none
VPN-->RRAS настроить маршрутизацию RRS feed

  • Общие обсуждения

  •  

    Hi All

    Роутер, он же vpn сервер, nat (внутренний адрес 192.168.3.1), за ним windows 2003st_ r2 с 2 интерфейсам( внешний 192.168.3.2 и внутренний 192.168.10.1) и то же натит, за ним клиенты. Надо пропустить трафик внутрь сети. До внешнего интерфейса сервера (192.168.3.2) клиент получает доступ, а дальше никак.

    Вопрос абсолютно прост - как нужно настроить rras что бы он маршрутизировал запросы, при одновременно работающем нате? Я понимаю что 2 строчки, но не работает Sad Хотел рисуночек приаттачить - да не нашёл как в этом форуме сделать. Попробую нарисовать так. Вообще при работающем нате возможно ещё и маршрутизировать?

     

     

                           nat                                                     nat

    -------------------|router|--------------------------------------|Windows Server 2003|-------------------------------LAN  192.168.10.0/24

                           192.168.3.1                192.168.3.2              192.168.10.1
    17 декабря 2008 г. 17:36

Все ответы

  • Конечно возможно. Только не совсем понятно... Вы хотите, чтобы клиенты с 192.168.10.х получали доступ к внешней сети? Или чтобы из внешней сети получали доступ к внутренней за win2k3?

    18 декабря 2008 г. 7:22
  •  Zuzuka написано:

    Конечно возможно. Только не совсем понятно... Вы хотите, чтобы клиенты с 192.168.10.х получали доступ к внешней сети? Или чтобы из внешней сети получали доступ к внутренней за win2k3?

     

    Да, тут я не внятно вопрос сформулировал. Уточняю: появился на vpn сервере(роутер с внутренним адресом 192.168.3.1) клиент и получил адрес 192.168.3.20, надо ему дать доступ к сети 192.168.10.0/24 находящейся за rras сервером с натом. Я не знаю как сконфигурировать rras для такой задачи. Подскажите, ведь теоретически - всё элементарно, а на практике не работает. Я сделал уже все вариации на тему route add 192.168.10.0 mask 255.255.255.0 192.168.10.1 - бесполезно.

    18 декабря 2008 г. 17:22
  •  olhovik написано:
    Да, тут я не внятно вопрос сформулировал. Уточняю: появился на vpn сервере(роутер с внутренним адресом 192.168.3.1) клиент и получил адрес 192.168.3.20, надо ему дать доступ к сети 192.168.10.0/24 находящейся за rras сервером с натом. Я не знаю как сконфигурировать rras для такой задачи. Подскажите, ведь теоретически - всё элементарно, а на практике не работает. Я сделал уже все вариации на тему route add 192.168.10.0 mask 255.255.255.0 192.168.10.1 - бесполезно.

    В таком случае, будет правильнее настроить RRAS не только как роутер/NAT, но еще и как сервер VPN (в мастере настроек пункт Virtual Private Network (VPN) access and NAT). Тогда он сможет принимать внешние запросы на соединение по, к примеру, PPTP. В таком случае клиент с адреса 192.168.3.20 настраивает себе VPN-соединение к серверу win2k3 (на внешний адрес) и соединяется. Если при этом за сервером всего 1 сеть (192.168.10.0/24), то ему еще будет полезно в свойствах соединения снять галку с "использовать удаленный шлюз по умолчанию". Все...

    19 декабря 2008 г. 6:30
  •  Zuzuka написано:
     olhovik написано:
    Да, тут я не внятно вопрос сформулировал. Уточняю: появился на vpn сервере(роутер с внутренним адресом 192.168.3.1) клиент и получил адрес 192.168.3.20, надо ему дать доступ к сети 192.168.10.0/24 находящейся за rras сервером с натом. Я не знаю как сконфигурировать rras для такой задачи. Подскажите, ведь теоретически - всё элементарно, а на практике не работает. Я сделал уже все вариации на тему route add 192.168.10.0 mask 255.255.255.0 192.168.10.1 - бесполезно.

    В таком случае, будет правильнее настроить RRAS не только как роутер/NAT, но еще и как сервер VPN (в мастере настроек пункт Virtual Private Network (VPN) access and NAT). Тогда он сможет принимать внешние запросы на соединение по, к примеру, PPTP. В таком случае клиент с адреса 192.168.3.20 настраивает себе VPN-соединение к серверу win2k3 (на внешний адрес) и соединяется. Если при этом за сервером всего 1 сеть (192.168.10.0/24), то ему еще будет полезно в свойствах соединения снять галку с "использовать удаленный шлюз по умолчанию". Все...

