Deprecated: Non-static method nggMediaRss::add_mrss_alternate_link() should not be called statically in /usr/local/www/wordpress/wp-includes/class-wp-hook.php on line 286

Объединение локальных сетей в одну (например офис и точка продаж) vpn pptp tunnel

VPN site to site connect (Join two or more LAN without Cisco router, only 2 servers windows 2008 or 2012 and internet connection) 2017 august. // добавляю FreeBSD 11 MPD L2TP PSK ipsec-tools +options kernel 11 //

Что то в интернете полно информации но большинство ложная.

А задача очень часто такая стоит — 2 офиса одна фирма или магазин и склад, а то сотрудники из дома работают и таких точек 3.

Настраиваем локальные сети с разными адресами. (офис 192.168.3.0 .. 1-254 магазин
192.168.1.0 1-254).
Устанавливаем Windows Server 2008 R2 и там и там на комп с интернетом — он же раздает на все остальные интернет, соответственно настраивается на обоих
Routing Remote Access Vpn PPTP server.
DHCP server
сертификатов не надо на Microsoft есть подробная статья по англ. там больше половины ее про сертификаты, но они нужны только для L2TP.

!!! Самая большая ошибка почему не работает — оба сервера должны быть одинаковые, 2008-2003 не свяжется, 2012-2008 то же — только что проверял,
соединение — тоннель VPN устанавливается на уровне service то есть серверной программы службы, и если не работает то скорее дело не в настройках а в версии
сервера и драйверов И обновлений — они должны быть одинаковые!

Не буду рисовать красивые картинки не презентация.

А важен сам принцип. Два одновременных тоннеля. Один сервер открывает соединение на второй а второй на первый, это отслеживается службами и они
входят в режим синхронизации как бы.
И правильно прописать маршруты, пример для сети выше —
0.0.0.0 mask 0.0.0.0 metric 300 interface inet — сервер переводит все не перехваченые пакеты в Интернет (Default gateway)

в DHCP на первой стороне (локалка 1)
параметры области —
раздаем адреса 192.168.3.2 — 192.168.3.254 (192.168.3.1 сервер)
Default gateway 192.168.3.1
Бесклассовый статический маршрут 192.168.1.0 255.255.255.0 192.168.3.1
(это соответственно на всех компах в первой сети оказывается)
Проверяем что порт DHCP слушает локалку а не интернетовский адаптер (свойства-
привязки ) а то результат непредсказуемый до отключения интернета провайдером.
Соответственно для интернет подключения не пожалеть отдельного Ethernet порта на сервере или 2-й сетевой платы. Можно и через один настроить но глюков будет немеряно.

На второй стороне соответственно 192.168.1.2 — 192.168.1.254 (192.168.1.1 сервер)
Бесклассовый статический маршрут 192.168.3.0 255.255.255.0 192.168.1.1 …

В консоле RRAS настраиваем стандартно доступ в интернет через мастера
(configure enable RRAS)

Выбираем VPN + NAT (есть и следующий пункт secure connection two private network но он по стандартному описанию и там нужен только перевод с английского и сертификаты мы пойдем по тому же пути но чуть чуть проще и если бы все работало то так бы и делали)

После настройки — мастер спрашивает какой адаптер для интернета а какой для локалки и предупреждает настроить проброс портов в разделе Network Address Translation и DHCP для удаленных клиентов — надо в свойствах IPv4 — DHCP
Retranslator поставить адрес сервера .. 1.1 или ..3.1 но работает и без этого —
в основных настройках достаточно правильно выбрать адаптер для всех сетевых служб локалки, и он обычно правильно определяется, не интернетовский а который в локальную сеть смотрит. (Основные свойства сервера RRAS — Общие — ipv4 маршрутизатор и локальной сети и вызова по требованию и еще сервер удаленного доступа ниже галочки обе установлены а третью ipv6 не очень надо пока). Третья
вкладка IPv4 широковещание включить и выбрать адаптер локальной сети а не интернет. Безопасность — не надо включать — подключаться без пароля — и — незашифрованый пароль — перехватить пароли по сети запросто включив тот же сетевой монитор от microsoft.

Дальше — основная настройка — интерфейсы — по правой кнопке — создать новый интерфейс вызова по требованию — запускается мастер.
На двух серверах одинаково, указывается ip другого сервера в интернете, обратные звонки не обязательно но в них создается пользователь у которого есть доступ на первый сервер со второго и наоборот, этого же пользователя можно
создать и из обычной консоли пользователей, сделать ему пароль посложнее и доступ к удаленным подключениям. Так лучше почему то , а настройку обратных звонков то есть соединений можно пропустить оставив пустое поле. Конечно с
первого сервера имя пользователя и пароль на втором а со второго наоборот на первом. Вместо IP особенно если он динамический можно указать hostname сделав его например на dyddns.dk или no-ip.info. Если внешнего IP нет то его придется купить у провайдера или попросить сделать, поэтому с мобильными скорее всего вариант не пройдет, и с ведомственной сетью тоже сложно.

