной сети провайдера - Ethernet адаптер:

DNS-суффикс этого подключения . . : cfnet.lan

Описание . . . . . . . . . . . . : Intel(R) PRO Adapter

Физический адрес. . . . . . . . . : 00-06-E2-A2-9D-22

Dhcp включен. . . . . . . . . . . : да

Автонастройка включена . . . . . : да

IP-адрес . . . . . . . . . . . . : 10.7.17.123

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 10.7.17.254

DHCP-сервер . . . . . . . . . . . : 10.7.17.254

DNS-серверы . . . . . . . . . . . : 10.7.3.2

212.1.224.34

212.1.230.111

Аренда получена . . . . . . . . . : 11 августа 2005 г. 18:12:05

Аренда истекает . . . . . . . . . : 11 августа 2005 г. 6:12:05



VPN подключение к провадеру - PPP адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

Физический адрес. . . . . . . . . : 00-23-45-00-00-00

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 172.17.80.112

Маска подсети . . . . . . . . . . : 255.255.255.255

Основной шлюз . . . . . . . . . . : 172.17.80.164

DNS-серверы . . . . . . . . . . . : 212.1.224.34

212.1.230.111

SkyF
26-08-2005, 15:40
ну давайте тогда и результвты route print и tracert netbynet.ru с сервера и клиентов посмотрим.

Svex
26-08-2005, 19:54
Сервер
===========================================================================
Список интерфейсов

0x1 ........................... MS TCP Loopback interface
0x2 ... 00-2D-5E-12-A2-32...... Realtek RTL8139 Family PCI Fast Ethernet NIC - Минипорт планировщика пакетов
0x3 ... 00-06-E2-A2-9D-22 ...... Intel(R) PRO Adapter- Минипорт планировщика пакетов
0x60005 ...00 23 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.7.17.219 192.168.0.1 20
0.0.0.0 0.0.0.0 10.7.17.254 10.7.17.219 21
0.0.0.0 0.0.0.0 192.168.254.29 192.168.0.1 21
0.0.0.0 0.0.0.0 172.17.80.164 172.17.80.164 1
10.0.0.0 255.0.0.0 10.7.17.254 10.7.17.219 1
10.7.17.0 255.255.255.0 10.7.17.219 10.7.17.219 20
10.7.17.219 255.255.255.255 127.0.0.1 127.0.0.1 20
10.7.255.254 255.255.255.255 10.7.17.254 10.7.17.219 1
10.255.255.255 255.255.255.255 10.7.17.219 10.7.17.219 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.17.80.164 255.255.255.255 127.0.0.1 127.0.0.1 50
172.17.255.255 255.255.255.255 172.17.80.164 172.17.80.164 50
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 10.7.17.219 10.7.17.219 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 172.17.80.164 172.17.80.164 1
255.255.255.255 255.255.255.255 10.7.17.219 10.7.17.219 1
255.255.255.255 255.255.255.255 172.17.80.164 172.17.80.164 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Основной шлюз: 172.17.80.164
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.0.0.0 255.0.0.0 10.7.17.254 1

Трассировка маршрута к 10.7.3.2 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.7.17.254
2 <1 мс <1 мс <1 мс 10.7.1.254
3 <1 мс <1 мс <1 мс 10.7.3.2
Трассировка завершена.

Клиент
===========================================================================

Список интерфейсов

0x1 ........................... MS TCP Loopback interface

0x2 ...00 03 0d 1e a9 48 ...... SiS 900-Based PCI Fast Ethernet Минипорт планировщика пакетов

===========================================================================

Активные маршруты:

Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.125 20

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.0.0 255.255.255.0 192.168.0.125 192.168.0.125 20

192.168.0.125 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.0.255 255.255.255.255 192.168.0.125 192.168.0.125 20

224.0.0.0 240.0.0.0 192.168.0.125 192.168.0.125 20

255.255.255.255 255.255.255.255 192.168.0.125 192.168.0.125 1

Основной шлюз: 192.168.0.1

===========================================================================

Постоянные маршруты:

Сетевой адрес Маска Адрес шлюза Метрика

10.0.0.0 255.0.0.0 10.7.17.254 1

212.1.224.0 255.255.255.0 10.7.17.254 1


Трассировка маршрута к 10.7.3.2 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс max.mshome.net [192.168.0.1]

2 * * * Превышен интервал ожидания для запроса.

3 * * * Превышен интервал ожидания для запроса.

SkyF
29-08-2005, 16:01
1. что будет если убрать постоянный маршрут с сервера?
(скорее всего сам сервер потеряет возможность использовать ресурсы локальной сети провайдер, а клиенты так и не будут его иметь).

2. Думаю, нет необходимости на клиентах указывать дополнительный маршрут (хотя и ошибки явной тут нет) - они и так на все маршруты настроены пересылать пакеты вашему рутеру 192.168.0.1.


