Jak skonfigurować VPN między stacjami w sieci lokalnej na Linksys WAG200g?

Cześć wszystkim

Mam takie pytanie czy w sieci lokalnej można stworzyć działające połączenie VPN?

Mamy router Linksys WAG200g z połączeniem internetu od ISP (neostrada). Na routerze włączone są wszystkie opcje dotyczące VPN tzn.
IPSec PassThrough: Enable
PPPoE PassThrough: Enable
PPTP PassThrough: Enable
L2TP PassThrough: Enable.

i teraz do routera podłączone są 2 stacje, które lokalnie widzą siebie po tcp, który otrzymują dynamicznie od DHCP z routera adresy z zakresu 10.0.0.50-100
Teraz chciałem spróbować stworzyć połączenie VPN pomiędzy tymi stacjami i tak jedna stacja jest klientem VPN druga serwerem VPN. Na obydwu stacjach wyłączyłem firewalle aby nie brać pod uwagę blokowania przez firewalla. Na stacji klienckiej stworzyłem połączenie z VPN a na serwerze VPN połączenie przychodzące. Jeżeli próbuję połączyć się z klienta to po wprowadzeniu nazwy użytkownika i hasła , po 10 sekundach i weryfikacji nazwy użytkownika i hasła wyskakuje błąd 721. Nie mogę się wogóle połączyć z serwerem VPN. Co jeszcze na routerze mam przekierowany port 1723 na stację z IP serwera VPN i również z zakresu 1000-65534. Nie wiem już w czym tkwi problem...

Co jeszcze mi zasugerujecie?

p.s. Próbowałem połączyć się też od mojego znajomego (czyli już nie w sieci lokalnej) do mojego serwera VPN i też nie można..

co jest??

Na routerze nie trzeba przy takim połączeniu nic ustawiać.
Ruch przechodzi tylko przez switch wbudowany w router.
Cała konfiguracja jest do wykonania na komputerach.

mbo napisał:

Na routerze nie trzeba przy takim połączeniu nic ustawiać.
Ruch przechodzi tylko przez switch wbudowany w router.
Cała konfiguracja jest do wykonania na komputerach.

to czemu nie moge się połączyć? czy na serwerze VPN muszę ustawić typ szyfrowania VPN? bo na stacji widziałem że są opcje dotyczące szyfrowania

zapomniałem dodać że obydwie stacje mają win xp pro sp2

Musisz poprawnie ustawić połączenie VPN na obu komputerach - między nimi jest tylko switch.

co za odpowiedź??? hmm.. można było również napisać, że muszę włączyć w ogóle komputery aby to zrobić.

klienta ustawiałem wg tego http://support.microsoft.com/kb/314076/pl
a resztę wg tego http://www.pcworld.pl/artykuly/45531.html

Zamiast się irytować podaj ustawienia połączeń VPN po obu stronach.

już moge się połączyć... problemem było dynamiczne ip z routera, ustawiłem na sztywno i można się łączyć...

tyle tylko, że nie widzę zasobów na kliencie, udostępnionych na serwerze vpn. Musi być ustawiana ta sama grupa robocza? w przypadku VPN?

Nie wiem też czemu na serwerze i na stacji jak wchodzę w szczegóły połączenia VPN to mam takie IP 169.254.231.193 i 169.254.11.206 (IP serwera i klienta) z tego co pamiętam to Ip rozpoczynające się od 169.254 jest przydzielane wtedy kiedy DHCP przydziela IP a stacje nie mogą z jakiś powodów odebrać ip z zadanej puli...

W normalnych warunkach VPN służy do dołączania stacji roboczej do LANu przez internet lub łączenia dwóch LANów przez internet, stąd w przypadku L2TP/PPTP działa mechanizm podobny do NAT. Nie jestem pewien czy w przypadku PPTP/L2TP jest taki wymóg, ale można też tworzyć VPN w oparciu o IPSec i wtedy łączone "końce" muszą należeć do różnych podsieci (żeby było wiadomo co ma iść przez tunel a co lokalnie) ale hosty zachowują swoje adresy (po obu stronach są widoczne pod tymi samymi adresami).
W związku z powyższym, żeby "otoczenie sieciowe" działało trzeba dodać statyczną trasę do sieci "po drugiej stronie", niemniej z działaniem NetBIOSu po VPN bywają problemy.

a wiesz może czemu nie widzę zasobów po stronie stacji?

Jaki ma cel cytowanie całej poprzedniej wiadomości ?
Proszę więcej tego nie robić. [mbo]

tzok napisał:

W związku z powyższym, żeby "otoczenie sieciowe" działało trzeba dodać statyczną trasę do sieci "po drugiej stronie", niemniej z działaniem NetBIOSu po VPN bywają problemy.