Проверяем (перезагрузка обоих серверов нужна) — соединение с одного на другой устанавливается и со второго на первый тоже — слегка дольше — так и должно быть,
сетевые службы чуть задумываются (с 2003 сервера x64 может работать исходники microsoft не смотрел они были в открытом доступе но не все и примерно для 2000 sp1 сервера.. я считаю что в службе роутера эта конфигурация запрограммирована и отслеживается — оба сервера должны быть одной версии) и с одного сервера пингуется другой по внутреннему интерфейсу.
Ошибка — из сети компьютеры другой сети пингуются а сервер нет!
Причина — включился брандмауэр на сервере он на 2012 сервере сам включается.
Отключаем во всех 3 профилях публичном частном и доменном. И надо похвалить программистов что так сделали а не говорить матерных слов — совсем недавно сервер 2000 -й без firewall и обновлений ну никак нельзя было даже в локальную сеть соединять — там начинает шевелиться мыш открывается само собой куча окошек говорит что то по китайски рассылает мильон писем спама и показывает наконец синий экран — взломали все!

для отладки — в консоле mmc Routing Remote Access Server есть список подсоединенных клиентов — по записи можно щелкнуть и посмотреть какой выделен адрес.
И еще опять же брандмауэр firewall не должен мешать 1723 порт достаточно открыть. И протокол GRE это больше относится к интернет провайдеру и к настройкам модемов ADSL, если упорно не работает надо просить помощи у провайдера, поменяют свои настройки или откроют нужные порты если они закрыты.
Дальше — в маршруты добавляются на сервере RRAS ipv4 static route
0.0.0.0 0.0.0.0 interface lan 192.168.3.1 metric 200
(.. 1.1 для второго сервера — это шлюз для интернета.
192.168.1.0 255.255.255.0 interface соединение1 (на другой сервер) там выбор из списка перепутать сложно metric 3
второй сервер ..3.0 connection2 (на 1 сервер) metric 3.
зтот маршрут перехватит все пакеты с одной сети на другую и они уйдут в vpn tunnel через роутеры.
А остальные пакеты из локальной сети убегут в интернет и ответ прибежит через NAT.

Реально такая конфигурация — выглядит как 2 тоннеля навстречу
как метро например. В локальных сетях может быть по 200 компьютеров. Скорость большая, если связь хорошая она ничем не ограничивается. isa server не нужен. cisco то же. (я признаю что с них и взято по видимому). Если компьютеров мало то на серверах запускается — по кругу зациклить можно если bat файл команд — команда ping на адрес другого сервера и окно командной строки можно свернуть. И в автозагрузку его. Если кто не знает то на серверах админ может автоматом зайти в систему — набрать надо control userpasswords2 и снять галку требовать пароль. На безопасность это не влияет по сети пароль спрашивается, сохраняется в реестре .. открытым текстом.
ping -t 192.168.0.1 (с того который .3.1).

 

update обновление !

(положите статью на форум общие вопросы по безопасности по русски Microsoft — кое что полезно не только хакеру а и сис админу инженеру по безопасности)

Заработало вроде  Server 2012 R2 <> Server 2008 R2

На стороне сервера 2008 при настройке статических маршрутов — уменьшаем метрику для исходящего интерфейса 4 .. 3 ..2 не надо с 3 работает — может быть маршрутизатор настроен в 2 службах — еще и в стандартном  tcp-ip в настройках реестра можно указать IPEnableRouter =1 оба роутера могут вместе работать но будут глюки. И на 2012 сервере Обязательно ! разные имена пользователей для входящего и исходящего соединения и Английскими буквами и цифры можно только без пробела (иначе мастер настройки выдаст только ошибку).
// windows xp — server 2016 ..Services/tcpip/Parameters
IPEnableRouter
ForwardBroadcasts
EnableICMPRedirect
на рабочих станциях ! тоже ставим все в 1 на тех где сразу не заработало
Как переводится с английского ping — представляем мячик теннисный он с одной ракетки летит — через трубу — тоннель в интернете — и отбивается другой
ракеткой обратно.
Если на какой то системе Windows не работает Shutdown застрелить сразу не надо .. по такой настройке DHCP выше если внимательно прочитали то и так работает и этого делать не обязательно,
это совсем другая служба -сервис ..
DWORD=1 //
если в сети есть сервер не настраиваемый DHCP то на нем надо маршрут прописать
route add 192.168.3.0 mask 255.255.255.0 192.168.0.1 metric 3 /
p
192.168.0.1 шлюз и сервер vpn (для 1 сети) + IPEnableRouter=1.

Открываем компьютеры в сети по названию имени а не по ip адресу — не надо настраивать dns ни к чему, просто редактируем

etc/hosts

(ну да с юникса взято на виндоуз) на 64-битных системах

explorer проводник windows и notepad блокнот открываем нажатием win+r , а 32-bit программы не имеют доступ в папку system32 — только syswow64 и реестр у них свой Wow6432Node

( unix-like /etc/hosts )

%WINDIR%/System32/Drivers/etc

hosts

[code collapse=»0″]

192.168.3.1 server1

192.168.1.1 server2

192.168.1.161 sklad

192.168.3.7 boss

[/code]

маршруты все таки добавляю и правила firewall на фряхе FreeBSD router говорят сложное самое ну извиняюсь если и сам с первого раза ниасилил — поправьте если что — root@ или comment только оставляйте email.