Другое дело, что рутер не может перекидывать эти пакеты в иной маршрут, нежели на маршрут по умолчанию сетевого интерфейса VPN (чье соединение используется для общего доступа).

Думаю это ограничения ICS..

Хотя.. давайте попробуем этот рутинг включить руками. я в режиме с ICS не пробовал его ни разу, и результаты вы будете сами узанвать =)

Маршрутизация включается на вашей ОС ( к сожалению пока мне не известной) активизацией режима IPEnableRouter (нужна перезагрузка).
Если хотите, выполните поиск по форуму (http://forum.oszone.net/search.php) по этому ключу.

Если же все равно никак не получится, то тогда придтся решать вашу ситуацию настройкой сулжбы RRAS на Windows Server.

посмотрим что получится

Svex
31-08-2005, 09:41
SkyF
все что ты писал я пробывал, ничего не помогло.
Забил я на ICS поставил KerioWF. Все заработало.

SABAVA
03-10-2005, 22:48
Есть возможность воплотить давнишнюю мечту в жизнь - соединить в одну сеть филиалы фирмы - видеотеки, и предоставить клиентам возможность обозревать базу данных через веб. Видеотеки находящться в различных городах в радиусе 150 км. Я попыталась "прошуршать", есть ли уже готовые решения для этого - есть... (начать всё с нуля - я даже не представляю чего мне это будет стоить...). База данных на MySQL, слиент-приложение для рабочего места и вебинтерфейс разработаный на РНР. Разговаривала по телефону с разработчиком - выглядит так, что их продукт, полностью готов, сориентирован всего лиш на одну видеотеку. Завела разговор о совместной работе в единой сети - поступило предложение воспользоваться терминал-сервером. Заманчивое предложение, но это не 100% вариант. Скажем связь оборвалась хотя бы на день - это же ущерб катастрофический... Но разработчики своего продукта заверили меня, что в случае необходимости готовы дописать необходимые модули...

Сейчас, вот уже 17 лет, в каждой видеотеке своя база данных на рабочей станции : клиенты, фильмы, игры... Доступа туда нет, разве по телефону, что в большенстве себя не оправдывает - сотрудники не в состоянии работать с базой на нужном уровне - вообщем я постоянно в разъездах устала до чёртиков... Но такой вариант самый надёжный, понимаете? Не важно что случиться - работа должна продолжиться!!! С другой стороны центральная база данных нам тоже нужна, чтобы дать возможность себе работать в отдалении, держать в голове всю информацию становиться всё невыносимее - возраст... Ну и клиента побаловать - дать ему возможность, прежде чем гонять по нескольким видеотекам в поисках фильма, сначала выбрать им подходящий фильм и сориентировать в какую видеотеку ему идти...

Мои предположения, если это вообще возможно воплотить в жизнь :
1.) Рабочие сстанции работают с центральной базой напрямую и тут же делается копия базы на рабочей станции на NOT...
2.) Рабочие станции работают со своей собственной базой, а центральная синхронизирует свои данные с данными на рабочих станциях.

Я тут уже присмотрела способ подключения филиалов к интернету - DSL 1024kbit/s нормально? IP-адреса не проблема, можно взять пакет с статическими можно через DynDNS актуализировать.

Следующее, что меня особо интересует - безопасность! Про филиал - одна рабочая станция с XP-профессионал. У меня стоит 2000 Server почитываю сейчас книжёнцию про Active Directory...

Как мне лучше организовать сеть? Что мне понадобится ещё? Вообщем жду от вас настоящей поддержки...

rivera
05-10-2005, 08:59
при такой большой базе не возникнет проблема нехватки места, ведь информация будет синхронизирована как минимум на кол-во филиалов, максимум на кол-во раб станций? Видеотека-то наверное ого-го скока весит!!! хотя тут можно в несколько уровней синхронизацию устроить: сервера филиалов синхронизируются с главным сервером, а раб. станции уже синхронизируются с серверами филиалов и т.д.


а интернет для каких целей?


безопасность, стандартный набор средств: заплатки, файрвол, антивирус+анти троян
все это уже обеспечит безопасность на 80%

Active Directory - это дело вкуса. конечно правильнее было-б сождать его, но если сеть в каждом филиале не более 5-10 компьютеров, большой необходимости в нем я не вижу. Кстати, маршрутизатор тоже поможет в построении сети такого рода. Очень часто он совмещен с межсетевым экраном

Vich
05-10-2005, 10:45
Безопастность при использовании интернета, как среды передачи может обеспечить тунелирование (VPN). Возможно с шифрацией трафика.
Т.е. будет организована сеть через Интернет, изолированная от все остального. Кстати это и решает проблему адресации.
AD - это я считаю излишком уже. Не нужно просто так усложнять структуру.

