Win 2003 + VPN-server проблема
 

под 2003 вынем поднят VPN-server, WINS, File-server (домен неподымался)

Проблема такого плана:
через Инет подключаюсь через VPN к серваку, все нормально подключается дает доступ к серваку(даже вижу расшаренные на нем папки) и только!
Но недает доступ к внутренней сети.
На серваке 2-е сетевых карты:
1-я 192.168.0.1 255.255.255.0 (раздает Инет во внутреннею сеть посредствой Wingate 6)
2-я 192.168.0.249 255.255.255.0 (на ней WINS и через неё подключение к Инету через ADSL (STREAM) подключение типа Bridge)
IP ADSL-модема в сетке 192.168.0.250 255.255.255.0

Во внутренней сетке 10 компов с адресами 192.168.0.2 - 192.168.0.11

в настройке VPN-server диапазон выдаваемых IP поставил 192.168.0.60 - 192.168.0.70
192.168.0.60 берет себе VPN-server - остальные соответственно выдает VPN-клиентам.
дал одной учетке разрешение на входящий звонок - все нормально подключаюсь через Инет, прохожу авторизацию получаю 192.168.0.61
пингую 192.168.0.60 - пингуется
пингую 192.168.0.1 - пингуется
пингую 192.168.0.249- пингуется

пингую 192.168.0.2 - 192.168.0.11 - непингуется пингуется и соответственно нету к ним доступа

спинным мозгом чувствую что что-то в настройках VPN у меня нетак... а вот что никак немогу понять.
В связи с этим прошу помощи спецов этого форума.

P.S.
Сначала вообще при подключении мне по VPN-тунелю мне шел инет с сервака, но это вылечилось отключением галки "Взять шлюз с удаленного компа"
нашел это на этом форуме, за что спасибо огромное.
Прочитал все что связанно с VPN и 2003 на этом форуме но ненашел решения своей проблемы :(

Есть несколько общеизвестных проблем (лично сталкивался):

1. Народ пытается связать 2 подсети с одной ip адрисацией
(например. с одной стороны 192.168.1.0-50 и с дргой 192.168.1.51-100).
- работать не будет т.к. клиент никогда не будет обращаться к шлюзу.

2. Ставят широкую маску (с одной стороны 192.168.1.0-50 и с дргой 192.168.2.0-50 маска 255.255.0.0)
- получается тоже самое что и в п.1

3. Не указан шлюз по умолчанию на клиентской машине.

4. Не верно указаны статические маршруты на VPN сервере.

Если вы под это не попадаете смотрите настройки файрволов и Wingate.

Да и еще я эту галочку не отключаю - "Взять шлюз с удаленного компа" а ставлю фильтры 80, 21 может и в этом проблема - но не уверен.

1. у меня задача не связать 2-е подсети, а просто чтобы пользователь подключался в локальную сеть через инет
2. см. 1
3. если указать шлюз (а он получается 192,168,0,1) то начинает по тунелю транслировать инет :)
4. а вот тут поподробней хотелось бы про статические маршруты
"Взять шлюз с удаленного компа" с включеной этой галкой автоматом прописывает клиенту шлюз 192,168,0,1 и опять таки по тунелю идет Инет...

настройки Фаера Вингада вроде в порядке, через них-то и пришлось открывать порт чтобы ВПН-соединение проходило...
хотя странно, для ВПН порты нужны 1723 и 500 (я их открыл) но в логе Вингада выяснилось что пользователь долбится с 1723 на 4500 порт, и только после открытия в Вингаде 4500 порта ВПН-соединение стало проходить нормально.
Все это выяснялось на лету, я подключался к серваку с Инета посредством Radmin и наблюдал что происходит

вот прикрепил скрин таблицы статических маршрутов

Давай так - у клиента, который подключается по впн ip адрес внутренний какой? Он в другой подсети?
Если в той же то кина не будет - он никогда на шлюз не полезет. Да и на файрволе пинг разреши (icmp).

можно увидеть скрин где эта настройка включается? Ни разу не видел, чтобы ВПН сервера выдавали адреса...

Идем в RRAS пр. кнопкой по имени сервера, свойства, закладка ip и там выбераете - сатический пул или от дхцп.

в свойствах сервера закладка IP
вот скрин

в том то и дело что это в RRAS, а не в ВПН сервере.

пинг разрешен на фаере
ip клиент получает 192.168.0.61 например (бывает что 0.62 0.63 - 0.70)

выходит что надо выставить другой диапазон мне?
если так то посоветуйте какой лучше

а все понял... внутрений у клиента 100,100,100,131

smksmk,
почитайте: http://admin.exonix.ru/E-Books/VPN_Windows_2003.doc

3. Зайдите во вкладку "IP", выберите название внутреннего адаптера и создайте статический пул адресов отличного от внутреннего, который будет присваиваться VPN клиентам.
этот тот, который за его ВПН-клиентом.

