Уточните, пожалуйста:оба сервера находятся в одной подсети или в разных?Я почему спрашиваю:У меня сложилось впечатление что они у вас таки в одной подсети. А зачем тогда ВПН "сеть-сеть" - не понятно.

дада, они в одной подсети. Я сейчас задался вопросом, а можно ли вообще в одной подсети VPN-соединение прямое настроить...Мне это надо для эксперимента (сложная OSPF-маршрутизация на 4 интерфейса + Интернет + VPN - имеется в виду VPN-соединение через альтернативный канал интернет с другой сетью). В боевых условиях это сделать затруднительно, а тут подвернулась возможность поэкспериментировать на новых машинках. Вот и пытаюсь это дело поднять. С маршрутизацией и dns-разрешением вроде разобрался, а вот VPN подниматься не хочет. Есть какие мысли по этому поводу?

Попробуйте для разнообразия раскидать их в разные подсети. Если это не противоречит условиям задачи.

Не противоречит. А как их раскидать? Просто интерфейсам присвоит разные IP ? Но они тогда по идее видеться не будут? Или промежуточное звено воткнуть?

Да, шлюз нужен.Просто соединение сеть-сеть изначально предназначено для того, чтобы две локалки (разные) видели друг друга и работали как в одной.(через инетернет например)А если они и так находятся в одной подсети - смысл теряется.

Логично... буду думать :)

Хотя тут пожалуй так просто не получится.Попробуем сымитировать реальную ситуацию.Строим такую сеть:Подсеть1 - Сервер1 - Шлюз - Сервер2 - Подсеть2Шлюз у нас будет имитировать интернет - т.е. работать шлюзом для обоих серверов в обе стороны.Сервер1 через НАТ дает доступ Подсети1 к Шлюзу, но не наоборот. (т.е. в одну сторону)Аналогично Сервер2 для Подсети2Т.е. - в результате - подсеть1 не видит подсеть2 и наоборот.Вот теперь можно настраивать впн "сеть-сеть" между серверами.В результате - обе сети должны видеть друг друга.Кажется так.

2LastSoul: угу, сегодня буду пробовать. Подсети (1 и 2) я думаю тут ни при чём, главное - чтобы сервера лежали в разных подсетях и видели друг друга через шлюз.2Диев Александр Васильевич: у меня нет слов... "На обеих машинах поднята RRAS с вызовом по требованию [...] Создаю на машине VPN1 новый интерфейс вызова по требованию..." неужели это похоже на создание клиентской части VPN-соединения? Хоть бы в мини-форум отписались...

Спасибо, конечно, за "1" за ответ :), но вызов по требованию (он же Demand-Dial Interface) есть ничто иное как клиентская часть. RRAS был изначально сконфигурирован как VPN-server? В конфигурации RRAS в пункте Ports есть порты WAN Miniport (L2TP) для устройства VPN? Что касается наличия/отсутствия (а также их количества) роутеров между машинами, одинаковых/разных подсетей у интерфейсов, на которых висят VPN порты, то все это здесь абсолютно ни при чем.

2Диев Александр Васильевич:Ещё раз возвращаюсь к цитированию своего вопроса: "На обеих машинах поднята RRAS с вызовом по требованию." - это есть ничто иное как RRAS, сконфигурированный как VPN-сервер.При создании RRAS с вызовом по требованию автоматически создаются 5 PPTP и 5 L2TP портов. Они, безусловно, есть. Отсылка к справке также особо интересна.Вы действительно считаете, что ваш ответ заслуживает большей оценки при условии полной неинформативности и невнимательнности при прочтении вами вопроса? Как я и написал в комментарии к оценке - такие "ответы" надо давать в мини-форум, иначе это похоже на элементарное набивание статуса.

То, что на обоих машинах RRAS с конфигурен с вызовом по требованию, еще ни о чем не говорит. При создании RRAS нет пункта "вызов по требованию". Есть "Remote Access (dial-up or VPN)", есть "Custom Configuration", есть "Secure connection between two private networks"... И только из последнего вашего ответа на минифоруме видно то, что вы использовали именно этот пункт. Ранее никаких следов серверной конфигурации не прослеживалось. Demand-Dial interface можно создать и на живом RRAS, независимо от наличия WAN miniports, просто добавив его в Interfaces.Ну да ладно. Раз до этого места добрались, давайте раскручивать проблему. Что говорится в статусах минипортов при попытке соединения? Что собственно в Connection State у вашего Demand-Dial интерфейса? И кстати, как настроен logging и что есть в event log по поводу неудачных соединений?PS: Давайте наотмашь шашкой махать не будем? У меня после такой оценки и комментариев тоже было первое желание - просто послать. В то время, как вопрос VPN-соединений мне хорошо знаком и экспериментально опробован.

