[ОТВЕТИТЬ]
11.02.2014 09:49
Ferus
 
Вообщем задача следующая:
Есть 4 отдельные сети , которые нужно объединить через VPN.
1 сервер
2,3,4 - магазины(в разных городах)
На каждой из точек стоит роутер.
Править какие-либо настройки могу на роутере сервера и на самом сервере.
На магазинах много стороннего оборудования прикручено к настройкам сети.

Для теста поднял сервак 2003 (DHCP настроено на роутере).
На роутере прокинул порты 47 и 1723
На серваке настроил pptp выделил пул адресов.
Настроил пользователей.
Если из тойже сетки подключаться к серваку, подключение проходит, выдается ip адрес клиента.
А вот на внешний ip не хочет нет ответа от сервера.
Пробовал на роутере DMZ перенаправлять на сервак безрезультатно
Может кто сталкивался с подобной задачей?
11.02.2014 10:05
OlegON
 
Помимо TCP 1723 еще надо открыть и пробросить GRE.
Но на 2003 я бы все это не стал поднимать...
11.02.2014 10:33
KirillHome
 
Возможно, на роутере перед сервером 2003 нет VPN pass through - соответственно, вот оно и не проходит - "нет ответа от сервера"
11.02.2014 12:01
Stels
 
из вне достаточно до сервака прокинуть только 1723 порт

две недели назад это же самое делал :)

и в настройках VPN надо разрешить нужный интерфейс (сетевую вроде),
на которую проброс настроен
11.02.2014 12:06
OlegON
 
Цитата:
Stels из вне достаточно до сервака прокинуть только 1723 порт
не достаточно... помимо TCP протокола еще используется GRE, 1723 всего лишь контролирующий. Надо настроить проброс GRE, что и делает галка VPN passthrough. А у тебя, наверное, просто VPN-сервер мордой в инет смотрел, а кроме TCP ничего не было перекрыто, или недоос какая-нибудь с галочковыми брендмауэрами.
11.02.2014 12:10
Stels
 
Цитата:
OlegON не достаточно... помимо TCP протокола еще используется GRE, 1723 всего лишь контролирующий. Надо настроить проброс GRE, что и делает галка VPN passthrough. А у тебя, наверное, просто VPN-сервер мордой в инет смотрел, а кроме TCP ничего не было перекрыто, или недоос какая-нибудь с галочковыми брендмауэрами.
оборудование- да убогое.

Роутер вроде d-link с внешним белым постоянным ip
(прописано всё на роуторе - статика)

А дальше от него линк в сервер Win 2003

Настроил только проброс 1723 на внутренний серый адрес сервера.

Проблем никаких не было..
11.02.2014 12:22
OlegON
 
да я не особо на оборудование грешил, просто в длинке, видимо, стояло "пропускать все" на сервер... DMZ какой-нибудь. Но суть - по одному TCP 1723 VPN не заработает.
11.02.2014 12:56
izuware
 
в убогих роутерах должна быть вкладочка в НАТе, называется чтото типа "виртуальный сервер" поищщи там конкретно pptp. (напоминаю что l2tp работает без GRE и вообще более современный и в 2003м есть тоже)
11.02.2014 13:12
Neutron
 
А лучше купи mikrotik максимум за 1.5 штук и реши все свои проблемы.
11.02.2014 13:29
Ferus
 
Цитата:
OlegON Помимо TCP 1723 еще надо открыть и пробросить GRE.
Но на 2003 я бы все это не стал поднимать...
Осталось только найти где его пробросить в NETGEAR n300 :(
11.02.2014 13:30
Ferus
 
Цитата:
izuware в убогих роутерах должна быть вкладочка в НАТе, называется чтото типа "виртуальный сервер" поищщи там конкретно pptp. (напоминаю что l2tp работает без GRE и вообще более современный и в 2003м есть тоже)
Про l2tp слышал, что вроде как посовременней, но и в настройке сложней
11.02.2014 13:31
Ferus
 
Цитата:
Neutron А лучше купи mikrotik максимум за 1.5 штук и реши все свои проблемы.
Хотелось бы без лишних вложений...
11.02.2014 13:50
Ferus
 
