none
Direct Access Связать два сайта в двух офисах в единый домен RRS feed

  • Вопрос

  • Так как основной текст не может содержать ссылок и картинок, то переношу все в первый коммент.
    • Перемещено Alexander RusinovModerator 29 марта 2018 г. 9:06 Более подходящий раздел форума, от Ошибки в работе форума и предложения по улучшению
    29 марта 2018 г. 8:01

Ответы

  • При этом не хочется применять что-то кроме продуктов Windows. Например, хочется обойтись без Open VPN.
    В чём проблема? настройте L2TP site-to-site VPN между офисами с одним интерфейсом. Проброс портов делаете на своём роутере\шлюзе.
    Везде много гайдов, как устроить связь Client-to-Site, но нигде – как связать два офиса, два site одного домена.
    Делаете site-to-site VPN, а затем устанавливаете второй контроллер домена во втором офисе.
    29 марта 2018 г. 8:20
    Модератор
  • Добрый день, Александр.
    - если нет Интернета, то и нет VPN
    - PPTP, L2TP и IKEv2 можно блокировать
    - SSTP и Direct Access нельзя заблокировать (они используют 443 порт, если его заблокировать то "ляжет" громадное количество интернет ресурсов)
    • Помечено в качестве ответа Alexander Smolko 6 декабря 2019 г. 10:21
    6 декабря 2019 г. 10:07
    Модератор

Все ответы

  • Компания расширяется. Появился второй географически удаленный офис. Первый офис живет в домене. Второй - пока нет. Поставлена задача не только позволить части работников работать как в первом, так и втором офисе, но и еще и резервировать первый офис на тот случай, если он физически потеряет работоспособность (например, пожар). Компания имеет безостановочное производство – радио. Полный переход во второй офис (в случае выхода из строя первого) может не быть мгновенным, а дается один два дня на его доведение до необходимого уровня. При этом сам продукт производства резервируется еще в нескольких местах и даже без полного участия работников, радио будет «петь» какое-то время, сутки – двое, в нормальном режиме. Изучив статью о проектировании AD для филиала, https://www.osp.ru/winitpro/2004/04/176906/ пришел к выводу о необходимости развернуть во втором офисе второй сайт уже имеющегося домена и поднять в нем отдельный контроллер домена и глобальный каталог. И тут вопросов у меня (кажется) нет. Надо лишь связать сети этих офисов и настроить маршрутизацию и ДНСы, чтобы все друга по именам видели и все было хорошо. При этом не хочется применять что-то кроме продуктов Windows. Например, хочется обойтись без Open VPN. Первый офис уже активно использует инфраструктуру Удаленных рабочих столов (VDI), через которую публикует в Интернете Windows приложения, которыми сотрудники пользуются и в первом офисе, и дома и во втором офисе. И вот я смотрю на Remote Access и его Single tenant mode, что служит, судя по описанию https://docs.microsoft.com/en-us/windows-server/remote/remote-access/ras-gateway/ras-gateway как раз для связи двух офисов и никак не могу понять, как же его правильно развернуть это в моих условиях. Вся среда – Windows Server 2012R2. Изучив примеры разворачивания сервиса VPN на базе серверов Windows 2012 R2 (например, тут https://blog.it-kb.ru/2015/01/21/windows-server-2012-r2-remote-access-configure-l2tp-ipsec-vpn-server-in-nlb-cluster-with-two-factor-authentication-based-on-user-domain-account-and-computer-certificate-with-nps-radius-authorization/ и, попроще, тут http://winitpro.ru/index.php/2014/06/17/razvorachivaem-directaccess-na-baze-windows-server-2012-r2/) вижу, что везде требуется, чтобы сервер с ролью имел два сетевых интерфейса, один из которых смотрел бы «наружу». А у меня они все за шлюзом уже. Я думал сам VPN должен создавать некоторый виртуальный интерфейс на базе уже существующего и надо будет лишь прокинуть к этому серверу определенные порты (1723, 443, например). И, кстати, с этим тоже проблема, так как порт 443 уже форвардится на web-сервер для VDI. Там я знаю, как его изменить, если что, а как изменить порт для SSL на сервере с ролью Remote Access, пока нигде так и не нашел. Везде много гайдов, как устроить связь Client-to-Site, но нигде – как связать два офиса, два site одного домена. Подскажите, пожалуйста, кто что может. Куда смотреть-то. Какую-то одну главную деталь, видимо, я никак не могу уловить.

