23.06.2018, 13:29 [+3 UTC]
в нашей команде: 2 854 чел. | участники онлайн: 2 (рекорд: 21)

:: РЕГИСТРАЦИЯ

:: задать вопрос

:: все разделы

:: правила

:: новости

:: участники

:: доска почёта

:: форум

:: блоги

:: поиск

:: статистика

:: наш журнал

:: наши встречи

:: наша галерея

:: отзывы о нас

:: поддержка

:: руководство

Версия системы:
7.47 (16.04.2018)

Общие новости:
13.04.2018, 10:33

Форум:
18.06.2018, 08:55

Последний вопрос:
23.06.2018, 07:43

Последний ответ:
23.06.2018, 07:26

Последняя рассылка:
23.06.2018, 00:45

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

РАЗДЕЛ • Windows

Администрирование, установка, настройка, восстановление, командная строка и консоль ОС Windows.

[администратор рассылки: Андреенков Владимир (Академик)]

Лучшие эксперты в этом разделе

Зенченко Константин Николаевич
Статус: Модератор
Рейтинг: 273
CradleA
Статус: Профессор
Рейтинг: 147
solowey
Статус: Студент
Рейтинг: 88

Перейти к консультации №:
 

Консультация онлайн # 66125
Раздел: • Windows
Автор вопроса: PaveL SvetlY
Отправлена: 08.12.2006, 17:29
Поступило ответов: 1

Здравствуйте, уважаемые.
Есть два сервера 2003 SE, AD, DHCP соединённые напрямую сетевым кабелем. Первый сервер с именем VPN1, IP 192.168.0.1. Второй - VPN2, 192.168.0.2. Нужно между ними установить прямое VPN-соединение. На обеих машинах поднята RRAS с вызовом по требованию. Нашёл в нете статью по соединению двух офисов на 2000 винде. Делаю всё по мануалу:
1. Создаю на машине VPN1 новый интерфейс вызова по требованию. Присваиваю ему имя vpn2, IP 192.168.0.2, протокол L2TP, создаю пользователя vpn2, дальше ещё раз предлагается выбор пользователя (кстати, к чему бы это? В справке невнятно написано), выбираю опять vpn2. Всё ок, в AD создаётся пользователь, всё хорошо.
2. На втором сервере проделываю ту же операцию, только имя присваиваю соответственно vpn1 и т.д.
3. Нажимаю на первом сервере Подключить. Идёт коннект секунд 10-15, потом выдаётся сообщение о несоответствии сертификата. Ладно, что нам стоит дом построить? Устанавливаю Центр Сертификации на обоих серверах, получаю сертификаты. Нажимаю Подключить - ждёт минуту и выкидывает по таймауту.
Пожалуйста, ткните лицом в мануал или скажите где я грабли не заметил?

Состояние: Консультация закрыта

Ответ # 130993 от Диев Александр Васильевич

Здравствуйте, PaveL SvetlY!

Сильно похоже на то, что вы на обоих серверах установили клиентскую сторону соединения, и ни на одном не установили серверную. Смотрите в Help and support center: Configuring roles for you server -> Remote access/VPN server role: Configuring a remote access/VPN server.


Консультировал: Диев Александр Васильевич
Дата отправки: 11.12.2006, 09:47

Рейтинг ответа:

0

[подробно]

Сообщение
модераторам

Отправлять сообщения
модераторам могут
только участники портала.
ВОЙТИ НА ПОРТАЛ »
регистрация »

Мини-форум консультации № 66125

Посетитель

ID: 17283

# 1

= общий = | 08.12.2006, 17:52 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Уточните, пожалуйста: оба сервера находятся в одной подсети или в разных? Я почему спрашиваю: У меня сложилось впечатление что они у вас таки в одной подсети. А зачем тогда ВПН "сеть-сеть" - не понятно.


Посетитель

ID: 10005

# 2

= общий = | 08.12.2006, 18:04 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

дада, они в одной подсети. Я сейчас задался вопросом, а можно ли вообще в одной подсети VPN-соединение прямое настроить... Мне это надо для эксперимента (сложная OSPF-маршрутизация на 4 интерфейса + Интернет + VPN - имеется в виду VPN-соединение через альтернативный канал интернет с другой сетью). В боевых условиях это сделать затруднительно, а тут подвернулась возможность поэкспериментировать на новых машинках. Вот и пытаюсь это дело поднять. С маршрутизацией и dns-разрешением вроде разобрался, а вот VPN подниматься не хочет. Есть какие мысли по этому поводу?


Посетитель

ID: 17283

# 3

= общий = | 08.12.2006, 18:07 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Попробуйте для разнообразия раскидать их в разные подсети. Если это не противоречит условиям задачи.


Посетитель

ID: 10005

# 4

= общий = | 08.12.2006, 18:08 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Не противоречит. А как их раскидать? Просто интерфейсам присвоит разные IP ? Но они тогда по идее видеться не будут? Или промежуточное звено воткнуть?


