none
Vpn windows 2003 R2 CZ

    Dotaz

  •        Dobrý den,



          na serveru Windows 2003 sem nakonfiguroval VPN v konzole routování a vzdálený přístup mimo jiné mám nastaveno routování. VPN je nastavena i povolena, leč pokud nakonfiguruji klienta tak mi to hodí chybku 733, chyba s protokolem PPP domnívám se že chybka je na serveru, ale tuším kde.
          Protože pokud koukám na klientské stanici tak spojení projde a někde kolem autentifikace to kixne mám za to že autentifikace proběhne a následně vyskočí chybka.

         

         Prosím vás bylo by možné aby mi s tím někdo poradil?



    S pozdravem Jan Strnad.

    3. července 2008 12:48

Odpovědi

  • Protokol GRE nemusis nijak zvlast instalovat - je soucasti RRAS serveru (GRE je protokol z rodiny IP). Otazka je jak si s GRE poradi ADSL routrik, nicmene pokud je server v DMZ nemel by byt blokovan.

     

    Ve vlastnostech RRAS serveru urcujes odkud ziskava IP adresy pro klienty. Standardne z DHCP serveru; v tvem pripade bych asi nejprve zkusil priradit pevny blok adres (nezapomen jej vyhodit z DHCP poolu at se ti neprekryvaji).

     

    Najdes ve vlastnostech serveru v RRAS konzoli - zalozka IP - IP Address assignment kde je volba DHCP nebo static, zcela dole je vyber adapteru ktery se pouzije pro ziskani adresy z DHCP serveru

     

    MP

     

     

    P.S. DMZ ... jak mas server chranen pred utoky z netu?

    8. července 2008 6:12
    Moderátor

Všechny reakce

  • Jaka VPN? PPTP nebo L2TP?

    PPTP nema problem s NATem ale pozor na nutnost povoleni protokolu 47/GRE krome TCP. Jinak je blbuvzdorna. Utilita pptpping pomuze.

     

    U L2TP muze byt problem s cerifikaty ale tam ses dle hlasky jeste nedostal. L2TP muze mit citelny problem za NATem.

     

    Obecne: zkontroluj porty/protokoly napr. dle http://blogs.technet.com/rrasblog/archive/2006/06/14/which-ports-to-unblock-for-vpn-traffic-to-pass-through.aspx

     

    Jak pridelujes pool IP adres pro VPN server? Rucne / DHCP?

     

    Nejake hlasky v eventlogu serveru od RRAS?

     

    MP

     

    3. července 2008 14:58
    Moderátor
  •       Vpn je na serveru nastavena na PPTP i L2TP.
    S tím protokolem GRE jsem proletěl par for, ale nikde jsem nenasel jak se instaluje. :-(

          Na serveru je nastaveno na DHCP pro klienty  v LAN, ale netuším jestli se má nastavit i pro VPN. Jinak server běhá na ADSL a na modemu, je nastaven v DMZ tudíž s modemem by problém neměl být (předá veškerou komunikaci z WAN IP na LAN).

         Co se týče eventlogu :

    Typ události:    Upozornění
    Zdroj události:    RemoteAccess
    Kategorie události:    Není k dispozici
    ID události:    20167
    Datum:        6.7.2008
    Čas:        19:02:08
    Uživatel:        Není k dispozici
    Počítač:    XXXX
    Popis:
    K dispozici není žádná adresa IP, kterou by bylo možné předat klientovi vzdáleného připojení.

    Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.


    Typ události:    Chyba
    Zdroj události:    RemoteAccess
    Kategorie události:    Není k dispozici
    ID události:    20050
    Datum:        6.7.2008
    Čas:        19:02:08
    Uživatel:        Není k dispozici
    Počítač:    XXXX
    Popis:
    Uživatel XXXX\Administrator připojený k portu VPN4-19 byl odpojen, protože nebyly úspěšně vyjednány žádné síťové protokoly.

    Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.


         Jo ještě jeden postřeh, pokud se pokouším připojit pomocí VPN ze stanice a vyskočí hláška, tak na serveru připojení WAN spadne a za chvíli se zase obnoví.


    S pozdravem Jan Strnad.

    4. července 2008 8:38
  • No řekl bych, že chyba v eventlogu mluví jasně za sebe.

    Tak jako se nastavuje pool (rozsah) pro klienty (rozuměj stanice) v místní síti, tak stejně to funguje i pro VPN, jako virtuální připojení kabelu. Musíš tedy vytvořit adresní pool pro VPN klienty v nastavení DHCP serveru, v závislosti na tom, kolik předpokládaš uživatelů, takový rozsah zvolíš (pokud jich bude hodně, asi bude vhodný jiný subnet, záleží...). Můžeš také volit mezi PPTP a L2TP.

    Lze také přidělit klientům pevné IP, avšak toto považuji za méně časté řešení.

    A co se týče další hlášky v event logu, tak usuzuji, že to je způsobeno předchozím problémem, protože prostě spolu nekomunikují (nemá přidělenu IP).

     

    AK

     

    7. července 2008 22:15
  • Protokol GRE nemusis nijak zvlast instalovat - je soucasti RRAS serveru (GRE je protokol z rodiny IP). Otazka je jak si s GRE poradi ADSL routrik, nicmene pokud je server v DMZ nemel by byt blokovan.

     

    Ve vlastnostech RRAS serveru urcujes odkud ziskava IP adresy pro klienty. Standardne z DHCP serveru; v tvem pripade bych asi nejprve zkusil priradit pevny blok adres (nezapomen jej vyhodit z DHCP poolu at se ti neprekryvaji).

     

    Najdes ve vlastnostech serveru v RRAS konzoli - zalozka IP - IP Address assignment kde je volba DHCP nebo static, zcela dole je vyber adapteru ktery se pouzije pro ziskani adresy z DHCP serveru

     

    MP

     

     

    P.S. DMZ ... jak mas server chranen pred utoky z netu?

    8. července 2008 6:12
    Moderátor
  • Ahoj Miroslave,

    co se tyče tvého "P.S." musím se přiznat že pouze NAT ve Windows 2003 (takže nijak), Přemýšlím nad ISA 2006, nebo Kerio, ale nevím ani jedno neovládám a neumím s tím. :-(


    S pozdravem Jan Strnad. :-)

    8. července 2008 9:05
  • Router v sobe zadny firewall nema?

    Pokud ne sel bych cestou ze server neni v DMZ ale jsou na nej smerovane protokoly a porty ktere maji byt otevrene zvenku + pptp passthru.

     

    MP

    8. července 2008 9:29
    Moderátor
  •         To sice ano, leč pokud budu toto provádět tak ne do nekonečna, ROUTER mi dovolí pouze asi 12 portů a mně momentálně běží již deset služeb, které zabírají 10 TCP portů ! :-(

    8. července 2008 9:39
  • Radeji se ani neptam co vsechno povolujes Smile

     

    Nicmene k tomu rozsahu IP adres pro VPN - uz chodi? At neresime 10 veci najednou a nehnije to.

     

    MP

    8. července 2008 10:00
    Moderátor
  • Děkuji Miroslave, už to vše chodí jak má...


    8. července 2008 15:09