    Схема комплекса здесь: http://music.garagefm.ru/player1/Net2.png



    29 марта 2018 г. 8:04
  • При этом не хочется применять что-то кроме продуктов Windows. Например, хочется обойтись без Open VPN.
    В чём проблема? настройте L2TP site-to-site VPN между офисами с одним интерфейсом. Проброс портов делаете на своём роутере\шлюзе.
    Везде много гайдов, как устроить связь Client-to-Site, но нигде – как связать два офиса, два site одного домена.
    Делаете site-to-site VPN, а затем устанавливаете второй контроллер домена во втором офисе.
    29 марта 2018 г. 8:20
    Модератор
  • Дорогой, многоуважаемый Anahaym, это ровно то, что мне и нужно! Превеликое спасибо!
    29 марта 2018 г. 11:42
  • Alexander Smolko если возникнут вопросы по настройке - обращайтесь.
    29 марта 2018 г. 11:58
    Модератор
  • Здравствуйте, Anahaym. Вопросы действительно возникли. Я не могу в приведенной вами инструкции понять, откуда вызваны окна WAN Propirties в первых двух рисунках. Второе, о файрволе на каких машинах там речь, о тех, на которых развернута роль RRAS? Третье, как рядовые члены сети будут обращаться к рядовым же членам других участков сети, как произойдет маршрутизация-то, что для них будет GWем.
    9 апреля 2018 г. 6:23
  • Здравствуйте, Anahaym. Вопросы действительно возникли. Я не могу в приведенной вами инструкции понять, откуда вызваны окна WAN Propirties в первых двух рисунках. Второе, о файрволе на каких машинах там речь, о тех, на которых развернута роль RRAS? Третье, как рядовые члены сети будут обращаться к рядовым же членам других участков сети, как произойдет маршрутизация-то, что для них будет GWем.

    Здравствуйте, Александр.

    WAN Properties нужно настраивать только в том случае, если у Вас маршрутизатором, который подключается к интернет провайдеру, является Windows Server. На данной картинке описывается проброс портов. Если у Вас используется "железный" маршрутизатор, то порты надо настраивать на нём.
    Вот например, проброс портов для маршрутизатора Cisco ISR 886V:

    ip nat inside source static udp 10.254.1.8 1701 interface Dialer0 1701
    ip nat inside source static udp 10.254.1.8 4500 interface Dialer0 4500
    ip nat inside source static udp 10.254.1.8 500 interface Dialer0 500

    Порты Firewall, как и реестр, настраиваются на VPN сервере. Иногда нужно настроить фаервол и на машрутизаторе, в случаях, когда проброса порта не хватает.

    Маршрутизацию нужно настраивать на кажом маршрутизаторе, подключённом к интернету. Т.е. указать на нём что удалённая сеть находится за IP адресом сервера VPN. Если у вас нет современных Linux машин (или они имеют статические адреса), то можно этот маршрут указать в DHCP сервер в опции 121 (этот вариант предпочтительнее).

    Спасибо за Ваши вопросы, я допишу пояснительные комментарии в статье.


    9 апреля 2018 г. 6:56
    Модератор
  • Здравствуйте, Anahaym. Очень долго не писал здесь, простите. Что пока получилось сделать, порты проброшены и два виртуальных сервера СВЯЗАЛИСЬ между собой по VPN в точности, как и было описано в инструкции. Т.е. соединение между офисами з а р а б о т а л о. Очень приятно и спасибо. Тем не менее не могу победить теперь другого зверя – маршрутизацию. Т.е. два сервера друг друга видят и пингуют, а все другие машины в сети – нет.

    Напомню схему комплекса: http://music.garagefm.ru/player1/Net3.png

    Не могу понять, где же именно настраивать маршруты. Я попробовал настраивать их на DHCP сервере в опции 121, но это не помогло. Может быть я это не так делаю (DHCP перегружал)? Я указал как маршрутизатор, сетевой интерфейс, через который происходит VPN соединение 192.168.0.22. Видимо это неправильно? http://music.garagefm.ru/player1/DHCP.png

    Приведу здесь данные по серверам и таблицам маршрутов, может так получится понять, что мне делать:

    Основной офис.

