none
nelze pripojit k VPN vice klientu z jedne verejne IP adresy

    Dotaz

  • Dobry den, 

    jiz delsi dobu pouzivam Windows 2k3 Enterprise SP2 a pred par dny jsem nakonfiguroval i VPN. 

    Muj problem: Pokud se chci pripojit jen ja sam nebo i vice klientu z ruznych verejnych IP adres jde vse jak ma a to odkudkoli z internetu. Problem nastava kdyz se pokousi pripojit dva a vice klientu z jedne verejne IP adresy. 

    Priklad: Znamy ma doma 2 PC, kterym nakonfiguruje VPN pristup na muj server. Prvni PC je uspesne pripojen a komunikuje tak jak ma a druhy PC se zasekne pri overovani uz.jmena a hesla.

    Pote co se PC neuspesne pokusi pripojit mi v udalostech pribyde chyba od RasMan (ID 20209):

    Připojení mezi serverem VPN a klientem VPN 84.19.71.114 bylo navázáno, ale připojení VPN nelze dokončit. Nejběžnější příčina je že brána firewall nebo směrovač mezi serverem a klientem VPN není nakonfigurován na povolení paketů GRE (Generic Routing Encapsulation, protokol 47). Zkontrolujte, zda brány firewall a směrovače mezi serverem VPN a Internetem umožňují přenos paketů GRE. Zkontrolujte, zda i brány firewall a směrovače v síti uživatele umožňují přenos paketů GRE. Pokud problém přetrvá, požádejte uživatele, aby se obrátil na svého poskytovatele služeb Internetu (ISP) s dotazem zda tento poskytovatel blokuje pakety GRE.

    Ve snaze zjistit co uspesnemu pripojeni brani jsem vypnul i Firewall na strane serveru i jakekykoli software omezujici pristup na net - klient i server jsou tedy pripojeni primo do netu verejnymi IP adresami s otevrenymi porty.

    VPN je konfigurovana jako VPN a NAT a k oboum protokolum mam prirazeno 128 klientskych portu. 

    Predem dekuji vsem co se mym problemem alespon na moment zabyvali a taky vsem co mi odpovi.

    S pozdravem Michael Glozar
    11. března 2010 17:45

Odpovědi

Všechny reakce

  • Takze chces pripojit 2 klienty GRE/PPTP protokolem pres NAT 1:N pricez 2 klienti jsou NATovani prez tutez adresu a pripojuji se na tentyz server? Jaky router pouzivas? Umi to (pptp_conntrack a pod)?

    MP
    11. března 2010 18:47
    Moderátor
  • komunikace klient - VPN server probiha pres internet, takze vse by melo jit jen pres modemy a providera. Ale s tim propojenim mate v podstate pravdu.
    11. března 2010 21:13
  • Neni dulezita komunikace pres Internet ktera je "normalni". Dulezity je preklad nebot ten normalni neni - zde se podstatna cast informaci ztraci a bez  aplikacni vrstvy je GRE komunikace proste osekana a uplne nebo castecne znemoznena.

    Takze jeste jednou: JAKY ROUTER POUZIVAS? MA PODPORU GRE PRES NAT? Toto neni problem klienta ani serveru ale zkripleni cesty (NATu).

    MP 

    11. března 2010 21:26
    Moderátor
  • Pokud myslite mezi serverem a internetem tak tam router neni, je tam jen modem (internet pres kabelovku), bohuzel vim jen ze je to Motorola SBV5120E - je blokovany providerem takze se do nej ani nedostanu. Na strane klienta urcite nejaky router bude, ale je pro mne tezky zjistit o jaky router jde vzhledem k tomu, ze se do VPN pripojuji vetsinou z verejnych mist nebo skoly.
    11. března 2010 21:54
  • Nectete pozorne, co vam MP pise.

    DULEZITY JE ROUTER/MODEM NA STRANE VASEHO ZNAMEHO, od ktereho nelze pripojit 2 PC do vasi VPN.

    Uz?

    Jeste jednou: u vaseho znameho je nejaky NAT router, ktery musi podstatnym zpusobem PODPOROVAT dany typ VNP, jinak neni schopen vas server rozlisit komunikaci 2 klientskych PC, ktere se schovavaji za jedinou internetovou IP adresou.
    12. března 2010 7:21
  • Ja bych si dovolil shrnout: NAT je technologie ktera obecne NENI kompatibilni s PPTP ani L2TP pripojenim.

    Pri DOBREM nastaveni zarizeni ktere pacha NAT je mozne se z jednoho PC za NATem pripojit k VPN serveru.

    Pri VYNIKAJICI konfiguraci takovehoto zarizeni (napr. pptp connection tracking module pro *nixovy iptables based router) a pri SKVELE konstelalci hvezd se k temuz VPN severu pripoji vice nez jeden uzivatel/PC za tymz NATem

    Pokud nemas kontrolu nad "NATovadlem" mas smulu. Resp. prejdi na SSL VPN ktera pouziva TCP protokol a ne GRE ci ESP

    MP
    12. března 2010 13:18
    Moderátor
  • S vasim shrnutim souhlasim, nicmene, dnes zkusil dat do rozhrani WAN site serveru switch a 2 PC, staticky nastavil IP, vypnul firewally a podobny software ktery by mohl jakkoli branit v ceste a zkusil 2 PC pripojit na VPN. Opet se pripojeni zdarilo jen jednomu klientovy a druhy byl odmitnut, ale tentokrat server nehodil zadne chybove hlaseni ani do systemovych udalosti. Takze podle mne bude chyba spis v nastaveni serveru nebo v obou vecech.
    12. března 2010 22:30
  • Ne, prihlasovacich udaju mam samozrejme vic.
    13. března 2010 15:24
  • zkus jim v profilech přiřadit IP adresu, a podívej se, jestli jim ji to připojí...
    13. března 2010 16:13
  • Jakym zpusobem prirazujes IP adresy (z pevneho poolu, DHCP serverem a pod)? Nebyly pridelene adresy v kolizi s aktualnim adresnim prostorem? V eventlog userveru zadne hlasky?

    MP
    13. března 2010 18:10
    Moderátor
  • Problem vyresen, priradil jsem kazdemu uzivateli IP adresu a pro VPN vyhradil pool ktery nebyl v rozsahu s DHCP. Uz funguje i pripojovani z verejnych siti. Mockrat dekuji vsem za rady.

    S pozdravem Michael Glozar
    14. března 2010 0:38