Посетитель

ID: 17283

# 5

= общий = | 08.12.2006, 18:11 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Да, шлюз нужен. Просто соединение сеть-сеть изначально предназначено для того, чтобы две локалки (разные) видели друг друга и работали как в одной. (через инетернет например) А если они и так находятся в одной подсети - смысл теряется.


Посетитель

ID: 10005

# 6

= общий = | 08.12.2006, 18:14 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Логично... буду думать :)


Посетитель

ID: 17283

# 7

= общий = | 08.12.2006, 18:23 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Хотя тут пожалуй так просто не получится. Попробуем сымитировать реальную ситуацию. Строим такую сеть: Подсеть1 - Сервер1 - Шлюз - Сервер2 - Подсеть2 Шлюз у нас будет имитировать интернет - т.е. работать шлюзом для обоих серверов в обе стороны. Сервер1 через НАТ дает доступ Подсети1 к Шлюзу, но не наоборот. (т.е. в одну сторону) Аналогично Сервер2 для Подсети2 Т.е. - в результате - подсеть1 не видит подсеть2 и наоборот. Вот теперь можно настраивать впн "сеть-сеть" между серверами. В результате - обе сети должны видеть друг друга. Кажется так.


Посетитель

ID: 10005

# 8

= общий = | 11.12.2006, 10:08 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

2LastSoul: угу, сегодня буду пробовать. Подсети (1 и 2) я думаю тут ни при чём, главное - чтобы сервера лежали в разных подсетях и видели друг друга через шлюз. 2Диев Александр Васильевич: у меня нет слов... "На обеих машинах поднята RRAS с вызовом по требованию [...] Создаю на машине VPN1 новый интерфейс вызова по требованию..." неужели это похоже на создание клиентской части VPN-соединения? Хоть бы в мини-форум отписались...


Посетитель

ID: 26670

# 9

= общий = | 11.12.2006, 10:41 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Спасибо, конечно, за "1" за ответ :), но вызов по требованию (он же Demand-Dial Interface) есть ничто иное как клиентская часть. RRAS был изначально сконфигурирован как VPN-server? В конфигурации RRAS в пункте Ports есть порты WAN Miniport (L2TP) для устройства VPN? Что касается наличия/отсутствия (а также их количества) роутеров между машинами, одинаковых/разных подсетей у интерфейсов, на которых висят VPN порты, то все это здесь абсолютно ни при чем.


Посетитель

ID: 10005

# 10

= общий = | 11.12.2006, 11:04 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

2Диев Александр Васильевич: Ещё раз возвращаюсь к цитированию своего вопроса: "На обеих машинах поднята RRAS с вызовом по требованию." - это есть ничто иное как RRAS, сконфигурированный как VPN-сервер. При создании RRAS с вызовом по требованию автоматически создаются 5 PPTP и 5 L2TP портов. Они, безусловно, есть. Отсылка к справке также особо интересна. Вы действительно считаете, что ваш ответ заслуживает большей оценки при условии полной неинформативности и невнимательнности при прочтении вами вопроса? Как я и написал в комментарии к оценке - такие "ответы" надо давать в мини-форум, иначе это похоже на элементарное набивание статуса.


Посетитель

ID: 26670

# 11

= общий = | 11.12.2006, 11:51 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

То, что на обоих машинах RRAS с конфигурен с вызовом по требованию, еще ни о чем не говорит. При создании RRAS нет пункта "вызов по требованию". Есть "Remote Access (dial-up or VPN)", есть "Custom Configuration", есть "Secure connection between two private networks"... И только из последнего вашего ответа на минифоруме видно то, что вы использовали именно этот пункт. Ранее никаких следов серверной конфигурации не прослеживалось. Demand-Dial interface можно создать и на живом RRAS, независимо от наличия WAN miniports, просто добавив его в Interfaces. Ну да ладно. Раз до этого места добрались, давайте раскручивать проблему. Что говорится в статусах минипортов при попытке соединения? Что собственно в Connection State у вашего Demand-Dial интерфейса? И кстати, как настроен logging и что есть в event log по поводу неудачных соединений? PS: Давайте наотмашь шашкой махать не будем? У меня после такой оценки и комментариев тоже было первое желание - просто послать. В то время, как вопрос VPN-соединений мне хорошо знаком и экспериментально опробован.