    SRV-VPN1

    Microsoft Windows [Version 6.3.9600]

    (c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

     

    C:\Users\Администратор.RADIOVERA>ipconfig /all

     Настройка протокола IP для Windows

        Имя компьютера  . . . . . . . . . : srv-vpn1

       Основной DNS-суффикс  . . . . . . : radiovera.local

       Тип узла. . . . . . . . . . . . . : Гибридный

       IP-маршрутизация включена . . . . : Да

       WINS-прокси включен . . . . . . . : Нет

       Порядок просмотра суффиксов DNS . : radiovera.local

     

    Адаптер PPP VPN2:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : VPN2

       Физический адрес. . . . . . . . . :

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       IPv4-адрес. . . . . . . . . . . . : 172.27.16.137(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.255

       Основной шлюз. . . . . . . . . :

       DNS-серверы. . . . . . . . . . . : 172.27.16.1

       NetBios через TCP/IP. . . . . . . . : Включен

     

    Адаптер PPP RAS (Dial In) Interface:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : RAS (Dial In) Interface

       Физический адрес. . . . . . . . . :

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       IPv6-адрес. . . . . . . . . . . . : ::507e:e312:1d12:cd21(Основной)

       Локальный IPv6-адрес канала . . . : fe80::507e:e312:1d12:cd21%23(Основной)

       Автонастройка IPv4-адреса . . . . : 169.254.0.23(Основной)

       Маска подсети . . . . . . . . . . : 255.255.0.0

       Основной шлюз. . . . . . . . . :

       IAID DHCPv6 . . . . . . . . . . . : 385881437

       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-22-49-A9-7B-00-15-5D-00-33-00

     

       DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1

                                           fec0:0:0:ffff::2%1

                                           fec0:0:0:ffff::3%1

       NetBios через TCP/IP. . . . . . . . : Включен

     

    Ethernet adapter Ethernet:

     

       DNS-суффикс подключения . . . . . : radiovera.local

       Описание. . . . . . . . . . . . . : Сетевой адаптер Hyper-V (Майкрософт)

       Физический адрес. . . . . . . . . : 00-15-5D-00-33-00

       DHCP включен. . . . . . . . . . . : Да

       Автонастройка включена. . . . . . : Да

       IPv4-адрес. . . . . . . . . . . . : 192.168.0.22(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Аренда получена. . . . . . . . . . : 11 апреля 2018 г. 10:36:42

       Срок аренды истекает. . . . . . . . . . : 8 мая 2018 г. 2:36:41

       Основной шлюз. . . . . . . . . : 192.168.0.1

       DHCP-сервер. . . . . . . . . . . : 192.168.0.10

       DNS-серверы. . . . . . . . . . . : 192.168.0.10

                                           192.168.0.11

                                           192.168.0.5

       NetBios через TCP/IP. . . . . . . . : Включен

     

    Туннельный адаптер isatap.radiovera.local:

     

       Состояние среды. . . . . . . . : Среда передачи недоступна.

       DNS-суффикс подключения . . . . . : radiovera.local

       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP

       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

     

    Туннельный адаптер isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}:

     

       Состояние среды. . . . . . . . : Среда передачи недоступна.

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2

       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

     

    Туннельный адаптер isatap.{A0A71AD9-62A0-465C-BE96-A304D6234E41}:

     

       Состояние среды. . . . . . . . : Среда передачи недоступна.

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3

       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

     

    C:\Users\radio-admin>route PRINT

    ===========================================================================

    Список интерфейсов

     13...a0 48 1c b8 6c bd ......HP Ethernet 1Gb 2-port 332i Adapter #2

     12...a0 48 1c b8 6c bc ......HP Ethernet 1Gb 2-port 332i Adapter

      1...........................Software Loopback Interface 1

     14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP

     15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2

    ===========================================================================

     

    IPv4 таблица маршрута

    ===========================================================================

    Активные маршруты:

    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

              0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.10    266

            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306

            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306

      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306

          192.168.0.0    255.255.255.0         On-link      192.168.0.10    266

         192.168.0.10  255.255.255.255         On-link      192.168.0.10    266

        192.168.0.255  255.255.255.255         On-link      192.168.0.10    266

            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306

            224.0.0.0        240.0.0.0         On-link      192.168.0.10    266

      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306

      255.255.255.255  255.255.255.255         On-link      192.168.0.10    266

    ===========================================================================

    Постоянные маршруты:

