Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

VPN w sieci lokalnej?

19 Feb 2008 13:18 10944 12
  • Level 11  
    Cześć wszystkim

    Mam takie pytanie czy w sieci lokalnej można stworzyć działające połączenie VPN?

    Mamy router Linksys WAG200g z połączeniem internetu od ISP (neostrada). Na routerze włączone są wszystkie opcje dotyczące VPN tzn.
    IPSec PassThrough: Enable
    PPPoE PassThrough: Enable
    PPTP PassThrough: Enable
    L2TP PassThrough: Enable.

    i teraz do routera podłączone są 2 stacje, które lokalnie widzą siebie po tcp, który otrzymują dynamicznie od DHCP z routera adresy z zakresu 10.0.0.50-100
    Teraz chciałem spróbować stworzyć połączenie VPN pomiędzy tymi stacjami i tak jedna stacja jest klientem VPN druga serwerem VPN. Na obydwu stacjach wyłączyłem firewalle aby nie brać pod uwagę blokowania przez firewalla. Na stacji klienckiej stworzyłem połączenie z VPN a na serwerze VPN połączenie przychodzące. Jeżeli próbuję połączyć się z klienta to po wprowadzeniu nazwy użytkownika i hasła , po 10 sekundach i weryfikacji nazwy użytkownika i hasła wyskakuje błąd 721. Nie mogę się wogóle połączyć z serwerem VPN. Co jeszcze na routerze mam przekierowany port 1723 na stację z IP serwera VPN i również z zakresu 1000-65534. Nie wiem już w czym tkwi problem...

    Co jeszcze mi zasugerujecie?

    p.s. Próbowałem połączyć się też od mojego znajomego (czyli już nie w sieci lokalnej) do mojego serwera VPN i też nie można..

    co jest??
  • VIP Meritorious for electroda.pl
    Na routerze nie trzeba przy takim połączeniu nic ustawiać.
    Ruch przechodzi tylko przez switch wbudowany w router.
    Cała konfiguracja jest do wykonania na komputerach.
  • Level 11  
    mbo wrote:
    Na routerze nie trzeba przy takim połączeniu nic ustawiać.
    Ruch przechodzi tylko przez switch wbudowany w router.
    Cała konfiguracja jest do wykonania na komputerach.


    to czemu nie moge się połączyć? czy na serwerze VPN muszę ustawić typ szyfrowania VPN? bo na stacji widziałem że są opcje dotyczące szyfrowania

    zapomniałem dodać że obydwie stacje mają win xp pro sp2
  • VIP Meritorious for electroda.pl
    Musisz poprawnie ustawić połączenie VPN na obu komputerach - między nimi jest tylko switch.
  • VIP Meritorious for electroda.pl
    Zamiast się irytować podaj ustawienia połączeń VPN po obu stronach.
  • Level 11  
    już moge się połączyć... problemem było dynamiczne ip z routera, ustawiłem na sztywno i można się łączyć...

    tyle tylko, że nie widzę zasobów na kliencie, udostępnionych na serwerze vpn. Musi być ustawiana ta sama grupa robocza? w przypadku VPN?

    Nie wiem też czemu na serwerze i na stacji jak wchodzę w szczegóły połączenia VPN to mam takie IP 169.254.231.193 i 169.254.11.206 (IP serwera i klienta) z tego co pamiętam to Ip rozpoczynające się od 169.254 jest przydzielane wtedy kiedy DHCP przydziela IP a stacje nie mogą z jakiś powodów odebrać ip z zadanej puli...
  • Moderator of Cars
    W normalnych warunkach VPN służy do dołączania stacji roboczej do LANu przez internet lub łączenia dwóch LANów przez internet, stąd w przypadku L2TP/PPTP działa mechanizm podobny do NAT. Nie jestem pewien czy w przypadku PPTP/L2TP jest taki wymóg, ale można też tworzyć VPN w oparciu o IPSec i wtedy łączone "końce" muszą należeć do różnych podsieci (żeby było wiadomo co ma iść przez tunel a co lokalnie) ale hosty zachowują swoje adresy (po obu stronach są widoczne pod tymi samymi adresami).
    W związku z powyższym, żeby "otoczenie sieciowe" działało trzeba dodać statyczną trasę do sieci "po drugiej stronie", niemniej z działaniem NetBIOSu po VPN bywają problemy.
  • Level 11  
    a wiesz może czemu nie widzę zasobów po stronie stacji?

    Jaki ma cel cytowanie całej poprzedniej wiadomości ?
    Proszę więcej tego nie robić. [mbo]
  • VIP Meritorious for electroda.pl
    tzok wrote:

    W związku z powyższym, żeby "otoczenie sieciowe" działało trzeba dodać statyczną trasę do sieci "po drugiej stronie", niemniej z działaniem NetBIOSu po VPN bywają problemy.


    Proszę nie pisać bzdur o potrzebie routingu - one są w tej samej sieci (maska 255.255.0.0).
    Wystarczy wyszukać drugi komputer po IP i będzie działało "Otoczenie sieciowe".