Flick
07-10-2005, 14:21
ИМХО надо делать так...
1. Домен делать (AD)
2. VPN FW ROUTER
3. настройка домена и прав для всей организации (много долго муторно, НО результат!!!)
4. Единая база.

а в общем поработав с терминалами (на уровне одной подсети правда) могу скзать, лучше без них чем с ними... опять же по моему скромному мнению.

У нас работает три офиса схема приблизительно такая как описал выше плюс немного свих заморочек. Я вобщем доволен.

andrijm
12-10-2005, 14:29
Скорее всего, проблема с фаерволом. Попробуй отключить и попинговать.

Negativ
12-10-2005, 15:16
tcpdump на машине с VPN и вперед анализировать. Можно проще trafshow

Ronald
19-10-2005, 16:23
А сделать FTP-сервер не пробовали?

Negativ
20-10-2005, 10:35
База данных на MySQL, слиент-приложение для рабочего места и вебинтерфейс разработаный на РНР. Разговаривала по телефону с разработчиком - выглядит так, что их продукт, полностью готов, сориентирован всего лиш на одну видеотеку.

это как это? я не совсем понял. Можно по-подробней?
Я думаю, что несколько видеотек могут использовать одну БД MySQL, находящуюся на центральном сервере.

SergeB
21-10-2005, 13:52
точно если есть доступ в инет у всех контор, то покупать белый ip и сажай туда базу, если клиенсткое по написано на пшп то наскоко я помня, то там можно организовать средствами пшп защиту плюс защита у базы данных (ведь веб клиенты у банков работают, и безопастность там на должном уровне, и информация там намного посерьозней чем название фильмов). имхо мне так кажется намного проше, чем создавать ад + синхронизация баз данных у контор и т.д.

WhiteSonar
01-11-2005, 14:54
Столкнулся с таким же вопросом.
Win 2k3 SP1 контроллер домена. Подключение к интернет через pppoe соединение (адсл-модем воткнут в хаб) При поднятии службы VPN не обнаруживается подключенный pppoe-интерфейс. Удаленно комп пингуется, работает FTP, а вот подключение к VPN не происходит

Morock
01-11-2005, 17:33
Попробуйте проработать тему VPN/IPSec over NAT

WhiteSonar
01-11-2005, 21:06
Благодарю, пошел читать

klaklakla
04-11-2005, 17:16
Вин2000 Про одиночная, соединение с Инетом по эзернету. Наладил VPN - PPTP-туннель до офиса, где соединение принимает mpd на FreeBSD. Всё расчудесно, кроме. Стандартный способ поднятия туннеля в винде предполагает предварительный логин юзера (а у него уже в Автозагрузке).

Хочется, чтобы РРТР поднимался ДО логина юзера, скажем, чтобы я мог зайти радмином, если только машина включена. Сам покопался - не нашёл. Но полагаю, я не первый такой. Как оно делается?

Bugs
04-11-2005, 19:04
klaklakla
Сделай поднятие тунеля в виде службы и запускай её от имени нужного тебе пользователя.
Как это сдлеать тончо не скажу, но поисковик точно поможет.

Serg02
12-11-2005, 18:04
Здравствуйте.

У меня такая проблемма почитал все темы на форуме по настройке VPN и NAT но решения так и не нашел

описание:

сервер WIN 2003 SP1
две сети
1. (Внешняя сеть) 192.168.X1.X2/255.255.255.0 D.Gateway 192.168.X1.1 DNS 192.168.0.X3
на 192.168.X1.1 прописан роутинг чтобы видеть всю 192.168. сеть
2. (Внутренняя сеть) 172.16.10.1/255.255.255.0
3. В интернет выхожу через VPN соединяясь с (192.168.0.X3) после соединения у меня в ipconfig появляестя 3-й адресс 10.10.Y1.Y2/255.255.255.255

на сервере поднят Domain DNS NAT

рабочая станция WIN XP PRO SP2
стетывые настройки
ip 172.16.10.N/255.255.255.0 Gateway 172.16.10.1 DNS 192.168.0.X3
прописан роутинг
route add -p 192.168.0.0 mask 255.255.0.0 172.16.10.1

таким образом рабочая станция видет всю 192.168-ю сеть и спакойно по ней ходит причем оборудование во внешней сети этого незамечает, а то оно бы не пропускало запросы из моей внутренней сети.
Но при установки VPN соединения на Сервере и при выполнении команды
tracert на рабочей станции, чтобы посмотреть куда уходят пакеты при запросе любого из сайтов, пакеты уходят не на 10.10.Y1.Y2 а на 192.168.X1.X2 и дальше (вполне логично)

Так вот, вопрос в следующем, что и как надо настроить чтоб организованть некую фильтрацию позваляющую определенные запросы отправлять на 192.168, а запросы на интернетовские сайты отправлять на 10.10.
или скажите где это можно прочитать

Заране благодарен.




© OSzone.net 2001-2012