      Сетевой адрес            Маска    Адрес шлюза      Метрика

              0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию

    ===========================================================================

     

    SRV-DC1 (DHCP)

     

    C:\Users\radio-admin>ipconfig /all

     

    Настройка протокола IP для Windows

     

       Имя компьютера  . . . . . . . . . : SRV-DC1

       Основной DNS-суффикс  . . . . . . : radiovera.local

       Тип узла. . . . . . . . . . . . . : Гибридный

       IP-маршрутизация включена . . . . : Нет

       WINS-прокси включен . . . . . . . : Нет

       Порядок просмотра суффиксов DNS . : radiovera.local

     

    Ethernet adapter Internet:

     

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : HP Ethernet 1Gb 2-port 332i Adapter #2

       Физический адрес. . . . . . . . . : A0-48-1C-B8-6C-BD

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

       IPv4-адрес. . . . . . . . . . . . : 192.168.0.10(Основной)

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз. . . . . . . . . : 192.168.0.1

       DNS-серверы. . . . . . . . . . . : 127.0.0.1

                                           192.168.0.11

                                           192.168.0.5

       NetBios через TCP/IP. . . . . . . . : Включен

     

    Ethernet adapter Axia:

     

       Состояние среды. . . . . . . . : Среда передачи недоступна.

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : HP Ethernet 1Gb 2-port 332i Adapter

       Физический адрес. . . . . . . . . : A0-48-1C-B8-6C-BC

       DHCP включен. . . . . . . . . . . : Да

       Автонастройка включена. . . . . . : Да

     

    Туннельный адаптер isatap.{C0FE6714-FE1B-4549-BDDE-DD53C438F99B}:

     

       Состояние среды. . . . . . . . : Среда передачи недоступна.

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP

       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

     

    Туннельный адаптер isatap.{0F43C2D6-4730-494F-A980-0E15927FD5A3}:

     

       Состояние среды. . . . . . . . : Среда передачи недоступна.

       DNS-суффикс подключения . . . . . :

       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2

       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

       DHCP включен. . . . . . . . . . . : Нет

       Автонастройка включена. . . . . . : Да

     

    C:\Users\radio-admin>route PRINT

    ===========================================================================

    Список интерфейсов

     13...a0 48 1c b8 6c bd ......HP Ethernet 1Gb 2-port 332i Adapter #2

     12...a0 48 1c b8 6c bc ......HP Ethernet 1Gb 2-port 332i Adapter

      1...........................Software Loopback Interface 1

     14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP

     15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2

    ===========================================================================

     

    IPv4 таблица маршрута

    ===========================================================================

    Активные маршруты:

    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

              0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.10    266

            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306

            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306

      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306

          192.168.0.0    255.255.255.0         On-link      192.168.0.10    266

         192.168.0.10  255.255.255.255         On-link      192.168.0.10    266

        192.168.0.255  255.255.255.255         On-link      192.168.0.10    266

            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306

            224.0.0.0        240.0.0.0         On-link      192.168.0.10    266

      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306

      255.255.255.255  255.255.255.255         On-link      192.168.0.10    266

    ===========================================================================

    Постоянные маршруты:

      Сетевой адрес            Маска    Адрес шлюза      Метрика

              0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию

    ===========================================================================

     

    IPv6 таблица маршрута

    ===========================================================================

    Активные маршруты:

     Метрика   Сетевой адрес            Шлюз

      1    306 ::1/128                  On-link

      1    306 ff00::/8                 On-link

    ===========================================================================

    Постоянные маршруты:

      Отсутствует

     

    А вот данные со шлюза:

    login as: root

    root@192.168.0.1's password:

    Last login: Mon May  7 09:11:48 2018 from 192.168.0.10

    [root@radiovera ~]# route -n

    Kernel IP routing table

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

    10.8.10.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0

    10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun1

    212.5.177.96    0.0.0.0         255.255.255.224 U     0      0        0 eth0

    10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun1

    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth3

    10.8.10.0       10.8.10.2       255.255.255.0   UG    0      0        0 tun0

    0.0.0.0         212.5.177.97    0.0.0.0         UG    0      0        0 eth0

     