Посетитель

ID: 10005

# 12

= общий = | 11.12.2006, 15:36 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Согласен, я погорячился. Но о вашей осведомлённости в вопросе VPN тоже можно сказать только из последних сообщений. Ответ всё равно неинформативен, как ни крути. Хотя я и не согласен с вами по поводу серверной части. Порты WAN появляются только при включенном пункте Маршрутизация и вызов по требованию, который появляется в двух случаях: 1. С самого начала присваивалась роль VPN-сервера. 2. Сервер получил роль VPN-серва после настройки вручную. О наших баранах: Логгинг настроен на "вести журналы всех событий". Стоит галочка "Журнал дополнительных сведений тра-ля-ля" В системных событиях запись: источник RemoteAccess ID 20111 текст: Подключение по требованию к удалённому интерфейсу "vpn" через порт "VPN3-4" успешно инициировано, но не закончено, из-за ошибки: Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности. На удалённой машине создан пользователь с именем удалённого интерфейса VPN-сервера. Настройки безопасности стоят одинаковые (Дополнительные, необязательное шифрование). В настройках подключения на данной машине ввожу Учетные данные - пользователя удалённой машины. Состояние интерфейса - Разрешён. Состояние подключения - Отключено. Состояние портов - Неактивно Добавлено полчаса спустя: попробовал создать новый интерфейс вызова по требования без RRAS, настроенного на "локальную сеть и вызов по требования" (оставил верхнюю галочку "только локальная сеть" в свойствах RRAS). При попытке создания интерфейса выскочило сообщение о невозможности создания интерфейса без настроенной соответствующим образом RRAS. Вы уверены, что у вас получалось создать новый интерфейс не настроив до этого сервер?


Посетитель

ID: 10005

# 13

= общий = | 12.12.2006, 13:41 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

2All: На PPTP настроил. Грабли с L2TP. Подозреваю, что дело в Сертификатах. Есть мысли? 2Last Soul: на PPTP настроил не меняя подсети, т.е. сервера в одной подсети лежат.


Посетитель

ID: 17283

# 14

= общий = | 12.12.2006, 14:04 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

При подключении по PPTP, применяется шифрование MPPE, а при подключении по L2TP - шифрование IPSec. Может затык в этом? Линки в помощь: http://support.microsoft.com/kb/885407/ http://support.microsoft.com/kb/314831 они правда по XP, но отталкиваться от них можно. И еще: http://openvpn.net/ Общая теория ВПН и кстати сам продукт заслуживает внимания, есть версия под Windows.


Посетитель

ID: 10005

# 15

= общий = | 12.12.2006, 14:48 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Ага. Спасибо! Буду читать дальше.


Посетитель

ID: 26670

# 16

= общий = | 12.12.2006, 14:57 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

2PaveL SvetlY "На PPTP настроил. Грабли с L2TP. Подозреваю, что дело в Сертификатах. Есть мысли? " Возможно, что в них дело. Пытался повторить эксперимент на виртуалке - уперся в аналогичную ситуацию. По пути упрощения - pptp - нормально. Что касается сертификатов - не получается создать экспортируемый шаблон из шаблона "Router (offline request)" - по описанию, на базе него надо делать сертификаты на обоих серверах. Кстати, а зачем устанавливали центры сертификации на обоих серверах? Еще возможный вариант (хоть и маловероятный) - имена пользователей. В вопросе (в самом начале) вы написали о двух запросах имени пользователя. Так вот первый запрос - имя вновь создаваемого юзера (логин совпадает с именем интерфейса) для входящего соединения, а второй - для исходящего, т.е. должен соответствовать тому, что создан на втором сервере. В случае AD (как я понял из вопроса, это как раз тос случай) может быть вообще один пользователь, если интерфейсы на обоих машинах называюся одинаково. PS: Что-то прошлый опыт pptp vpn мне плоховато помогает :)


Посетитель

ID: 10005

# 17

= общий = | 12.12.2006, 15:07 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

так отож %) Два ЦС поднял, потому что дочитал мануал до слова ЦС и понесся ставить %) В мануале написано, что должен быть один корневой ЦС, и оба компа должны использовать сертификаты, выданные именно этим одним ЦС (или цепочкой центров, которые ведут к одному верхеного уровня). С логинами уже разобрался - для pptp всё работает. Делаю те же настройки для l2tp - упираюсь в грабли с сертификатами. Думаю надо строить доверительные отношения между доменами или как-то портировать сертификаты...


Посетитель

ID: 10005

# 18

= общий = | 12.12.2006, 17:40 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Фуууух, настроил!!! Но только с одной стороны. Вторую сторону трогать уже не хочу. И так есть постоянное соединение. Проблема была действительно в сертификатах. Нужно было создать на каждой из машин сертификат, выданный одним ЦС (в моем случае это был stand-alone CA) для клиента и сервера, потом на оба компа импортировать Цепочку ЦС и Сертификат ЦС в доверенные ЦС на каждой из машин. Если оставить по 1 порту (1 L2TP и 1 PPTP) то при попытке коннекта пишет линия занята. Поставил 2 порта - заработало! Рекомендуемая к прочтению литература: http://www.isaserver.org/tutorials/Configuring_Gateway_to_Gateway_L2TPIPSec_VPNs_Part_1_Configuring_the_Infrastructure.html http://www.isaserver.org/tutorials/Configuring_Gateway_to_Gateway_L2TPIPSec_VPNs_Part_2_Configuring_the_Infrastructure.html http://winfaq.com.ru/ubb/Forum3/HTML/010760-2.html Ну и все ссылки по ходу пьесы %)


Посетитель

ID: 26670

# 19

= общий = | 13.12.2006, 08:04 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Мои поздравления. Надо будет повторить эксперимент.

 

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Яндекс Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.15784 сек.

© 2001-2018, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.47 от 16.04.2018