Proszę nie pisać bzdur o potrzebie routingu - one są w tej samej sieci (maska 255.255.0.0).
Wystarczy wyszukać drugi komputer po IP i będzie działało "Otoczenie sieciowe".

Prostszym i lepszym rozwiązaniem będzie ręcznie ustawić IP z innej klasy na obu PC tak aby było one w obrębie maski 255.255.255.0. Wtedy Windows powinien automatycznie wyszukać drugi komputer.

Panowie zauważyłem jeszcze jedno, że nie mogę połączyć się do servera vpn
dwoma stacjami na raz. Oczywiście na serwerze mam ustawione dwóch odrębnych użytkowników, że mogą się łączyć ale tylko jeden na raz ..
Jak mam zalogowanego A to B już nie może się zalogować, muszę wtedy rozłączyć A aby B sie połączył.

Zasoby już znalazłem ...wyszukałem kompa po IP i wtedy pokazał mi "serwer"

mbo napisał:

Proszę nie pisać bzdur o potrzebie routingu - one są w tej samej sieci (maska 255.255.0.0).
Wystarczy wyszukać drugi komputer po IP i będzie działało "Otoczenie sieciowe".

Prostszym i lepszym rozwiązaniem będzie ręcznie ustawić IP z innej klasy na obu PC tak aby było one w obrębie maski 255.255.255.0. Wtedy Windows powinien automatycznie wyszukać drugi komputer.

Tak do końca to nie wiem jakiej metody tunelowania użył autor...
Zazwyczaj korzystam z IPSec i tam oba komputery/oba LANy muszą mieć różne adresy sieci i musi istnieć statyczna trasa, zdefiniowana na komputerze z oprogramowaniem klienckim, oraz na serwerze VPN.

Windowsowy serwer VPN może łączyć komputery tej samej sieci, ale to chyba nie jest dobry pomysł. Popraw mnie jeśli się mylę ale klient łączący się do LANu widzi komputery w zdalnym LANie pod ich lokalnymi adresami, ale już komputery z LANu widzą tego klienta pod wirtualnym adresem. Wirtualna sieć tworzona przez serwer VPN, nie może należeć do żadnej z sieci łączonych, tym sposobem wszystkie pakiety idą przez VPN Gateway i dlatego nie potrzeba w tej metodzie określać trasy statycznej.
Np. u mnie wygląda to tak (zmienię adresy...)

Klient ma publiczne IP: 155.158.53.12
VPN gateway (router) ma publiczne IP: 217.97.162.49
...i lokalne IP: 192.168.100.1
Komputery w LANie mają IP z puli: 192.168.100.xxx
Klient łącząc się przez PPTP z VPN Gateway otrzymuje od niego wirtualne IP: 10.0.0.2, w tej sieci VPN Gateway ma adres 10.0.0.1 i pełni rolę bramy domyślnej.
Klient (155.158.53.12) łączy się z 192.168.100.10. 192.168.100.10 widzi adres połączenia przychodzącego jako 10.0.0.2 i na taki adres odsyła odpowiedź. Teraz pytanie czy z LANu można zainicjować połączenie z takim klientem (oczywiście kiedy on już utworzy tunel)? Tak, ale router musi mieć zdefiniowaną trasę do tej sieci.

Nigdy nie łączyłem dwóch hostów po L2TP, starałem się pomóc na ile potrafię.

tzok napisał:

Tak do końca to nie wiem jakiej metody tunelowania użył autor...

W tym przypadku nie ma to większego znaczenia - nie ustawił adresów IP, więc przydzielił je mechanizm APIP, gdzie adresy są w postaci 169.254.x.y i maska 255.255.0.0

Cytat:

Zazwyczaj korzystam z IPSec i tam oba komputery/oba LANy muszą mieć różne adresy sieci i musi istnieć statyczna trasa, zdefiniowana na komputerze z oprogramowaniem klienckim, oraz na serwerze VPN.

Tak faktycznie jest.

Cytat:

Windowsowy serwer VPN może łączyć komputery tej samej sieci, ale to chyba nie jest dobry pomysł.

Też tak uważam.

Cytat:

Popraw mnie jeśli się mylę ale klient łączący się do LANu widzi komputery w zdalnym LANie pod ich lokalnymi adresami,

Tak jest przy połączeniu VPN LAN-LAN, tutaj jest połączenie PC-PC

Cytat:

ale już komputery z LANu widzą tego klienta pod wirtualnym adresem.

Nie - komputery z LAN'u mają z nim komunikację bez szyfrowania po lokalnym IP.

Cytat:

Teraz pytanie czy z LANu można zainicjować połączenie z takim klientem (oczywiście kiedy on już utworzy tunel)? Tak, ale router musi mieć zdefiniowaną trasę do tej sieci.

Tak jest, ale to dotyczy połączenia VPN LAN-LAN