     [root@radiovera ~]# ifconfig -a

    eth0      Link encap:Ethernet  HWaddr 00:03:47:E2:4E:8B

              inet addr:***.***.***.***  Bcast:***.***.***.***  Mask:255.255.255.224

              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

              RX packets:191010915 errors:0 dropped:0 overruns:175 frame:175

              TX packets:1255909808 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:1000

              RX bytes:3704862593 (3.4 GiB)  TX bytes:148201052 (141.3 MiB)

     

    eth1      Link encap:Ethernet  HWaddr 00:02:B3:5C:15:85

              BROADCAST MULTICAST  MTU:1500  Metric:1

              RX packets:0 errors:0 dropped:0 overruns:0 frame:0

              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:1000

              RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

     

    eth2      Link encap:Ethernet  HWaddr 00:0E:0C:67:1A:60

              BROADCAST MULTICAST  MTU:1500  Metric:1

              RX packets:0 errors:0 dropped:0 overruns:0 frame:0

              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:1000

              RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

     

    eth3      Link encap:Ethernet  HWaddr 00:0E:0C:67:1A:61

              inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0

              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

              RX packets:1224459498 errors:0 dropped:1739 overruns:0 frame:0

              TX packets:4024647124 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:1000

              RX bytes:1872042320 (1.7 GiB)  TX bytes:992811119 (946.8 MiB)

     

    lo        Link encap:Local Loopback

              inet addr:127.0.0.1  Mask:255.0.0.0

              UP LOOPBACK RUNNING  MTU:65536  Metric:1

              RX packets:2536109 errors:0 dropped:0 overruns:0 frame:0

              TX packets:2536109 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:0

              RX bytes:317943050 (303.2 MiB)  TX bytes:317943050 (303.2 MiB)

     

    tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

              inet addr:10.8.10.1  P-t-P:10.8.10.2  Mask:255.255.255.255

              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

              RX packets:0 errors:0 dropped:0 overruns:0 frame:0

              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:100

              RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

     

    tun1      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

              inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255

              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

              RX packets:0 errors:0 dropped:0 overruns:0 frame:0

              TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:100

              RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

     

     

     [root@radiovera ~]# route -n

    Kernel IP routing table

    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

    10.8.10.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0

    10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun1

    212.5.177.96    0.0.0.0         255.255.255.224 U     0      0        0 eth0

    10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun1

    192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth3

    10.8.10.0       10.8.10.2       255.255.255.0   UG    0      0        0 tun0

    0.0.0.0         212.5.177.97    0.0.0.0         UG    0      0        0 eth0

     

    Здесь, кстати, непонятно, что это за маршруты такие, кроме третьего снизу. И что это за tun0, tun1.

    Так вот, вопрос, как же дальше быть. Может подскажите?

     

  • tracert с клиента до сервера в другой сети покажите.


    Модератор
  • Именно с клиента, не с машины, где ВПН?

    Ок, вот с контроллера домена в удаленном офисе (он еще без роли контроллера):

    C:\Users\Администратор>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : srv-dc4
       Основной DNS-суффикс  . . . . . . :
       Тип узла. . . . . . . . . . . . . : Гибридный
       IP-маршрутизация включена . . . . : Нет
       WINS-прокси включен . . . . . . . : Нет

    Ethernet adapter vEthernet (Intel(R) I210 Gigabit Network Connection - Virtual S
    witch):

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Ethernet для виртуальной сети Hyp
    er-V #2
       Физический адрес. . . . . . . . . : AC-1F-6B-21-17-5D
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       Локальный IPv6-адрес канала . . . : fe80::6501:47bb:37a7:4cfe%25(Основной)
       IPv4-адрес. . . . . . . . . . . . : 172.27.16.147(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 6 апреля 2018 г. 13:19:19
       Срок аренды истекает. . . . . . . . . . : 7 мая 2018 г. 17:49:48
       Основной шлюз. . . . . . . . . : 172.27.16.1
       DHCP-сервер. . . . . . . . . . . : 172.27.16.1
       IAID DHCPv6 . . . . . . . . . . . : 430710635
       DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-97-5E-C1-AC-1F-6B-21-17-5D

       DNS-серверы. . . . . . . . . . . : 172.27.16.1
       NetBios через TCP/IP. . . . . . . . : Включен