     

    Неее, мне надо решить поставленную задачку. Путей для её обхода я знаю несколько, в т.ч. и виндовый vpn, но надо настроить маршрутизацию из dmz внутрь через rras согласно схемке. Буду премного благодарен за РАБОЧИЙ пример конфигурации. Я либо роутинг не так пишу, либо в rras где то галку какую то не поставил. Ну негде там ошибиться, однако же Sad

    19 декабря 2008 г. 7:39
  •  olhovik написано:
     Zuzuka написано:
     olhovik написано:
    Да, тут я не внятно вопрос сформулировал. Уточняю: появился на vpn сервере(роутер с внутренним адресом 192.168.3.1) клиент и получил адрес 192.168.3.20, надо ему дать доступ к сети 192.168.10.0/24 находящейся за rras сервером с натом. Я не знаю как сконфигурировать rras для такой задачи. Подскажите, ведь теоретически - всё элементарно, а на практике не работает. Я сделал уже все вариации на тему route add 192.168.10.0 mask 255.255.255.0 192.168.10.1 - бесполезно.

    В таком случае, будет правильнее настроить RRAS не только как роутер/NAT, но еще и как сервер VPN (в мастере настроек пункт Virtual Private Network (VPN) access and NAT). Тогда он сможет принимать внешние запросы на соединение по, к примеру, PPTP. В таком случае клиент с адреса 192.168.3.20 настраивает себе VPN-соединение к серверу win2k3 (на внешний адрес) и соединяется. Если при этом за сервером всего 1 сеть (192.168.10.0/24), то ему еще будет полезно в свойствах соединения снять галку с "использовать удаленный шлюз по умолчанию". Все...

     

    Неее, мне надо решить поставленную задачку. Путей для её обхода я знаю несколько, в т.ч. и виндовый vpn, но надо настроить маршрутизацию из dmz внутрь через rras согласно схемке. Буду премного благодарен за РАБОЧИЙ пример конфигурации. Я либо роутинг не так пишу, либо в rras где то галку какую то не поставил. Ну негде там ошибиться, однако же

    Гм. Про DMZ до этого речь не шла... Сомневаюсь что будет работать, но теория такая:

    1. На клиенте маршрут - route add 192.168.10.0 mask 255.255.255.0 192.168.3.2

    А вот теперь веселое - NAT должен отбросить такой запрос. Допустим - разрешил... Тогда ответ от клиента с 10ой сети будет на сервере прикрываться внешним адресом сервера, из-за NAT`а опять же.

    Если бы вместо win2k3 стоял бы *nix, то было бы попроще:

    1. route add 192.168.10.0 255.255.255.0 192.168.3.2 - это на клиенте

    2. /sbin/iptables -A FORWARD -s 192.168.3.20 -j ACCEPT (фаервол на сервере - разрешение на пропуск трафика)

    3. /sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24      -d 192.168.3.20    -j ACCEPT (фаервол на сервере, чтобы не натился ответ)

    Вот как сделать 2 и 3 пункт стандартными средствами win2k3 - я не знаю.
    19 декабря 2008 г. 8:12
  • Это если все-таки нужна маршрутизация клиент-сеть через сервер.

    Если же DMZ, да еще и в коротком смысле - например доступ от сети/клиента к сервису (веб-интерфейс какой-то машины внутри) - то это делается через фаервол win2k3 просто, в разделе фаервол RRAS

    19 декабря 2008 г. 8:16
  •  Zuzuka написано:

    Это если все-таки нужна маршрутизация клиент-сеть через сервер.

    Если же DMZ, да еще и в коротком смысле - например доступ от сети/клиента к сервису (веб-интерфейс какой-то машины внутри) - то это делается через фаервол win2k3 просто, в разделе фаервол RRAS

     

    Под DMZ я имел в виду сеть 192.168.3.0/24 - сеть между роутером и сервером.

    19 декабря 2008 г. 13:17
  •  olhovik написано:
    Под DMZ я имел в виду сеть 192.168.3.0/24 - сеть между роутером и сервером.

    Гм...

    Давайте так:

    1. Функционал VPN-сервера ...3.1

    2. Функционал сети ...3.0/24

    3. Функционал сервера win2k3

    4. Функционал сети ...10.0/24

    Под функционал я подразумеваю что Вы хотите получить, грубо говоря нужен ТЗ Smile

    А то не совсем понятно, если с сети 3.0/24 нужен доступ к сети 10.0/24 - то на кой черт там NAT на сервере? Тогда уж просто маршрутизатор...

    А выход за ...3.1 будет рулить (и натить) уже сам ...3.1

    19 декабря 2008 г. 14:38
  •  Zuzuka написано:
     olhovik написано:
    Под DMZ я имел в виду сеть 192.168.3.0/24 - сеть между роутером и сервером.

    Гм...

    Давайте так:

    1. Функционал VPN-сервера ...3.1

    2. Функционал сети ...3.0/24

    3. Функционал сервера win2k3

    4. Функционал сети ...10.0/24

    Под функционал я подразумеваю что Вы хотите получить, грубо говоря нужен ТЗ

    А то не совсем понятно, если с сети 3.0/24 нужен доступ к сети 10.0/24 - то на кой черт там NAT на сервере? Тогда уж просто маршрутизатор...

