none
Připojení k Win2003 přes VNP - problém s doménou?

    Dotaz

  • Nakonfiguroval jsem VPN (PPTP) na našem Win2003 R2 serveru, který je zároveň řadičem domény. Mám problém s připojením z netebooků, které nejsou v doméně.

    Server má dvě síťová rozhraní - 192.168.1.6 pro vnitřní LAN síť a 10.0.0.1 pro WAN, mezi němiž probíhá NAT.

    Připojení VPN úspěšně proběhne, ale nemohu so dostat do sdílených souborů na serveru - server není v okolních počítačích vidět. Nefunguje ping "jméno serveru" (počítač nezná jméno serveru) ani ping 192.168.1.6 - (bez odezvy). Mohu pingnout pouze na WAN rozhraní 10.0.0.1.

    Přitom z notebooku v doméně se na server bez problému dostanu. Nevím zda není problém také v OS klienta - notebook v doméně, je s Win7 a notebooku mimo doménu s WinXP.

    V nastavení RRAS mám zvoleno aby se DNS, DHCP poskytovalo na LAN adaptéru.

    Nemáte nápad v čem může být problém? Nemůže být problém v nastavení zabezpečení domény?

    pátek 14. května 2010 9:28

Odpovědi

  •         Přípona DNS podle připojení . . . :
            Popis . . . . . . . . . . . . . . : Broadcom 802.11g síťový adaptér
            Fyzická Adresa. . . . . . . . . . : 00-14-A4-33-FA-8D
            Protokol DHCP povolen . . . . . . : Ano
            Automatická konfigurace povolena  : Ano
            Adresa IP . . . . . . . . . . . . : 192.168.2.2
            Maska podsítě . . . . . . . . . . : 255.255.0.0
            Výchozí brána . . . . . . . . . . : 192.168.2.1
            Server DHCP . . . . . . . . . . . : 192.168.2.1
            Servery DNS . . . . . . . . . . . : 192.168.2.1
            Zapůjčeno . . . . . . . . . . . . : 19. května 2010 21:10:29
            Zápůjčka vyprší . . . . . . . . . : 20. května 2010 21:10:29


    Tu B-ckovou sit/masku myslis vazne nebo je to (DOUFAM) preklep :-O ?!?! Samozrejme ze mas potom prekryv lokalni (192.168.x.x) a vzdalene (192.168.1.x) site.

    MP

    čtvrtek 20. května 2010 8:54
    Vlastník

Všechny reakce

  • Jakou adresu/masku/dns/wins/default GW/search domain dostane VPN klient od serveru a odkud se bere (z DHCP/z poolu RRASu)? Jake jsou vazby na VPN adapter (TCP/IP, MS NEtwork Client vc. NetBIOS)? Je pouzito [x] Use default GW on remote Network?

    MP

    pátek 14. května 2010 9:38
    Vlastník
  • Ještě jsem to trošku testoval a vypadá to že problém není v přítomnosti nebo nepřítomnosti klientského počítače v doméně, ale klienti s WinXP server nevidí a klienti s Win7 vidí.

    IP adresu klient dostane z DHCP serveru z rozsahu LAN (v RRAS je nastaveno "Pomocí protokolu DHCP").

    Například klient získal pro VPN adresu 192.168.1.70, přičemž LAN adresa serveru je 192.168.1.6/255.255.255.0.

    Výchozí bránu používá 192.168.1.70 - svojí vlastní ip adresu - je to správně?

    Masku sítě získal 255.255.255.255

    Server DNS 192.168.1.6 - LAN adresa serveru

    Nastavení TCP/IP u VPN má povoleno "Používat výchozí bránu vzdálené sítě".

    Vazby pro Připojení vzdáleného přístupu se mi nezobrazují.

    pátek 14. května 2010 11:42
  • Ano, VPN je Point-To-Point takze maska i brana je OK.

    tracert -d 192.168.1.70
    tracert -d 192.168.1.6

    vypisi co?