[code collapse=»0″]
root@pc1:~# route show 0.0.0.0
route to: default
destination: default
mask: default
gateway: host-xx.qwerty.ru
fib: 0
interface: igb1
flags: <UP,GATEWAY,DONE,STATIC>
recvpipe sendpipe ssthresh rtt,msec mtu weight expire
0 0 0 0 1500 1 0
root@pc1:~# route show 192.168.40.0
route to: 192.168.40.0
destination: 192.168.40.0
mask: 255.255.255.0
gateway: srv01
fib: 0
interface: igb0
flags: <UP,GATEWAY,DONE,STATIC>
recvpipe sendpipe ssthresh rtt,msec mtu weight expire
0 0 0 0 1500 1 0
192.168.0.0 -//- the same
#route add 192.168.0.0 192.168.3.2
# vpn pptp сервера в локальной сети — чуть им хвосты не поотрывал =
# не работает и все — если они не раздают интернет убрать с вкладки nat
# ipv4 все интерфейсы кроме внутреннего
# when pptp vpn server not used for Internet NAT address translation —
# remove all interfaces from router-vpn MMC console, except Internal

#server FreeBSD (router ) two LAN igb0 192.168.3.211 + Internet igb1
root@pc1:~# ipfw show
00100 30 1492 allow tcp from any to me dst-port 1723 in via igb1
00200 12792816 9652646519 nat 123 ip from any to me recv igb1 in
00300 3259143 1651478424 allow ip from any to any in
00400 406886 28503644 nat 123 gre from 192.168.3.0/24 to any xmit igb1 out
00500 2388000 1043444441 nat 123 ip from 192.168.3.0/24 to any xmit igb1 out
00600 435329 42213191 allow gre from any to any
00700 3744758 3998105291 allow ip from any to any via igb0
00800 255905 432263844 allow ip from any to any via lo0
00900 277538 15542994 allow icmp from any to any
01000 0 0 allow ipv6-icmp from any to any
01100 4963664 3318182784 allow ip from any to any
65535 151 12190 deny ip from any to any
root@pc1:~#
ipv6 ping6 ne nastroen
# server 192.168.3.2 (vpn pptp server Windows 2012)
===========================================================================
Список интерфейсов
32………………………srv01m
31………………………RAS (Dial In) Interface
13…54 04 a6 db d6 d6 ……Сетевое подключение Intel(R) 82574L Gigabit #2
12…54 04 a6 db d6 d7 ……Сетевое подключение Intel(R) 82574L Gigabit
1………………………Software Loopback Interface 1
14…00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
15…00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16…00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
17…00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
===========================================================================

IPv4 таблица маршрута inet1=address ip static from Store1
0.11, 3.12 — Internal vpn routers interfaces
(route add) 192.168.0.0 (mask ) 255.255.0.0 192.168.3.2 (metric ) 35 (/p ) //save into Windows Registry Do not forget set parameter in Tcp-ip Service (system/current.. services/tcpip/parameters) IPEnableRouter=1
192.168.40.0 255.255.255.0 192.168.3.2 35
for LAN connection interface — in Route/RAS/VPN console — 192.168.0.0 255.255.0.0 interface lan (3.0 ) metric 60 gateway 3.2 ; 192.168.40.0 255.255.255.0 interface lan (3.0 ) metric 60 gateway 3.2
default gateway 0.0.0.0 mask 0.0.0.0 metric 260

For Interface remote router:
192.168.0.0 255.255.0.0 metric 15 gateway 3.2
192.168.40.0 255.255.255.0 metric 15 gateway 192.168.3.2
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.3.211 192.168.3.2 266
inet1 255.255.255.255 192.168.3.211 192.168.3.2 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.0.0 On-link 192.168.3.2 45
192.168.0.0 255.255.255.0 On-link 192.168.0.11 25
192.168.0.11 255.255.255.255 On-link 192.168.0.11 266
192.168.0.12 255.255.255.255 On-link 192.168.0.11 11
192.168.0.255 255.255.255.255 On-link 192.168.0.11 266
192.168.3.0 255.255.255.0 On-link 192.168.3.2 266
192.168.3.2 255.255.255.255 On-link 192.168.3.2 266
192.168.3.11 255.255.255.255 192.168.3.11 192.168.3.12 31
192.168.3.12 255.255.255.255 On-link 192.168.3.12 286
192.168.3.255 255.255.255.255 On-link 192.168.3.2 266
192.168.40.0 255.255.255.0 On-link 192.168.0.11 40
192.168.40.255 255.255.255.255 On-link 192.168.0.11 266
192.168.255.255 255.255.255.255 On-link 192.168.3.2 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.3.2 266
224.0.0.0 240.0.0.0 On-link 192.168.3.12 286
224.0.0.0 240.0.0.0 On-link 192.168.0.11 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.3.2 266
255.255.255.255 255.255.255.255 On-link 192.168.3.12 286
255.255.255.255 255.255.255.255 On-link 192.168.0.11 266
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.3.211 350
192.168.0.0 255.255.0.0 192.168.3.2 35
192.168.40.0 255.255.255.0 192.168.3.2 35
===========================================================================

IPv6 таблица маршрута //standard — no-ipv6 configure — fc00:1::4-mac-digit
or mac (3) -fe ff -mac (3)
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
15 306 2001::/32 On-link
15 306 2001:0:9d38:6ab8:3851:3c2:3f57:fcfd/128
On-link
31 306 ee49:5002::/64 On-link
31 306 ee49:5002::/128 On-link
31 306 ee49:5002::1c26:a74:68b0:2eec/128
On-link
13 266 fe80::/64 On-link
31 306 fe80::/64 On-link
15 306 fe80::/64 On-link
13 266 fe80::999:743a:a402:b62/128
On-link
31 306 fe80::1c26:a74:68b0:2eec/128
On-link
15 306 fe80::3851:3c2:3f57:fcfd/128
On-link
1 306 ff00::/8 On-link
13 266 ff00::/8 On-link
15 306 ff00::/8 On-link
31 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

2 других сервера в подразделениях точно так же

[/code]


не туда стрельнул — в gnome после нажатия shift prtscr надо мышой выделить прямоугольник a лучше imagick делает screenshot здесь был файлик сохраняющий 3 снимка за секунду скрипт bourne shell.

