none
Настройка VPN между двумя офисами RRS feed

  • Вопрос

  • Здравствуйте.

    От руководства поступила задача организовать VPN между нашим сервером (который является интернет-шлюзом) на Windows 2008R2 и удаленным офисом (чтобы с обычной машины c Win7, на которой есть доступ в интернет, напрямую выгружать базы с нашего сервера на их рабочую машину).

    Каким образом это лучше сделать, какие настройки использовать? Предварительный ключ, или другой метод аутентификации?

    И еще один важный вопрос. Не могу открыть порты 1701, 500 и 4500, проверяю их из интернета - закрыты. При этом в фаерволле (Trffic Inspector) правила созданы, порты 443 (для RDP) и 1723 открылись. Такое чувство, что эти три порта закрыты чем-то еще, т.к. при отключении TI картина та же. Но чем, непонятно (брэндмауэр Windows отключен).

    Просьба подсказать начинающему, в чем затык))


    • Изменено Revan83 22 июля 2013 г. 4:06
    22 июля 2013 г. 3:53

Ответы

  • Открытость портов проверяю с помощью ресурса http://speed-tester.info/check_port.php, где говорится, что он проверяет как TCP, так и UDP порты.

    Организация бюджетная, поэтому что есть, тем приходится довольствоваться, покупать еще железок никто не станет, к сожалению.

    То что там написано, что он проверяет UDP порты, совершенно ни о чем не говорит. UDP протокол не сообщает напрямую об открытии порта, т.к. не посылает подтверждений.

    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

    • Помечено в качестве ответа Revan83 26 июля 2013 г. 1:34
    23 июля 2013 г. 5:56
  • Всем спасибо за ответы.

    Единственное, что смущает - на клиенте при подключении VPN пропадает свой интернет. Адреса сервер выдает в другой подсети, видимо, надо было еще снять галочку «Использовать основной шлюз в удаленной сети», и интернет бы не прерывался, если я правильно понял? 

    Да. Этой настройкой Вы определяете- использовать или нет как шлюз ваше подключение. Если да, то трафиик будет контролироваться (в общем смысле просто проходить) через шлюз. Если нет, то будете использовать свой, родной, домашний шлюз.

    Как-то так.

    • Помечено в качестве ответа Revan83 26 июля 2013 г. 1:34
    23 июля 2013 г. 8:45
    Отвечающий

Все ответы

  • Добрый день!

    Обратитесь в поддержку Traffic inspector для решения этих вопросов.

    22 июля 2013 г. 4:55
    Отвечающий
  • Специалисты службы поддержки пришли к заключению, что проблема не в Traffic Inspector.

    В чем еще может быть косяк? Совсем потерялся в догадках...

    22 июля 2013 г. 10:38
  • Я бы решил вопрос в лоб,RRAS на сервере... и все.
    22 июля 2013 г. 12:46
  • Здравствуйте.

    От руководства поступила задача организовать VPN между нашим сервером (который является интернет-шлюзом) на Windows 2008R2 и удаленным офисом (чтобы с обычной машины c Win7, на которой есть доступ в интернет, напрямую выгружать базы с нашего сервера на их рабочую машину).

    Каким образом это лучше сделать, какие настройки использовать? Предварительный ключ, или другой метод аутентификации?

    И еще один важный вопрос. Не могу открыть порты 1701, 500 и 4500, проверяю их из интернета - закрыты. При этом в фаерволле (Trffic Inspector) правила созданы, порты 443 (для RDP) и 1723 открылись. Такое чувство, что эти три порта закрыты чем-то еще, т.к. при отключении TI картина та же. Но чем, непонятно (брэндмауэр Windows отключен).

    Просьба подсказать начинающему, в чем затык))


    Если проблема в портах, то 1701, 500 и 4500 не должны открываться телнетом. Это UDP порты.

    По вопросу, шифрованный канал лучше всего делать на железках. Софтварные решения только с виду кажутся простыми, на деле это ворох граблей по-моему.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

    22 июля 2013 г. 21:12
  • Открытость портов проверяю с помощью ресурса http://speed-tester.info/check_port.php, где говорится, что он проверяет как TCP, так и UDP порты.

    Организация бюджетная, поэтому что есть, тем приходится довольствоваться, покупать еще железок никто не станет, к сожалению.

    23 июля 2013 г. 1:28
  • Я бы решил вопрос в лоб,RRAS на сервере... и все.
    А можно подробнее? Служба маршрутизации и удаленного доступа на сервере имеется.
    23 июля 2013 г. 1:29
  • Апдейт: Поблема изменилась.