    MP

    P.S. Neni nahodou sit pridelena VPN adapteru v kolizi s lokalni siti pripojovaneho stroje? Mozna by bodl "ipconfig /all" z klienta

    pátek 14. května 2010 11:45
    Vlastník
  • Vypište si routovací tabulku na připojeném stroji. (Route print) musí obsahovat cestu k podsíti  192.168.1.0/24 přitom branou pro tuto podsíť je VPN server. Používání rozdahu 1.0  může kolidovat s většinou síťových prvků na straně klienta, nebudu se tu rozepisovat o tom, že používání takového výchozího rozsahu je ve firemních síťích pitomost, pokud vám zkoliduje rozsah můžete doufat, že nebude právě použita adresa 1.6 a vložit přesný záznam routy jako 192.168.1.6/255.255.255.255. Potom by se to dosměrovat mohlo, ale samozřejmě pouze na server.

    pondělí 17. května 2010 22:31
  • Použití výchozí brány vzdálené sítě znamená, že všechen provoz se bude směrovat skrze VPN tunel. To je potřeba jednoznačně zvážit, jestli jde o žádoucí stav.
    pondělí 17. května 2010 22:34
  • Včera jsem to opět zkoušel, s tím zda je klient v doméně nebo ne, to nesouvisí.

    Připojení přes vpn k serveru funguje ve Win7 a nefunguje ve WinXP.

    O nevhodnosti výchozího rozsahu jsem už také přemýšlel, byl nastaven v době kdy se jednalo o malou síť a o vpn se neuvažovalo.

    Někdy to změním, ale není to až tak jednoduché, na tento rozsah je již navázáno hodně různých nastavení...

    Vyjel jsem ip konfiguraci klienta a výpis z event logu, routovací tabulku dodám zítra...:


    C:\Documents and Settings\petrs.nazev-domeny>ipconfig /all

    Konfigurace protokolu IP systému Windows

            Název hostitele . . . . . . . . . : acer-notebook
            Primární přípona DNS. . . . . . . : nazev-domeny.local
            Typ uzlu  . . . . . . . . . . . . : neznámý
            Povoleno směrování IP . . . . . . : Ne
            WINS Proxy povoleno . . . . . . . : Ne
            Prohledávací seznam přípon DNS. . : nazev-domeny.local

    Adaptér sítě Ethernet Bezdrátové připojení k síti:

            Přípona DNS podle připojení . . . :
            Popis . . . . . . . . . . . . . . : Broadcom 802.11g síťový adaptér
            Fyzická Adresa. . . . . . . . . . : 00-14-A4-33-FA-8D
            Protokol DHCP povolen . . . . . . : Ano
            Automatická konfigurace povolena  : Ano
            Adresa IP . . . . . . . . . . . . : 192.168.2.2
            Maska podsítě . . . . . . . . . . : 255.255.0.0
            Výchozí brána . . . . . . . . . . : 192.168.2.1
            Server DHCP . . . . . . . . . . . : 192.168.2.1
            Servery DNS . . . . . . . . . . . : 192.168.2.1
            Zapůjčeno . . . . . . . . . . . . : 19. května 2010 21:10:29
            Zápůjčka vyprší . . . . . . . . . : 20. května 2010 21:10:29

    Adaptér sítě Ethernet Připojení k místní síti:

            Stav média  . . . . . . . . . . . : odpojeno
            Popis . . . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth
    ernet NIC
            Fyzická Adresa. . . . . . . . . . : 00-0A-E4-E5-CA-5B

    Adaptér pro protokol PPP vpn:

            Přípona DNS podle připojení . . . :
            Popis . . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
            Fyzická Adresa. . . . . . . . . . : 00-53-45-00-00-00
            Protokol DHCP povolen . . . . . . : Ne
            Adresa IP . . . . . . . . . . . . : 192.168.1.74
            Maska podsítě . . . . . . . . . . : 255.255.255.255
            Výchozí brána . . . . . . . . . . : 192.168.1.74
            Servery DNS . . . . . . . . . . . : 192.168.1.6

    C:\Documents and Settings\petrs.nazev-domeny>

     

    Typ události: Informace
    Zdroj události: RemoteAccess
    Kategorie události: Není k dispozici
    ID události: 20142
    Datum:  19.5.2010
    Čas:  21:12:11
    Uživatel:  Není k dispozici
    Počítač: SERVER
    Popis:
    Uživatel nazev-domeny\petrs se připojil a byl úspěšně ověřen na portu VPN5-19. Data odeslaná a přijatá přes toto propojení jsou silně šifrovaná.

    Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.

    Typ události: Informace
    Zdroj události: RemoteAccess
    Kategorie události: Není k dispozici
    ID události: 20200
    Datum:  19.5.2010
    Čas:  21:12:11
    Uživatel:  Není k dispozici
    Počítač: SERVER
    Popis:
    Uživateli nazev-domeny\petrs připojenému k portu VPN5-19 byla přidělena adresa 192.168.1.74.

    Další informace získáte v Centru pro nápovědu a pomoc na http://go.microsoft.com/fwlink/events.asp.

     

     

    čtvrtek 20. května 2010 8:46
  •         Přípona DNS podle připojení . . . :
            Popis . . . . . . . . . . . . . . : Broadcom 802.11g síťový adaptér
            Fyzická Adresa. . . . . . . . . . : 00-14-A4-33-FA-8D
            Protokol DHCP povolen . . . . . . : Ano
            Automatická konfigurace povolena  : Ano
            Adresa IP . . . . . . . . . . . . : 192.168.2.2
            Maska podsítě . . . . . . . . . . : 255.255.0.0
            Výchozí brána . . . . . . . . . . : 192.168.2.1
            Server DHCP . . . . . . . . . . . : 192.168.2.1
            Servery DNS . . . . . . . . . . . : 192.168.2.1
            Zapůjčeno . . . . . . . . . . . . : 19. května 2010 21:10:29
            Zápůjčka vyprší . . . . . . . . . : 20. května 2010 21:10:29


    Tu B-ckovou sit/masku myslis vazne nebo je to (DOUFAM) preklep :-O ?!?! Samozrejme ze mas potom prekryv lokalni (192.168.x.x) a vzdalene (192.168.1.x) site.

    MP

    čtvrtek 20. května 2010 8:54
    Vlastník
  • nojo, to jsem si nevšimnul, když jsem zjistil, že mám klienta ve stejném rozsahu, měnil jsem u něj konfiguraci routeru, aby přiděloval adresy B-čkové sítě a ta maska se mi tam dostala buť překlepem, nebo mi jí tam sám vnutil - večer to zjistím...

    Díky moc, doufám že to bude pouze tím. Dám vědět, jak to dopadlo...

    čtvrtek 20. května 2010 9:52
  • Rozhodne s timto nastavenim to NEMUZE fungovat, takze si drz palce aby to byla jedina chyba

    MP

    čtvrtek 20. května 2010 10:37
    Vlastník
  • Tak to zafunguvalo - bylo to tou maskou, nechápu proč jsme ji tam takhle nastavil, měl jsem za to, že ji mám 255.255.255.0.

    Máte nějaké vysvětlení, proč na Win7 ta kolize nebyla problém?

    Existuje nějaké jiné řešení, jak předejít těmto problémům, než přenastavit rozsah firemní sítě?

    Kdybych například nepřiděloval adresy z dhcp serveru, ale z přiděloval je přímo z RRAS z jiného rozsahu než je firemní síť, je možné nějak nastavit abych se pak na server, který je v rozsahu firemní sítě, dostal? 

     

    pátek 21. května 2010 7:30
  • Prosim oznac za zodpovezene. Jak rad rikam: ze neco funguje jeste neznamena ze to neni spatne!

    Ano, muzes pridelovat IP pro RAS klienty napr ze 172 privatniho rozsahu

    MP

    pátek 21. května 2010 8:01
    Vlastník
  • Nastavil jsem přidělování IP pro VPN klienty z méně obvyklého rozsahu a zdá se že vše funguje dobře a nemusím kvůli tomu něnit rozsah firemní sítě.

    Je ještě nějaký jiný důvod proč nepoužívat rozsah 192.168.1.0/24  ve firemní síti?

    pátek 21. května 2010 11:58
  • PROTOŽE JE TO DRUHÝ NEJPROFLÁKLEJŠÍ ROZSAH NA SVĚTĚ (po 192.168.0.0/24 a před 10.0.0.0/x) ?

    MP

     

    pátek 21. května 2010 13:27
    Vlastník