ну да связь на 3 подразделение идет через подключение второго — srv01m
(это не обязательно — так чуть больше ping но меньше соединений устанавливается)

треугольник если тоже работает (2012 2016 сервер, на 2016 — сделали обновление — может исправлять мелкие повреждения в реестре RemoteAccess ).

смотрим еще статью по фряхе ipfw kernel router — как показывает практика он надежнее НО если не будет случайный сбой питания да и с виндой связь — нужны сторонние для FreeBSD программы. // mpd можно поставить руководств полно как работает не проверял

  • тут электрики устроили проверку —  выключался свет часто за минуту раза 4 и потом 2 часа не было света. На винде сервер может и запустил проверку диска- скорее откат последних изменений по ntfs, и загрузился потом нормально, на плате включен запуск в последнее состояние при включении питания. ( на всех новых bios  есть включение по таймеру — может не работать! и проверка включена или выключена была плата перед отключением питания — функции ATX). Сервер на фряхе тоже сказал что все нормально журнал включен и последние изменения исправлены, а потом при загрузке стал перегружаться по кругу — какая то из служб ядра давала сбой из-за ошибки диска. Исправилось входом в однопользовательский режим single user mode и fsck -y 2 раза, после чего не загрузился Gnome 3 пришлось переставить gdm из пакетов. На диске были значит более серьезные повреждения, и на восстановление ушло 4 часа -диск большой. … продолжение заменил его вообще 1600 переносов секторов внезапно чуть не проглядел вроде wd шка не сигейт — ssd уже надежнее не дохнут как мухи можно менять.

по серверу проверки разрешений для удаленного доступа nps (ias) в 2012 сервере в 2016 npas.
Работает! пишу по памяти не проверяя все — Если вдруг на роутере перестали подключаться клиенты то дело в нем а точнее в ошибках настройки которые непонятно откуда возникают. Починилось — пришлось поставить запуск SQL а точнее MICROSOFT##WID от LocalSystem.
потом удалить и переставить заново NPS, заново настроить исходящие соединения на другом сервере и перезагрузить еще, после этого заработало. Еще надо проверить права для ключей реестра — ..Services\RemoteAccess и RaMgmtSvc а также Tcpip и все по интерфейсам сети —
придется искать поиском по названию или id интерфейса их с десяток записей по каждому. На всех должно быть разрешение на чтение для LocalService NetworkService полный доступ операторам настройки сети системе и администраторам.
После этого всего надо обязательно запустить мастер настройки NPS он работает и удалит всякие старые политики оставшиеся еще с обновленного 2003 сервера вроде класса сетевых устройств ^311 . Работает и без него только удалять обязательно при всех работающих службах! Не работает почему то с пользовательским ключом .. правила ipfw на роутере вроде правильные а windows vpn в локальной сети, так надежнее — проверить надо может какие пакеты не проходят.
Реестр винды — лучше сделать архив со всеми правами доступа.
[code]
icacls "c:\program files\update services\*" /save updateserv_ACL /t
#/restore — restore access control list for all files in folder .. remove all NTFS symbolic links first!
takeown /F "c:\Program Files\*.*" /R /A /D Y
setacl (regini set correct registry permission or from Regedit)
reg save HKLM\System\CurrentControlSet\Services serv
// save with all access rights //reg restore do if corruption

[/code]

полностью обсуждение по ключам и политикам l2tp ikev2 vpn пользовательский ключик на 2012 сервере у меня не заработал что то выдал ошибку ikev2 router не при чем порты проброшены см статью esp добавлен ключ реестра для encapsulate в udp .. похоже просто ни в какую ikev2 не работает за исключением 2008 r2
(журнал событий включаем и смотрим с диспетчера сервера это винда 2012 2016)

[code]

TechNet
Продукты
Ресурсы
Скачать
Обучение
Поддержка

войти
Россия (Русский)Drop down arrow
ГлавнаяНовостиБиблиотекаОбучениеСкачатьМероприятияСообществоФорумыПоддержкаО проекте
Задайте вопрос
Быстрый доступ
Поиск связанных бесед

Спрашивающий
Аватар пользователя ItDen

20
баллов
Топ 40
ItDen
Присоединение May 2016

4

Обсуждения ItDen
Показать действия
Главные связанные обсуждения

VPN доступ с использованием IKEv2
RAS-сервер. IKEv2. Ошибка 13801.
VPN IKEv2 сертификат
812 ошибка на Windows Phone 8.1 VPN IKEv2
Не работает авторизация клиентов на сервере vpn по протоколу IKEv2

VPN доступ с использованием IKEv2 ошибка 13801
Защита информационных систем
>
Прочие вопросы по безопасности

Вопрос
Question
Нужно войти
0
Нужно войти

Всем доброго!