Согласен, я погорячился. Но о вашей осведомлённости в вопросе VPN тоже можно сказать только из последних сообщений. Ответ всё равно неинформативен, как ни крути. Хотя я и не согласен с вами по поводу серверной части. Порты WAN появляются только при включенном пункте Маршрутизация и вызов по требованию, который появляется в двух случаях: 1. С самого начала присваивалась роль VPN-сервера. 2. Сервер получил роль VPN-серва после настройки вручную.О наших баранах: Логгинг настроен на "вести журналы всех событий". Стоит галочка "Журнал дополнительных сведений тра-ля-ля"В системных событиях запись: источник RemoteAccess ID 20111 текст: Подключение по требованию к удалённому интерфейсу "vpn" через порт "VPN3-4" успешно инициировано, но не закончено, из-за ошибки: Попытка L2TP-подключения не удалась, поскольку истекло время согласования режима безопасности.На удалённой машине создан пользователь с именем удалённого интерфейса VPN-сервера. Настройки безопасности стоят одинаковые (Дополнительные, необязательное шифрование).В настройках подключения на данной машине ввожу Учетные данные - пользователя удалённой машины.Состояние интерфейса - Разрешён. Состояние подключения - Отключено.Состояние портов - НеактивноДобавлено полчаса спустя: попробовал создать новый интерфейс вызова по требования без RRAS, настроенного на "локальную сеть и вызов по требования" (оставил верхнюю галочку "только локальная сеть" в свойствах RRAS). При попытке создания интерфейса выскочило сообщение о невозможности создания интерфейса без настроенной соответствующим образом RRAS. Вы уверены, что у вас получалось создать новый интерфейс не настроив до этого сервер?

2All: На PPTP настроил. Грабли с L2TP. Подозреваю, что дело в Сертификатах. Есть мысли?2Last Soul: на PPTP настроил не меняя подсети, т.е. сервера в одной подсети лежат.

При подключении по PPTP, применяется шифрование MPPE, а при подключении по L2TP - шифрование IPSec.Может затык в этом?Линки в помощь:http://support.microsoft.com/kb/885407/http://support.microsoft.com/kb/314831они правда по XP, но отталкиваться от них можно.И еще:http://openvpn.net/Общая теория ВПН и кстати сам продукт заслуживает внимания, есть версия под Windows.

Ага. Спасибо! Буду читать дальше.

2PaveL SvetlY"На PPTP настроил. Грабли с L2TP. Подозреваю, что дело в Сертификатах. Есть мысли? "Возможно, что в них дело. Пытался повторить эксперимент на виртуалке - уперся в аналогичную ситуацию. По пути упрощения - pptp - нормально. Что касается сертификатов - не получается создать экспортируемый шаблон из шаблона "Router (offline request)" - по описанию, на базе него надо делать сертификаты на обоих серверах. Кстати, а зачем устанавливали центры сертификации на обоих серверах?Еще возможный вариант (хоть и маловероятный) - имена пользователей. В вопросе (в самом начале) вы написали о двух запросах имени пользователя. Так вот первый запрос - имя вновь создаваемого юзера (логин совпадает с именем интерфейса) для входящего соединения, а второй - для исходящего, т.е. должен соответствовать тому, что создан на втором сервере. В случае AD (как я понял из вопроса, это как раз тос случай) может быть вообще один пользователь, если интерфейсы на обоих машинах называюся одинаково.PS: Что-то прошлый опыт pptp vpn мне плоховато помогает :)

так отож %)Два ЦС поднял, потому что дочитал мануал до слова ЦС и понесся ставить %) В мануале написано, что должен быть один корневой ЦС, и оба компа должны использовать сертификаты, выданные именно этим одним ЦС (или цепочкой центров, которые ведут к одному верхеного уровня). С логинами уже разобрался - для pptp всё работает. Делаю те же настройки для l2tp - упираюсь в грабли с сертификатами. Думаю надо строить доверительные отношения между доменами или как-то портировать сертификаты...

Фуууух, настроил!!! Но только с одной стороны. Вторую сторону трогать уже не хочу. И так есть постоянное соединение. Проблема была действительно в сертификатах. Нужно было создать на каждой из машин сертификат, выданный одним ЦС (в моем случае это был stand-alone CA) для клиента и сервера, потом на оба компа импортировать Цепочку ЦС и Сертификат ЦС в доверенные ЦС на каждой из машин. Если оставить по 1 порту (1 L2TP и 1 PPTP) то при попытке коннекта пишет линия занята. Поставил 2 порта - заработало!Рекомендуемая к прочтению литература:http://www.isaserver.org/tutorials/Configuring_Gateway_to_Gateway_L2TPIPSec_VPNs_Part_1_Configuring_the_Infrastructure.htmlhttp://www.isaserver.org/tutorials/Configuring_Gateway_to_Gateway_L2TPIPSec_VPNs_Part_2_Configuring_the_Infrastructure.htmlhttp://winfaq.com.ru/ubb/Forum3/HTML/010760-2.htmlНу и все ссылки по ходу пьесы %)

Мои поздравления.Надо будет повторить эксперимент.