    Ethernet adapter Intel Ethernet i210 #1:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) I210 Gigabit Network Connection
    #2
       Физический адрес. . . . . . . . . : AC-1F-6B-21-17-5C
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да

    Туннельный адаптер isatap.{80B62A41-798E-4A59-9461-CB3F11C296AA}:

       Состояние среды. . . . . . . . : Среда передачи недоступна.
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
       Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да

    C:\Users\Администратор>route PRINT
    ===========================================================================
    Список интерфейсов
     25...ac 1f 6b 21 17 5d ......Адаптер Ethernet для виртуальной сети Hyper-V #2
     13...ac 1f 6b 21 17 5c ......Intel(R) I210 Gigabit Network Connection #2
      1...........................Software Loopback Interface 1
     15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
    ===========================================================================

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0      172.27.16.1    172.27.16.147      5
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          172.27.16.0    255.255.255.0         On-link     172.27.16.147    261
        172.27.16.147  255.255.255.255         On-link     172.27.16.147    261
        172.27.16.255  255.255.255.255         On-link     172.27.16.147    261
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link     172.27.16.147    261
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link     172.27.16.147    261
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

    IPv6 таблица маршрута
    ===========================================================================
    Активные маршруты:
     Метрика   Сетевой адрес            Шлюз
      1    306 ::1/128                  On-link
     25    261 fe80::/64                On-link
     25    261 fe80::6501:47bb:37a7:4cfe/128
                                        On-link
      1    306 ff00::/8                 On-link
     25    261 ff00::/8                 On-link
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

    C:\Users\Администратор>

  • Именно с клиента, не с машины, где ВПН?

    именно с клиента. проблема же там.

    мне нужен tracert, наример с srv-dc4:

    tracert srv-dc1
    Модератор
  • Так разве разименуется srv-dc1? Сделал по имени и по айпи
    с srv-dc4

    C:\Users\Администратор>tracert srv-dc1
    Не удается разрешить системное имя узла srv-dc1.

    C:\Users\Администратор>tracert 192.168.0.10

    Трассировка маршрута к 192.168.0.10 с максимальным числом прыжков 30

      1    <1 мс    <1 мс    <1 мс  172.27.16.1
      2     *        *        *     Превышен интервал ожидания для запроса.
      3     *        *        *     Превышен интервал ожидания для запроса.
      4     *        *        *     Превышен интервал ожидания для запроса.
      5     *     ^C

    И наоборот, с srv-dc1:

    C:\Users\radio-admin>tracert srv-dc4
    Не удается разрешить системное имя узла srv-dc4.

    C:\Users\radio-admin>tracert 172.27.16.147

    Трассировка маршрута к 172.27.16.147 с максимальным числом прыжков 30

      1    <1 мс    <1 мс    <1 мс  192.168.0.1
      2    17 ms    17 ms    19 ms  195.90.163.97
      3  195.90.163.97  сообщает: Заданный узел недоступен.

    Трассировка завершена.

    C:\Users\radio-admin>


    Упирается в шлюзы.
  • Упирается в шлюзы.

    А на них то маршруты прописаны? Например, сеть 192.168.0.0 /24 за адресом SRV-VPN2. и сеть 172.27.16.0/24 за адресом SRV-VPN1.
    • Помечено в качестве ответа Alexander Smolko 7 мая 2018 г. 15:44
    • Снята пометка об ответе Alexander Smolko 7 мая 2018 г. 15:44
    Модератор
  • Так я не прописывал, так как вы писали: "Если у вас нет современных Linux машин (или они имеют статические адреса), то можно этот маршрут указать в DHCP сервер в опции 121 (этот вариант предпочтительнее)." Хотел так.
    Но если это не работает, то, видимо, надо на маршрутизаторах?
    И там и там - линукс, не подскажете, как будет выглядеть команда, какой синтаксис?

  • то можно этот маршрут указать в DHCP сервер в опции 121 (этот вариант предпочтительнее)." Хотел так.
    Но если это не работает, то, видимо, надо на маршрутизаторах?
    И там и там - линукс, не подскажете, как будет выглядеть команда, какой синтаксис?

    когда прописали 121 опцию, клиент IP настройки обновлял? в таблицах маршрутизации нет записей об этих маршрутах.

    По-поводу маршрута в Linux, попробуйте это:

    route add -net удалённая.сеть gw адрес.vpn.сервера eno1

    Модератор
  • когда прописали 121 опцию, клиент IP настройки обновлял?