Настроил я сервак впн для работы с ikev2. Но не очень понял в чем проблема при подключении: Пока проверяю внутри сети на отдельной машине. Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local, то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает "неприемлемые учетные данные проверки подлинности ike". И соответственно, сейчас открыли все что нужно на маршрутизаторе, чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку "неприемлемые учетные данные проверки подлинности ike". Это с чем может быть связано?

Соответсвенно в логах ВПН сервера регистрируется вот такое событие:
"Имя журнала: System
Источник: RemoteAccess
Дата: 02.06.2017 16:04:24
Код события: 20255
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: VPNSRV.Firma.local
Описание:
CoID={F55B7B1A-90C5-51A1-58E3-887C43DB27A2}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-47, пользователь: <Непроверенный пользователь>. Таймаут согласования"

Единственное место где я указал vpnserver.firma.local при настройке всего этого хозяйства (RRAS+CA+NAP) — это когда через веб интерфейс на сервере сертификатов СА (http://caserver/srvcert) делал сертификат для ВПН сервера. Там при выборе шаблона этого сертификата становятся доступны поля и надо было заполнить поле имя. Процесс делал по видео https://www.techdays.ru/videos/1503.html.
Сталкивался кто-то с подобной конфигурацией по настройкам и такой ошибкой?
2 июня 2017 г. 13:25
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы

Все ответы

Question
Нужно войти
0
Нужно войти

Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local, то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает "неприемлемые учетные данные проверки подлинности ike". И соответственно, сейчас открыли все что нужно на маршрутизаторе, чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку "неприемлемые учетные данные проверки подлинности ike". Это с чем может быть связано?

всё правильно. при подключении IKEv2 идёт проверка сертификата сервера (полное имя, кем выдан, срок действия). У Вас на какое имя выдан сертификат сервера? вот по нему (имени) и будет возможно подключение к серверу. Нужно подключение по другим именам — добавляйте их в сертификат.
2 июня 2017 г. 13:36
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Нужно подключение по другим именам — добавляйте их в сертификат.

Не поясните пож-та как другие данные для подключения добавить в сертификат?

Сейчас нашел статейку по траблшутингу IKEv2:

Я правильно понимаю, что из следующих причин:

Error 13801 occurs on the client when:
-The certificate is expired.
-The trusted root for the certificate is not present on the client.
-The subject name of the certificate does not match the remote computer.
-The certificate does not have the required Enhanced Key Usage (EKU) values assigned.

что проблема 13801 в моем случае это номер 3 — The subject name of the certificate does not match the remote computer? Типа как я ее понимаю — что имя субъекта, которое записано в сертификате на ВПН сервер, а это vpnsrv.firma.local не соответсвует тому что я ввожу на удаленной машину с которой делаю подключению к ВПН серверу? А я ввожу пока внешний IP нап котором опубликован ВПН сервак, в дальнейшем когда все будет отлажено и заработает надо будет закрепить за этим внешний IP имя имеющегося у нас домена vpn.firma.com.

Вот я и пытаюсь понять взаимосвязь всего этого

2 июня 2017 г. 13:39
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Не поясните пож-та как другие данные для подключения добавить в сертификат?

Вы доменный центр сертификатов используете?

Я правильно понимаю, что из следующих причин:

правильно. третья причина.
2 июня 2017 г. 13:47
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Вы доменный центр сертификатов используете?

Да! Я буквально на днях поднял свежий СА.
Изменено ItDen 2 июня 2017 г. 13:55
2 июня 2017 г. 13:54
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте "локальный.IP.адрес.сервера vpn.firma.com"). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.

Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)

VPN сервер на какой винде?

Изменено Anahaym 2 июня 2017 г. 14:41
2 июня 2017 г. 14:37
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте "локальный.IP.адрес.сервера vpn.firma.com"). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.

Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)

VPN сервер на какой винде?

ВПН сервер на Windows Server 2008R2. За ссылку спасибо. Изучу сейчас
5 июня 2017 г. 7:42
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте "локальный.IP.адрес.сервера vpn.firma.com"). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.

Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)

VPN сервер на какой винде?

А как еще лучше поступить, если сейчас пока можно стучаться на новый ВПН сервер из вне, только на IP адрес? Просто доменное имя vpn.firma.com используется сейчас для старого PPTP сервера ВПН. И сразу всех мигрировать на новый не получится наверное… Надо еще новый погонять с минимумом клиентов. А потом уже, как буду уверен что новый ВПН исправно работает, запущу его уже через vpn.firma.com
5 июня 2017 г. 11:59
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Выпустите сертификат на имя vpn1.firma.com и тестируйте. "А" запись в публичном ДНС не забудьте добавить
5 июня 2017 г. 16:48
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Выпустите сертификат на имя vpn1.firma.com и тестируйте. "А" запись в публичном ДНС не забудьте добавить

Сделал по инструкции. Но если проверять внутри сети, то все работает, а если подключаться с наружи, пишет при попытке подключения "Ошибка 13863 — Недопустимая ситуация". И в логах на RRAS сервере тоже самое.

Я сначала думал, что может на брандмауэре что-то не открыто, но раз в логах сообщение регистрируется, значит дело в чем-то другом.
8 июня 2017 г. 7:39
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
1
Нужно войти

Нашел решение!

Эта ошибка лечится путем установки обновления — KB2686921
Предложено в качестве ответа Anahaym 8 июня 2017 г. 8:58
8 июня 2017 г. 8:00
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Наверное вопрос уже не по этой теме, но чтобы не плодить новых по схожим вопросам…..