задал диапазон 192.168.1.60 - 192.168.1.70

эфект тот же, но теперь перестали пинговаться 192.168.0.1 b 192.168.0.249
про 192.168.0.2-192.168.0.11 ваще молчу, они и раньше непинговались

вот по этому самому Вордовскому файлу я и настраивал сервер-ВПН

попробЫвал отключить Фаервол Вингада и задать диапазон 192.168.1.1-192.168.1.10
эфект тот же... пингуется только 192,168,1,1

чувствую что дело всетаки в маршрутизации, и что надо прописать какой-то маршрут, но поскольку в этом несилен то прошу помощи

а может быть загвоздка в том что я подключаюсь с компа входящего в домен?
дело в том что подключаюсь с компа на работе, и этот комп евляется членом домена

процесс сдвинулся с мертвой точки :)
убрал из свойст IP диапазон совсем - соединение проходит нормально
ip сервер себе берет 192.168.0.100-192.168.0.106
ip клиенту дает 192.168.0.150-192.168.0.156
долго втыкал откуда берутся такие ip и воткнул :)
у нас в сетке стоят 2-е точки доступа Wi-Fi на которых DHCP включено,
причем 1-я точка раздает 192.168.0.100-192.168.0.106
а 2-я 192.168.0.150-192.168.0.156
после такого расклада пошли пинги у клиента во внутреннюю сеть :) УРА
но вот доступ к шарам неидет....не по имени ни по ip-адресу...
копаем дальше

добавлено:
и доступ к шарам пошел (дело было в Вингаде, он ВПН-адаптер определял как External, переставил на Internal и шары заработали)

вечером попробуем отключить Wi-Fi точки и посмотреть что будет без ихних DHCP

а если клиентам назначить статикой адреса, а не DHCP ?

ты имеешь ввиду в свойствах ВПН соединения?
попробую, просто сейчас нет возможности отключить Wi-Fi точки
точнее отключить 2-ю точку, 1-ю могу через веб по удаленке, ко второй пасса у меня нету
попробую сначала без DHCP точек, потом выставить адреса в настройках соединения
но это только вечером

Привет всем!
Такая вот проблема: раздаю инет по ВПН через 2к3 по логину и паролю, в свойствах НАТ и файерволла только 2 интерфейса АДСЛ соединение и ВПН, но юзеры получают инет и без подключения к соединению ВПН, т.е. не проходя аутентификацию по логину и паролю, просто тупо по локальной сети.
Раньше все стояло и работало на 2к3 СП1 Англицкий, и все работало....
А тут что-то запорол.
Что и где посматреть?

П.С. Система 2к3 СП2 Рус.

Хм..., все проверил, но вроде как не делал вот это: DisableNetbiosOverTcpip - может в этом проблемма?

Помогите кто-нибудь, уже все перепробовал, осталось перебить ОС...

Опишу канкретнее проблему:

1. По статье: http://www.intr.ru/contentid-50.html запустил маршрутизацию и настроил ВПН, добавил юзверей.
2. Рабочие ИП:
Локальная карта - 192.168.1.2
ВПН - 10.10.10.0 - 10.10.10.21
3. Интерфейсы:
РРРоЕ - ДСЛ соединение к провайдеру;
Подключение по локальной сети;
Внутренний (ВПН);
Замыкание на себя.
4. ИП маршрутизация:
В общих все 4-ре интерфейса;
Статистический маршрут ДСЛ соединение на 0.0.0.0;
ИЖМП - Внутренний как маршрутизатор, а ДСЛ - как прокси;
НАТ и фаерволл - Внутренний как частный интерфейст для подключения к часной сети и ДСЛ как нат и фаерволл.
5. В политике стоит разрешить.

Итог: Интернет у юзверей работает как через просто локальную сеть, так и через локин и пароль ВПН соединения.

П.С. Есть еще машина на 2003, она в роли файл сервера и ДНСП (192.168.1.1), на ней прописаны ДНС и шлюз 192.168.1.2

Помогите разобраться!

У клиентов в свойствах tcp/ip шлюз уберать тогда нужно. А в свойствах впн подключения наоборот должно стоять использовать шлюз в удаленной подсети. И клиенты тогда должны подключаться к впн серверу по адресу из их локального пула ip адресов 192.168.1.2.

Или попробовать отрубить igmp - на сколько я помню он сообщает об маршрутизаторе клиентам - что такое там было.


А не проще поставить какой то прокси kerio или isa или что то из этой оперы?

artem_ , хм.., до этого стояла w2k3 SP1 и все со шлюзами и ДНС у юзеров работало, хотя просто ручками забито было...
а теперь поднял на отдельной машине ДНСП, она и сообщает юзверям куда шлюз и ДНС..., странно все это...
Попробую отрубить igmp - хотя проде отрубал - и инет вообще перестовал ходить...