    (Стыдоба) Нет, не обновлял. Буду пробовать и сегодня уже не потревожу. Извините за туповатость.
  • Здравствуйте, Anahaym.

    Я вот что заметил, на обоих ВПН серверах при соединении интерфейсы получают верные айпи в удаленной сети, но неверную маску.
    Вот, например, на удаленном ВПН сервере:
    Адаптер PPP VPN1:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : VPN1
       Физический адрес. . . . . . . . . :
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.41(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз. . . . . . . . . :
       NetBios через TCP/IP. . . . . . . . : Включен

    И хотя статический маршрут в оснастке прописан с маской 255.255.255.0
    В таблице маршрутов на этом сервере мы видим:

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0      172.27.16.1    172.27.16.136      5
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306

          172.27.16.0    255.255.255.0         On-link     172.27.16.136    261

        172.27.16.125  255.255.255.255         On-link     172.27.16.125    306
        172.27.16.129  255.255.255.255         On-link      192.168.0.41     31
        172.27.16.136  255.255.255.255         On-link     172.27.16.136    261
        172.27.16.255  255.255.255.255         On-link     172.27.16.136    261
          192.168.0.0    255.255.255.0         On-link      192.168.0.41     40
         192.168.0.41  255.255.255.255         On-link      192.168.0.41    286
        192.168.0.255  255.255.255.255         On-link      192.168.0.41    286
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link     172.27.16.136    261
            224.0.0.0        240.0.0.0         On-link     172.27.16.125    306
            224.0.0.0        240.0.0.0         On-link      192.168.0.41    286
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link     172.27.16.136    261
      255.255.255.255  255.255.255.255         On-link     172.27.16.125    306
      255.255.255.255  255.255.255.255         On-link      192.168.0.41    286

    На втором ВПН сервере, такая же ситуация с масками. /32 вместо /24

  • Там не должно быть адресов из удаленной сети, там должна быть своя сеть. У меня вообще используется APIPA. Завтра только смогу показать.
    Модератор
  • Здравствуйте, Anahaym.

    Напоминаю вам о себе, на всякий случай.

    "Там не должно быть адресов из удаленной сети, там должна быть своя сеть. У меня вообще используется APIPA. Завтра только смогу показать."
  • сеть в офисе:

    PPP adapter DC:
    
       Connection-specific DNS Suffix  . :
       IPv4 Address. . . . . . . . . . . : 169.254.0.15
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :
    
    PPP adapter RAS (Dial In) Interface:
    
       Connection-specific DNS Suffix  . :
       IPv4 Address. . . . . . . . . . . : 169.254.0.10
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :

    Сеть в ЦОД:

    PPP adapter OFFICE:
    
       Connection-specific DNS Suffix  . :
       IPv4 Address. . . . . . . . . . . : 169.254.0.13
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :
    
    PPP adapter RAS (Dial In) Interface:
    
       Connection-specific DNS Suffix  . :
       IPv4 Address. . . . . . . . . . . : 169.254.0.10
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :

    Добавлены маршруты на VPN серверах:

    NТак как у нас политикой запрещено клиетам использовать S2S в ЦОД, то только на серверах были добавлены статические маршруты через VPN сервера.

    А так Вам нужно их добавить на маршрутизаторе (или опция 121 на DHCP)

    Таблица маршрутизации на одном из VPN серверов:

    IPv4 Route Table
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0       10.254.1.1       10.254.1.8    281
           10.254.1.0    255.255.255.0         On-link        10.254.1.8    281
           10.254.1.8  255.255.255.255         On-link        10.254.1.8    281
         10.254.1.255  255.255.255.255         On-link        10.254.1.8    281
           10.255.9.0    255.255.255.0         On-link      169.254.0.15    281
         10.255.9.255  255.255.255.255         On-link      169.254.0.15    281
          168.254.0.0    255.255.255.0         On-link      169.254.0.15    281
        168.254.0.255  255.255.255.255         On-link      169.254.0.15    281
         169.254.0.10  255.255.255.255         On-link      169.254.0.10    331
         169.254.0.13  255.255.255.255         On-link      169.254.0.15     26
         169.254.0.15  255.255.255.255         On-link      169.254.0.15    281
    Эти маршруты добавляются автоматически, в соотвествии с картинкой выше (static routes)