После настройки всего описанного выше в этой теме хозяйства — CA+RRAS+NAP=IKEv2 VPN все работало исправно. К настроенному серверу ВПН конектились как Windows клиенты, так и MAC OS. Сегодня обнаружил, что клиент MAC (он пока был единственный) не может подключиться. На самой MAC OS ни каких ошибок не выводится, просто подключение секунд 40-50 пытается выполниться и после просто пишет "Не подключено".

А в логах ВПН сервера регистрируется вот такое событие:

Имя журнала: System
Источник: RemoteAccess
Дата: 14.06.2017 14:13:45
Код события: 20255
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: VPNSRV.firma.local
Описание:
CoID={8A6EE18B-B2D3-A2E2-0B0A-0B4553982078}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: Petrov.P. Ошибка сопоставления групповой политики

В групповых политиках ни чего не менял и не добавлял по поводу сертификатов, RRAS и ВПН и что могло послужить причиной такой ошибки теперь пока не понял (
Изменено ItDen 14 июня 2017 г. 11:41
14 июня 2017 г. 11:39
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
попробуйте под другим пользователем подключится.
14 июня 2017 г. 12:12
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Поторопился с постом ).

Нашел все таки причину. Все таки я поменял кое что в настройках политики подключения в NAP.

В свойствах политики удаленного доступа в NAP на вкладке "Параметры" в разделе Шифрование

стояли галочки Простое шифрование (MPPE 40 бит), Сильное шифрование (MPPE 56 бит) и стойкое шифрование (MPPE 128 бит). Я после того как все проверил отключил 40 и 56 бит. Оставив только 128.

Странно MAC OS не умеет что ли 128 бит гонять? Поставил галочку на 56 бит, 40 бит оставил отключенным и MAC OS нормально зацепилась к ВПН!
14 июня 2017 г. 12:13
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Странно MAC OS не умеет что ли 128 бит гонять? Поставил галочку на 56 бит, 40 бит оставил отключенным и MAC OS нормально зацепилась к ВПН!

умеет. но у нас L2TP VPN
14 июня 2017 г. 13:41
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Скажите пож-та еще одна проблемка появилась. У нас есть удаленный офис который пока коннектился к старому нашему ВПН сервере по PPTP. Как на зло вчера это сервак "скончался" и удаленный офис потерял возможность подключения. Начал им настраивать подключение к новому ВПН серверу и не получается установить соединение!!

В логах пишет —

CoID={2036AADE-7BDB-946F-3AF0-F02168A6358A}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: <Непроверенный пользователь>. Таймаут согласования

Я ни как не могу понять в чем дело! Проверяю этого пользователя у себя в офисе — раздаю интернет с мобильника и со своего ноута подключаюсь спокойно к ВПН, а у них (в Баку) не получается! Настройки уже раз 10 проверил! Да и настроек то там — импортировал корневой сертификат на машину и создал новое ВПН подключение.

И назрел попутный вопрос, а как сделать так, чтобы к моему ВПН серверу не только по IKEv2 могли подключаться, но и по PPTP? Есть такая возможность?

Но конечно хотелось бы понять, почеум они не могут подключиться. Пока не нашел причины
16 июня 2017 г. 7:11
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

И назрел попутный вопрос, а как сделать так, чтобы к моему ВПН серверу не только по IKEv2 могли подключаться, но и по PPTP? Есть такая возможность?

да есть, по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2. просто перенастройте клиента на PPTP. Посмотрите эту статью, чтобы проверить PPTP.
16 июня 2017 г. 7:22
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти
Спасибо! Но я по ссылке чего-то не могу пройти — NET::ERR_CERT_REVOKED — выдает мне Хром
16 июня 2017 г. 7:37
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Просто я сейчас у себя в офисе попробовал настроить впн клиентский ноут на PPTP, как делал это уже 100 раз, пытаюсь прицепиться к своему новому серваку ВПН и мне клиент выдает — Долго висит на "Установка связи с <имя домена.com>(это имя привязано к сертификату, я выше про это спрашивал) с использованием WAN мини-порт…..". Ошибка 807. Сетевое подключение к серверу ВПН прервано…..
16 июня 2017 г. 7:46
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

попробуйте другой бразузер, чтобы открыть ссылку.

включите логирование на firewall, и смотрите — есть ли активность на 1723 порт. Проверьте, что все порты проброшены куда надо.
16 июня 2017 г. 8:02
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти
А! Ну да, у нас к серверу ВПН проброшены только UDP 500 и UDP 4500, UDP 50
16 июня 2017 г. 8:34
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
список всех портов для VPN.
16 июня 2017 г. 8:37
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

список всех портов для VPN.

Да спасибо! Скажите пож-та, а может ли данная ошибка Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: <Непроверенный пользователь>. Таймаут согласования — говорить о том, что их провайдер, что-то режет по трафику?