    Теперь при подключении очень долго проходит проверка логина и пароля, затем выскакивает ошибка 800: соединение не удалось подключить из-за сбоя VPN-туннеля. Однако, если в настройках Маршрутизации и удаленного доступа на вкладке Безопасность выбрать соответствующий сертификат (кстати, это не всегда удается сделать, иногда система пишет, что сертификат, используемый SSTP, отличается от сертификата, привязанного к SSL, но иногда он всё же выбирается), подключение по VPN устанавливается. Но после этого рабтотает только оно, NAT перестает транслировать адреса и во всей организации пропадает интернет.

    Как настроить всё это так, чтобы работало одновременно?.. Денег на другое железо нет, задача стоит именно настроить и интернет-шлюз, и VPN на одном хосте...

    23 июля 2013 г. 3:40
  • >Апдейт: Поблема изменилась.

    Мне кажется, еще немного, и вы победите проблему. Почитайте события, поймете, на чьей стороне затык.

    23 июля 2013 г. 4:54
    Отвечающий
  • >Апдейт: Поблема изменилась.

    Мне кажется, еще немного, и вы победите проблему. Почитайте события, поймете, на чьей стороне затык.

    В логах ошибка 20255: CoID={9C556DD6-E6AF-0A0E-20F9-9644C1BD4957}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-126, пользователь: <Непроверенный пользователь>. Таймаут согласования.

    Видимо, необходимо провести еще какие-то действия для настройки аутентификации, возможно,  создать другие сертификаты или что-то подобное... хотелось бы узнать, что именно и как))

    23 июля 2013 г. 4:58
  • Зависит от того ,что и как Вы собираетесь настроить. Пока я не видел ни примерной схемы, ни описания выбранного метода туннеля- (L2TP? IPSec? обычный PPTP?)- ни настроек с той или другой стороны, ни описания используемых сертификатов. Вы держите эти настройки в голове, а телепаты в отпуске.

    Началось с того, что Вы спросили ,как лучше настроить, не описав подробно среду- заканчивается тем, что "сейчас уже ничего не работает, иногда поджигается на чуть-чуть". Это печально.

    23 июля 2013 г. 5:13
    Отвечающий
  • Открытость портов проверяю с помощью ресурса http://speed-tester.info/check_port.php, где говорится, что он проверяет как TCP, так и UDP порты.

    Организация бюджетная, поэтому что есть, тем приходится довольствоваться, покупать еще железок никто не станет, к сожалению.

    То что там написано, что он проверяет UDP порты, совершенно ни о чем не говорит. UDP протокол не сообщает напрямую об открытии порта, т.к. не посылает подтверждений.

    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

    • Помечено в качестве ответа Revan83 26 июля 2013 г. 1:34
    23 июля 2013 г. 5:56
  • Всем спасибо за ответы.

    На обеде попробовал подключиться из дома, а потом еще - из того самого удаленного офиса, и оказалось, что всё работает отлично, подключение устанавливается и доступ куда надо есть. Подключение со стороны клиента создавал с настройками по умолчанию, установил лишь тот же самый сертификат, что создавал для RDP.

    А описанные мной проблемы наблюдаются при попытках подключиться с компьютера, находящегося в той же физической сети, что и vpn-сервер (он же интернет-шлюз). Наверное, так оно и не может работать))

    Единственное, что смущает - на клиенте при подключении VPN пропадает свой интернет. Адреса сервер выдает в другой подсети, видимо, надо было еще снять галочку «Использовать основной шлюз в удаленной сети», и интернет бы не прерывался, если я правильно понял? 

    23 июля 2013 г. 8:10
  • Всем спасибо за ответы.

    Единственное, что смущает - на клиенте при подключении VPN пропадает свой интернет. Адреса сервер выдает в другой подсети, видимо, надо было еще снять галочку «Использовать основной шлюз в удаленной сети», и интернет бы не прерывался, если я правильно понял? 

    Да. Этой настройкой Вы определяете- использовать или нет как шлюз ваше подключение. Если да, то трафиик будет контролироваться (в общем смысле просто проходить) через шлюз. Если нет, то будете использовать свой, родной, домашний шлюз.

    Как-то так.

    • Помечено в качестве ответа Revan83 26 июля 2013 г. 1:34
    23 июля 2013 г. 8:45
    Отвечающий