Больше вариантов нет?=(

вот взял и удалил в igmp все интерфейсы, в свойствах НАТ оставил только ДСЛ соединение...
интернет через локальную сеть идет...

в пулле адресов ничего я неписал ничего, и в фильтрах тоже..., хотя и на предыдущей ОС это не использовал.!

а машину клиента после этого перезагружал?
ipconfig /release /renew

artem_, нет, не перегружал..., проблемы на работе, счас дома, завтра попробую то что ты посоветовал еще...
хотя все-равно странно, ничго такого сверх не делал, и 2 года работало, а тут не в какую...

вот, загрузил систему, интернет работает при пустом igmp и в НАТ только ДСЛ соединение к провайдеру..., засада...
полный глюк системы? так же никак не должно быть?
что делать?

Последняя конфигурация, при которой просто идет интернет по локазьной сети:

Сервер DHCP:

C:\>ipconfig -all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Физический адрес. . . . . . . . . : 00-00-00-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

C:\>

Шлюз в Интернет:

C:\>ipconfig -all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : admin
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

Интерфейс RAS-сервера - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.0
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :
NetBIOS через TCP/IP. . . . . . . : отключен

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : SURECOM EP-320X-R 100/10/M PCI адаптер
Физический адрес. . . . . . . . . : 00-00-00-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.2
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

DSL соединение - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : xx.xxx.xxx.xxx
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : xxx.x.x.xxx
DNS-серверы . . . . . . . . . . . : xxx.x.x.xx
xxx.x.x.xx
NetBIOS через TCP/IP. . . . . . . : отключен

C:\>

Клиентская машина:

C:\>ipconfig -all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Anya
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : смешанный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Eth
rnet NIC
Физический адрес. . . . . . . . . : 00-00-00-00-00-00
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 192.168.1.5
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.2
DHCP-сервер . . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.2
Аренда получена . . . . . . . . . : 14 мая 2008 г. 11:45:17
Аренда истекает . . . . . . . . . : 14 мая 2008 г. 19:45:17

C:\>

При этом, как видно, на машине клиента ВПН соединение не запущено, интернет работает.
На машине шлюза в интернет настроен ВПН, статистический маршрут и в НАТ только ДСЛ соединение к провайдеру.
Машина сервер, поднят ДНСП, машины получают адрес машины шлюза как сам шлюз и ДНС.

Немогу понять как в таком случае все работает?

пакет идёт из 192.168.1.5 в 192.168.1.2, натится в шлюзе и далее в модем. всё.

exo, нет, ну то что работает по такому принципу понятно, почему через ВПН и локальную сеть работает?
Как добиться чтоб через локалку инет не ишел, а только при влюченном соединении через ВПН?

Перебил систему, неспеша шаг за шагом все настроил заново, итог тот же...
Я уже незнаю где собака зарыта!!!=(

Попробуй фильтрануть порт №80 на интерфесе LAN шлюза

Как фильтрануть, фильтры никогда неиспользовал, подскажи как правельно сделать в моем случае?

Утром поставил на машину Windows Server 2003 SP1 EN, настроил даже быстрее чем на Русской=)
Все на ней заработало, единственное что пришлось сделать, так это указать на DHCP сервере, чтоб тот раздавал IP DNS сервера провайдера а не моей машины, иначе через ВПН инет ни в какую не хотел ходить.

Сделал опять все тоже самое на Windows Server 2003 SP2 RUS - попа=(
Ничего не понимаю...

rras - ip routing - nat/basic firwall - жмем пр. кн. мыши на интерфак, который интересует и тама унизу увидешь две кнопочки фильтры входа и выхода.

Как по мне то это дурдом так нет давать. Боишься что кто то в локалке твой трафик будет мониторить?
По нику вижу Украина - а город какой? Просто так для интереса. :)

artem_, кнопки фильтра наю где находяться, как правельно фильтр задать?
Нет, на счет трафика не боюсь, на работе с ВПН лучше, юзеры просто дуб-дерево, творят просто жуть какие весчи, а так хоть какой констроль...
Восточная Укр, Луганская обл.

Фильтры входа - создать - Протокол: tcp/ip Порт входящий: 80 Ок Ок

Чувак поставь себе проксю какую нить - все проблемы сразу отпадут

artem_, да нет, проблем бы небыло, если бы не захотел бы спрыгнуть со старой Windows, странные дела с СП2...
Поставил фильт, отрубил инет у юзера..., через ВПН и локалку "0".

Как для оффиса - Windows Server 2003 самое то...

Ну тогда хрен его знает.
Как альтернативу могу предложит у тех кому нет не нужен - ничего не прописывать
в поле шлюз по умолчанию.

но не как прокся с контролем доступна - ну не умеет она это делать