У них такая ошибка если они пытаюстся через провайдера подключаться и то же самое если через мобилу интернет расшаривают. Такое ощущение что у них там с IPSEC как-то……
16 июня 2017 г. 9:01
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
да, провайдеры могут блочить VPN протоколы, по этому мы перешли на SSTP. Он использует 443 порт, который лучше провайдерам не блочить )
16 июня 2017 г. 9:32
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

да, провайдеры могут блочить VPN протоколы, по этому мы перешли на SSTP. Он использует 443 порт, который лучше провайдерам не блочить )

Я выше спрашивал, что можно ли вместе IKEv2 на серваке использовать и PPTP. Наверное и SSTP можно прикрутить тогда? PPTP конечно не гуд, мы для этого и перешли на новый сервак с IPSEC(IKEv2)
16 июня 2017 г. 9:54
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
я выше отвечал — могут одновременно работать четыре VPN на одном сервере PPTP, L2TP, SSTP, IKEv2 + одновременно может работать DirectAccess если в компании есть Windows Enterprise или подключается Windows Server. Но DirecAccess проще ставить на 2012 R2, где IKEv2 не работает.
Изменено Anahaym 16 июня 2017 г. 10:29
16 июня 2017 г. 10:29
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

прошу прощения, но я поэтому и пересеспросил ), выше вы написали 3 протокола по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2…

ОК! Спасибо! Получается для SSTP мне надо еще и 443 порт до ВПН сервера прокинуть?
16 июня 2017 г. 10:57
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

прошу прощения, но я поэтому и пересеспросил ), выше вы написали 3 протокола по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2…

ОК! Спасибо! Получается для SSTP мне надо еще и 443 порт до ВПН сервера прокинуть?

совершенно верно. Забыл про SSTP (
16 июня 2017 г. 11:02
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Спасибо за Вашу помощь. Раз уж мы тут так говорим об ВПН сервере.. Можно еще спросить?

Скажите пож-та а в каких случая надо ставить галочки в Сервере Политики Сети — NAP, в свойствах политики на вкладке "Ограничения". Там есть пункт тип порта NAS и там куча типов туннелей. У меня ни чего там по умолчанию и не выбрано. Просто интересно когда это используется и в каких случаях?
16 июня 2017 г. 13:05
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

если я правильно понял, то это указывает политике, что она применяется для физического интерфейса NAP сервера, если у него таковых несколько. Например, если отметить галкой Wireless — IEEE 802.11 — то политика будет применяться только, если сервер имеет WiFi карту, и клиенты подключаются к ней.

могу ошибаться. сам не использую.
16 июня 2017 г. 13:54
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Добрый день!

Может так еще на вскидку подскажете в чем может быть проблема?

Есть один ПК с Win10 Домашняя в удаленном филиале. Он ни как не может подключиться к моему новому серверу ВПН! При подключении выдается стандартное сообщение "Не удалось установить связь по сети между компьютером и ВПН сервером, т.к. удаленный сервер не отвечает. Возмодная причина….NAT, брандмауэр и т.п. не настроено на разрешение ВПН подключений……"

В логах клиентского компьютера есть такое:

Пользователь \Petya установил удаленное подключение с Head Office которое завершилось сбоем. Возвращен код ошибка 809.

А на самом ВПН сервере в логах ни чего не регистрируется. Такое ощущение, что то ли трафик не доходит до сервера, то ли на этом этапе ему еще не чего регистрировать в лог (

Но другие ПК в этом удаленном офисе где стоит Win7 нормально подключились

Изменено ItDen 21 июня 2017 г. 8:12
21 июня 2017 г. 8:05
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

проверьте реестр на клиенте:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule = 2

21 июня 2017 г. 8:22
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Нет! На проблемном ПК такого параметра нет в разделе PolicyAgent.

А что это за параметр? Его надо создать?

Погуглив я так понял, что параметр влияет при размещении сервера ВПН за NAT?

Сейчас обнаружился у них еще один пользователь с ноутом с Win10 Home. Я на нем настроил подключение и оно успешно выполнилось. Такое ощущение, что на том, первом ПК с Виндой 10 Хоум о которой я выше писал, может нет какой-то обновы? ( Хотя я сейчас проверил обновы на нем и винда нашла только на NetFramework 4.5 и все!

Изменено ItDen 21 июня 2017 г. 9:32
21 июня 2017 г. 9:30
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Погуглив я так понял

я вообще-то ссылку давал. Обидно, когда их не читают…
Да, этот ключ надо создавать, если компрьютер использует L2TP и находится за NAT. У IKEv2 такой проблемы нет.
21 июня 2017 г. 9:42
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Погуглив я так понял
я вообще-то ссылку давал. Обидно, когда их не читают…
Да, этот ключ надо создавать, если компрьютер использует L2TP и находится за NAT. У IKEv2 такой проблемы нет.

Извиняюсь). Я тут еще параллельно запросы обрабатываю от других пользователей, немного в торопях все делаю(. В ответе выхватил взглядом параметр реестра и погуглив нашел ту же статью, что и по вашей ссылке ). Спасибо! Сейчас попробую создать параметр. Посмотрим. Благодарю!
21 июня 2017 г. 9:54
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Не помог данный параметр реестра! Картина та же.
21 июня 2017 г. 10:56
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
установите приложение nmap и проверьте доступность портов VPN
21 июня 2017 г. 11:23
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

установите приложение nmap и проверьте доступность портов VPN

Так другие же ПК с этого офиса могут к ВПН серверу цепляться. Значит с портами все ок! Или тут другой смысл?
21 июня 2017 г. 11:28
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

я не знал, что это тот же офис.
21 июня 2017 г. 11:37
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Да я вроде выше писал… Может запутал конечно Вас. Сори.

Итог, чтобы не путаться):

Есть удаленный офис — 7 чел.