    Модератор
  • Уважаемый, Anahaym, это поразительно, но всё получилось.
    Сначала почему-то все как-то не хотело работать, но потом я всё удалил и заново проинсталлировал сервера, накатил роли и все заработало.
    Я так и не понял в вашей статье, о какой сети "использующейся для построения туннеля" 169.254.0.0 идет речь и у меня в статических маршрутах указано лишь по одному маршруту на каждом ВПН хосте - маршрут до удаленной сети. Плюс используется опция 121 на DHCP серверах и вручную прописаны статические маршруты на серверах, что не получают адреса от DHCP. И все отовсюду пингуется.

    Огромное вам спасибо.

    Теперь я указал на удаленном контроллере домена первым DNS сервером сервер в главном офисе и готов разворачивать новый сайт и новый домен контроллер в удаленном офисе. Пока правда не могу решить, использовать тип ТОЛЬКО ДЛЯ ЧТЕНИЯ или таки хранить в удаленном офисе глобальный каталог. Не уверен, потянет ли сеть такую репликацию. Хочу попробовать сначала только для чтения, но опять же не знаю (и не могу пока найти информацию), смогли я потом изменить тип RODS до GC. Но это, конечно, уже не вопрос в этой теме и я создам отдельную.

    Еще раз спасибо.

    17 июня 2018 г. 14:45
  • Уважаемый, Anahaym, здравствуйте.

    После года успешной работы с этой недели начались вдруг проблемы. Канал постоянно деградирует и часами не поднимается. Точнее соединение пытается установиться, но отваливается с ошибкой:

    RoutingDomainID {00000000-0000-0000-0000-000000000000}: подключение по требованию к удаленному интерфейсу "VPN2" через порт "VPN0-127" успешно инициировано, но не закончено из-за ошибки: Попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером.
    Происходит это в активное дневное время. С вечера все опять нормализуется и всё работает без каких-либо вмешательств с моей стороны. Более того, у меня четыре разных провайдера: Два в одном офисе, один в другом и еще один для медиаканала на Останкино (там через канал звук радио передается). И вот с этого понедельника и канал падает и ВПН падает. Т.е. они вроде как ВООБЩЕ друг с другом не связаны - а вот же. Кроме того, узнали у соседей что в Останкино и у других пользователей проблемы. Т.е. есть подозрение, что вообще в москве что-то с интернетом не то происходит. Может "суверенный интернет" наступает? Понедельник, вторник, среду - не работало днем. В четверг отработало нормально, сегодня опять все лежит. В этой связи вопрос - насколько критичен данный ВПН к состоянию интернета. Не может ли быть так, что фильтровать стали и не дают проходить ВПН трафику? И что можно предпринять. Может на какой-то другой метод шифрования перейти, на PPTP? Что вообще делать?
    6 декабря 2019 г. 9:48
  • Добрый день, Александр.
    - если нет Интернета, то и нет VPN
    - PPTP, L2TP и IKEv2 можно блокировать
    - SSTP и Direct Access нельзя заблокировать (они используют 443 порт, если его заблокировать то "ляжет" громадное количество интернет ресурсов)
    • Помечено в качестве ответа Alexander Smolko 6 декабря 2019 г. 10:21
    6 декабря 2019 г. 10:07
    Модератор
  • Здравствуйте, Anahaym

    В общем не знаю, как это там устроено у Микрософт, но помогает следующее. Просто удаляем интерфейсы, создаем их заново с теми же ровно настройками и всё опять работает. Чем ему старые интерфейсы через год перестают нравится - неизвестность. Как, впрочем, и при изначальной настройке - потребовалось ТРИЖДЫ создавать всю эту настройку, пока вдруг соединение не заработало. Именно помятуя об этом я и решил просто еще раз снести и поставить.
    При этом речь идет лишь об интерфейсах. Саму роль, маршруты и даже пользователей для соединения я не трогал.
    В этот раз сделал снапшоты, чтобы в другой раз просто откатиться.
    Пишу это здесь, так как вдруг будет кому полезным (например, мне самому, через год :) ).
    9 декабря 2019 г. 8:15
  • спасибо за отзыв. Может кому-то пригодится.
    А почему так работает у МС - только им это известно.
    9 декабря 2019 г. 8:17
    Модератор