    А выход за ...3.1 будет рулить (и натить) уже сам ...3.1

     

    Не, так не пойдёть, не функцианал, не он же без функц. Пакеты из 192.168.3.0/24 надо пробросить в 192.168.10.0/24 через win2003r2 на котором поднят NAT. Это возможно? Если до то как? Ценю Вашу попытку поддержать беседу, но по существу есть что нибудь? И на кой чёрт там что то есть - это к теме отношение не имеет. ТЗ сформулировано хоть и коряво, но далее уточнено насколько это возможно, если уважаемый Zuzuka хочет обсудить что то другое - надо открыть другую тему, imho. Флудить в этой не имеет смысла.

    19 декабря 2008 г. 17:33
  • Да легко. Мое дело мелкое - просто пару лет строил man-сети, потом забросил. А тут есть интерс, такой изврат не делал, просто незнакомо решать реальные ДМЗ на виндовых машинах. Я чего, сказали в сад - пойду в сад Smile

    Это был оффтоп Smile

    Но без тех волпросов что я задал - я не понимаю как помочь. Просто тупо из-за того что есть 3 решения и два тупика (это присказка, но на реальность похожа).

    19 декабря 2008 г. 20:09
  • Поправьте меня, если я правильно понимаю вопрос, необходимо предоставить ресурсы сети 192.168.10.0/24, после установления VPN соединения c роутером и получения IP-адреса в сети 192.168.3.0/24?

    19 декабря 2008 г. 22:26
  •  Solenoid написано:

    Поправьте меня, если я правильно понимаю вопрос, необходимо предоставить ресурсы сети 192.168.10.0/24, после установления VPN соединения c роутером и получения IP-адреса в сети 192.168.3.0/24?

    Не, почему-то впн-соединение считается обходом задачи Smile

    19 декабря 2008 г. 22:32
  • Коллега, инициатору обсуждения не нужен второй VPN сервер на 2003-ем, надо однажды установить VPN соединение с роутером, после чего получить доступ к сети 192.168.10.0/24.

    Вверху написано, правда мелко   , Сам только заметил. Остается вопрос, что надо получить от сети 192.168.10.0/24 ?

    19 декабря 2008 г. 23:24
  •  Zuzuka написано:
     olhovik написано:
    Да, тут я не внятно вопрос сформулировал. Уточняю: появился на vpn сервере(роутер с внутренним адресом 192.168.3.1) клиент и получил адрес 192.168.3.20, надо ему дать доступ к сети 192.168.10.0/24 находящейся за rras сервером с натом. Я не знаю как сконфигурировать rras для такой задачи. Подскажите, ведь теоретически - всё элементарно, а на практике не работает. Я сделал уже все вариации на тему route add 192.168.10.0 mask 255.255.255.0 192.168.10.1 - бесполезно.

    В таком случае, будет правильнее настроить RRAS не только как роутер/NAT, но еще и как сервер VPN (в мастере настроек пункт Virtual Private Network (VPN) access and NAT). Тогда он сможет принимать внешние запросы на соединение по, к примеру, PPTP. В таком случае клиент с адреса 192.168.3.20 настраивает себе VPN-соединение к серверу win2k3 (на внешний адрес) и соединяется. Если при этом за сервером всего 1 сеть (192.168.10.0/24), то ему еще будет полезно в свойствах соединения снять галку с "использовать удаленный шлюз по умолчанию". Все...

     

    Разве это не ответ именно на ВПН? Smile

    19 декабря 2008 г. 23:28
  •  Solenoid написано:

    Коллега, инициатору обсуждения не нужен второй VPN сервер на 2003-ем, надо однажды установить VPN соединение с роутером, после чего получить доступ к сети 192.168.10.0/24.

    Вверху написано, правда мелко   , Сам только заметил. Остается вопрос, что надо получить от сети 192.168.10.0/24 ?

     

    Уточняю:

    1. Файлопомойка

    2. Доступ к плоттерам по lpr

    3. Задачи могут меняться, иногда rdp до некоторых рабочих станций.

     

    Но я эти задачи решу, мне надо понять почему не работает простая схема. Может 2003 одновременно с натом маршрутизировать?

    20 декабря 2008 г. 5:06
  • Роутер(NAT+VPN) и 2003(NAT) работать будут, но прямой доступ к 192.168.10.0/24 организовать не получиться.

    20 декабря 2008 г. 14:18
  •  Solenoid написано:

    Роутер(NAT+VPN) и 2003(NAT) работать будут, но прямой доступ к 192.168.10.0/24 организовать не получиться.

    Это жаль Sad

    21 декабря 2008 г. 9:10