Возможно нашел причину
Цитата:
Итог: Netgear N300 (JWNR2000v2) не поддерживает VPN throughput, по причине того что не поддерживает протокол GRE. Пробросить через него Windows VPN PPTP невозможно. Придется использовать либо другой маршрутизатор, либо IPSec/L2TP, ну или DMZ
На том объекте, где сервак стоит - dir300 и так же не поддерживает туннелирование GRE

Остается раскуривать L2TP
11.02.2014 14:06
OlegON
 
Лучше бы раскурил mikrotik, как порекомендовали выше... А то раскуришь L2TP до AH и ESP, а дальнейшая раскурка приведет к пониманию, что длинк вообще для домашнего пользователя только подходит...
11.02.2014 14:21
Ferus
 
Цитата:
OlegON Лучше бы раскурил mikrotik, как порекомендовали выше... А то раскуришь L2TP до AH и ESP, а дальнейшая раскурка приведет к пониманию, что длинк вообще для домашнего пользователя только подходит...
С те условием что нужно как можно быстрее, раскурить mikrotik остается единственным вариантом.
11.02.2014 14:24
baggio
 
Цитата:
Neutron А лучше купи mikrotik максимум за 1.5 штук и реши все свои проблемы.
1. Согласен за микротик.
2. Нет микротика попробуй OPENWRT
3. Очень не многие роутеры могут пробрасывать "нормально" GRE - попробуй воспользоваться настройкой DMZ- пропиши ip 2003srv туда
11.02.2014 16:10
KirillHome
 
Цитата:
baggio 1. Согласен за микротик.
2. Нет микротика попробуй OPENWRT
3. Очень не многие роутеры могут пробрасывать "нормально" GRE - попробуй воспользоваться настройкой DMZ- пропиши ip 2003srv туда
1. Присоединюсь, хотя если надо срочно - то... В общем, мне самое быстрое удавалось получить микротик через неделю после дня "начала поиска" (заказа в магазине).
2. Не смотрел, но по идее - должно помочь
3. ТС утверждал, что не помогает:
Цитата:
Ferus ...А вот на внешний ip не хочет нет ответа от сервера.
Пробовал на роутере DMZ перенаправлять на сервак безрезультатно...
И да, дурацкий вопрос к ТС - всё же хотим добиться "полного объединения офисов" (каждое устройство "центрального офиса" видит все устройства "удалённых офисов" и каждое устройство любого "удалённого офиса" видит все устройства "центрального офиса" и всех "удалённых офисов"), или более простого варианта - "возможность подключения к центральному офису и использование его ресурсов с одного устройства в удалённом офисе"?
12.02.2014 07:04
Ferus
 
Цитата:
KirillHome И да, дурацкий вопрос к ТС - всё же хотим добиться "полного объединения офисов" (каждое устройство "центрального офиса" видит все устройства "удалённых офисов" и каждое устройство любого "удалённого офиса" видит все устройства "центрального офиса" и всех "удалённых офисов"), или более простого варианта - "возможность подключения к центральному офису и использование его ресурсов с одного устройства в удалённом офисе"?
одно устройство "центрального офиса (сервер)" видит некоторые устройства "удалённых офисов(магазинов)" и эти же устройства любого "удалённого офиса" видят сервер "центрального офиса"
Между магазинами "удалёнными офисами" связь по сути не нужна
12.02.2014 10:05
KirillHome
 
В этом случае, скорее всего, помимо поднятия VPN-сервера в центральном офисе, необходимо будет в каждом из "удалённых офисов" ставить "штуку", поднимающую VPN-соединение с офисом (и настраивать маршрут на "эту штуку" для устройств из "удалённого офиса", которым необходим доступ к "центральному офису") - думаю, что не получится с каждого "нужного устройства" поднять vpn-соединение с "центральным офисом" (если эти "нужные устройства" не являются полноценными компьютерами).