    Prostszym i lepszym rozwiązaniem będzie ręcznie ustawić IP z innej klasy na obu PC tak aby było one w obrębie maski 255.255.255.0. Wtedy Windows powinien automatycznie wyszukać drugi komputer.
  • Level 11  
    Panowie zauważyłem jeszcze jedno, że nie mogę połączyć się do servera vpn
    dwoma stacjami na raz. Oczywiście na serwerze mam ustawione dwóch odrębnych użytkowników, że mogą się łączyć ale tylko jeden na raz ..
    Jak mam zalogowanego A to B już nie może się zalogować, muszę wtedy rozłączyć A aby B sie połączył.

    Zasoby już znalazłem ...wyszukałem kompa po IP i wtedy pokazał mi "serwer"
  • Moderator of Cars
    mbo wrote:
    Proszę nie pisać bzdur o potrzebie routingu - one są w tej samej sieci (maska 255.255.0.0).
    Wystarczy wyszukać drugi komputer po IP i będzie działało "Otoczenie sieciowe".

    Prostszym i lepszym rozwiązaniem będzie ręcznie ustawić IP z innej klasy na obu PC tak aby było one w obrębie maski 255.255.255.0. Wtedy Windows powinien automatycznie wyszukać drugi komputer.
    Tak do końca to nie wiem jakiej metody tunelowania użył autor...
    Zazwyczaj korzystam z IPSec i tam oba komputery/oba LANy muszą mieć różne adresy sieci i musi istnieć statyczna trasa, zdefiniowana na komputerze z oprogramowaniem klienckim, oraz na serwerze VPN.

    Windowsowy serwer VPN może łączyć komputery tej samej sieci, ale to chyba nie jest dobry pomysł. Popraw mnie jeśli się mylę ale klient łączący się do LANu widzi komputery w zdalnym LANie pod ich lokalnymi adresami, ale już komputery z LANu widzą tego klienta pod wirtualnym adresem. Wirtualna sieć tworzona przez serwer VPN, nie może należeć do żadnej z sieci łączonych, tym sposobem wszystkie pakiety idą przez VPN Gateway i dlatego nie potrzeba w tej metodzie określać trasy statycznej.
    Np. u mnie wygląda to tak (zmienię adresy...)
    Code:
    [klient]---------->[VPN Gateway]----->{LAN}

    Klient ma publiczne IP: 155.158.53.12
    VPN gateway (router) ma publiczne IP: 217.97.162.49
    ...i lokalne IP: 192.168.100.1
    Komputery w LANie mają IP z puli: 192.168.100.xxx
    Klient łącząc się przez PPTP z VPN Gateway otrzymuje od niego wirtualne IP: 10.0.0.2, w tej sieci VPN Gateway ma adres 10.0.0.1 i pełni rolę bramy domyślnej.
    Klient (155.158.53.12) łączy się z 192.168.100.10. 192.168.100.10 widzi adres połączenia przychodzącego jako 10.0.0.2 i na taki adres odsyła odpowiedź. Teraz pytanie czy z LANu można zainicjować połączenie z takim klientem (oczywiście kiedy on już utworzy tunel)? Tak, ale router musi mieć zdefiniowaną trasę do tej sieci.

    Nigdy nie łączyłem dwóch hostów po L2TP, starałem się pomóc na ile potrafię.
  • VIP Meritorious for electroda.pl
    tzok wrote:
    Tak do końca to nie wiem jakiej metody tunelowania użył autor...


    W tym przypadku nie ma to większego znaczenia - nie ustawił adresów IP, więc przydzielił je mechanizm APIP, gdzie adresy są w postaci 169.254.x.y i maska 255.255.0.0

    Quote:

    Zazwyczaj korzystam z IPSec i tam oba komputery/oba LANy muszą mieć różne adresy sieci i musi istnieć statyczna trasa, zdefiniowana na komputerze z oprogramowaniem klienckim, oraz na serwerze VPN.


    Tak faktycznie jest.

    Quote:

    Windowsowy serwer VPN może łączyć komputery tej samej sieci, ale to chyba nie jest dobry pomysł.


    Też tak uważam.

    Quote:

    Popraw mnie jeśli się mylę ale klient łączący się do LANu widzi komputery w zdalnym LANie pod ich lokalnymi adresami,


    Tak jest przy połączeniu VPN LAN-LAN, tutaj jest połączenie PC-PC

    Quote:

    ale już komputery z LANu widzą tego klienta pod wirtualnym adresem.


    Nie - komputery z LAN'u mają z nim komunikację bez szyfrowania po lokalnym IP.


    Quote:

    Teraz pytanie czy z LANu można zainicjować połączenie z takim klientem (oczywiście kiedy on już utworzy tunel)? Tak, ale router musi mieć zdefiniowaną trasę do tej sieci.


    Tak jest, ale to dotyczy połączenia VPN LAN-LAN