Что опять же подводит к тому же слову - "Микротик" :)
12.02.2014 10:06
whitewizard
 
Вовсе необязательно. Может имеет смысл OpenVPN поставить? И ещё немаловажен факт нормального vpn-клиента на роутерах.
12.02.2014 10:35
KirillHome
 
Цитата:
whitewizard Вовсе необязательно. Может имеет смысл OpenVPN поставить? И ещё немаловажен факт нормального vpn-клиента на роутерах.
Ну, судя по сообщениям в теме, вряд ли текущие роутеры в "удалённых офисах" будут способны (без альтернативной прошивки) выполнять роль vpn-клиентов.

И, собственно, предлагал подумать над заменой их (роутеров в "удалённых в офисах") на микротики
12.02.2014 10:52
whitewizard
 
Ну да. Либо поднимать виндой VPN и на всех устройствах в качестве шлюза прописывать этот виндокомпьютер.
Но этот вариант мне не нравится совсем.
Хотя пару лент назад одна сеть магазинов так и работала на OpenVPN, поднимающих VPN с серверов магазинов до ЦО через ADSL разных провайдеров.
12.02.2014 10:56
vdm
 
На 2003 я за что угодно другое, кроме pptp. OpenVPN или вовсе внешний роутер.
Конечно встроенное просто и удобно, но в 2003 у меня как-то с маршрутизацией не сложилось. Клиенты подключаются, все замечательно бегает, но стоило коннекту переподключиться нештатно (по разрыву связи) - маршрут на его сеть переставал работать (в таблице присутствует, а не работает). C сервиспаком и без, с доменом и без - все одно. На прочих виндах VPN не поднимал.
12.02.2014 11:01
OlegON
 
Цитата:
whitewizard Ну да. Либо поднимать виндой VPN и на всех устройствах в качестве шлюза прописывать этот виндокомпьютер.
На этот виндокомпьютер нельзя будет ставить никакие сетевые сервисы и ребутить его надо будет каждый день. У меня у одного клиента такая схема. Просто жесть, как все отваливается. 2008 винда.
12.02.2014 11:10
Ferus
 
Цитата:
KirillHome ... (если эти "нужные устройства" не являются полноценными компьютерами)...
Каждое устройство - компьютер
12.02.2014 11:17
Ferus
 
Цитата:
KirillHome Ну, судя по сообщениям в теме, вряд ли текущие роутеры в "удалённых офисах" будут способны (без альтернативной прошивки) выполнять роль vpn-клиентов.

И, собственно, предлагал подумать над заменой их (роутеров в "удалённых в офисах") на микротики
Как раз дело в том что не всем компам или устройством нужно стучаться на сервер. VPN клиент поднимать буду виндой, с автоподключением при загруке.

С openvpn поднята одна такая сеть, но добавить 2го, 3го не получилось наскоком подключить, мудрено там с настройками (нет времени заниматься)
Да и на кассе не хочется держать клиента openvpn.
12.02.2014 11:22
Ferus
 
Цитата:
whitewizard Хотя пару лент назад одна сеть магазинов так и работала на OpenVPN, поднимающих VPN с серверов магазинов до ЦО через ADSL разных провайдеров.
Похожая история, только провайдер один.
От VPN на уровне провайдера клиент отказался, уж цена ОЧЕНЬ кусучая, 40т.р в месяц это только один канал(Сургут - Омск) :wacko_mini2:
12.02.2014 11:32
whitewizard
 
Сейчас пользую VPN от Энфорты. Стоимость порядка 2тыщ в месяц за точку.
13.02.2014 10:00
izuware
 
Цитата:
whitewizard Ну да. Либо поднимать виндой VPN и на всех устройствах в качестве шлюза прописывать этот виндокомпьютер..
до недавнего времени именно так работал не один весьма скромный клиент. На любой винде (в моем случае на ХП у глбуха) подымаем клиента впн (OVPN в моём случае), далее на самом деревянном роутере есть вкладка маршрутизации в ней пишем маршрут в нашу сеть на того буха. Вот. если роутер савсем тупой и немного клиентов можно каждому прописать роут. Есть ещё вариант с НАТом на буховом компе, но может показаться сложным.
13.02.2014 10:15
OlegON
 
Но зачем же делать плохо, когда можно сделать хорошо? Ведь от таких комбинаций система вся качается и периодически падает, а недовольство юзеров работой IT только растет...
Опции темы


Часовой пояс GMT +3, время: 22:57.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.