3 PC Win10 Home и остальные Win7.

Все из этих ПК уже имеют доступ к новому ВПН серверу без проблем. Но вот один на Win10 home ведет себя криво. Что выше постами и описано (

Пока не смог понять что с ним не так. Параметр реестра не помог, обновления стоят все!
21 июня 2017 г. 11:45
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Но вот один на Win10 home ведет себя криво. Что выше постами и описано (

по всем протоколам проблемы? L2TP, PPTP, IKEv2 ?
21 июня 2017 г. 11:49
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

По другим не проверял, т.к. до сервера проброшен только IPSEC (IKEv2)

Видимо надо проверить хотя бы PPTP
21 июня 2017 г. 11:52
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Но вот один на Win10 home ведет себя криво. Что выше постами и описано (

по всем протоколам проблемы? L2TP, PPTP, IKEv2 ?

Доброго дня! Уже не знаю еще еще попробовать… По PPTP этот проблемный ПК подключается, а по IKEv2 ни как!
28 июня 2017 г. 12:05
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
посмотрите логи IPsec
28 июня 2017 г. 12:17
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

посмотрите логи IPsec

Я извиняюсь, а это на серваке ВПН или все таки на клиенте сделать?

Интересно то, что, к примеру, когда другие пользователи подключаются к серверу ВПН и возникают какие-то ошибки(пароль не тот ввели, какая-то проблема в настройках аутентификации и т.п.) то в логах сервера фиксируются различные события по этому поводу. А при попытках подключиться с этого проблемного ПК, на сервере ВПН вообще ни чего нет!

А в логах клиента есть 2 интересных события:

1) Ошибка 20227 — Пользователь Petrov.P установил удаленное подключение "Главный Офис", которое завершилось сбоем. Возвращен код ошибки 809

2) И следом событие (Сведения), код 20226 — Пользователь Petrov.P установил удаленное подключение "Главный Офис", которое было прекращено. При прикращении возвращен код ошибки 631

Изменено ItDen 28 июня 2017 г. 12:35
28 июня 2017 г. 12:29
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
на сервере. еслит нет ошибок — клиент не может физически подключится к серверу. что-то его блокирует изнутри.
28 июня 2017 г. 12:57
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

на сервере. еслит нет ошибок — клиент не может физически подключится к серверу. что-то его блокирует изнутри.

В этом-то и загадка! Ощущение, что этот ПК по PPTP нормально гуляет, а когда IPSEC его корежит и трафик за пределы того офиса не уходит!

Я уже и фаервол выключил на ПК и антивирь удалил(на всякий случай)!

Изменено ItDen 28 июня 2017 г. 13:06
28 июня 2017 г. 13:03
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Забыл еще сказать, что при нажатии кнопки на ВПН соединении "Подключить" на секунд 7-8 появляется "Проверка данных для входа" и все — ошибки вышеуказанные. Не знаю… Сейчас наверное Wireshark установлю на ПК, может что видно будет в дампе
28 июня 2017 г. 13:12
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

на сервере. еслит нет ошибок — клиент не может физически подключится к серверу. что-то его блокирует изнутри.

Наловил несколько попыток подключения к ВПН серверу в Wireshark.

Не очень силен конечно в ловле багов по дампам, но может эта инфа чем-то нам поможет?

Итак от Source <IP ПК> до Destination <VPN Server> есть такие пакеты:

1) Протокол — ISAKMP, Info — IKE_SA_INIT MID=00 Initiator Request

2) Протокол — IPv4, Info — Fragmened IP Protocol (proto=UDP 17, off=0, ID=<nnnn> [Reassembled] in #<NNNNN>)

3) Протокол — ISAKMP, INFO — Auth Mid=01 Initiator Reqest

…………….

И так эти 3 строчки все время повторяются по кругу, меняются только видимо номера пакетов, я на их место написал nnnnnn и NNNNN

) Не понятно в общем
28 июня 2017 г. 13:48
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
это лог на стороне клиента? а на сервере что? есть какая активность?
28 июня 2017 г. 13:50
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти
Да это лог от Wireshark на проблемном ПК. А на сервере Wireshark не запускал, пока и не ставил его туда.
28 июня 2017 г. 14:00
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы

© 2017 Microsoft. Все права защищены.
Управление профилем
|
Свяжитесь с нами
|
Подписка на новости
|
Условия использования
|
Товарные знаки
|
Конфиденциальность

[/code]

 

на 2008 не попробовал — в 2012 сервере работает но надо на роутере udp 500 4500 5500 tcp 1723 443 тоже проброс делать. Это ipsec ikev2 руководство по настройке .

http://exonix.ru/#!%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8/Windows_Server/VPN_L2TP_IKEv2/http://exonix.ru/#!%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8/Windows_Server/VPN_L2TP_IKEv2/

добавляю статью сюда одну !!! но это не она, а похожая, в оригинале был 2003 сервер!

 

***
 
 
 
 

Туннельный синдром: настройка PPTP-сервера в Windows Server 2008

12 мин на чтение
0
0
13524
 
 
 
 
Виртуальные частные сети снискали заслуженную популярность. Это надежное и безопасное средство, предназначенное для организации межсайтовой сетевой инфраструктуры и подключений удаленного доступа. В последние годы среди существующих VPN-протоколов особое место занимает PPTP. Решения на его базе распространены, легко внедряются и обеспечивают уровень защиты, достаточный для большинства компаний.
 

Почему именно PPTP?

Туннельный протокол PPTP позволяет зашифровать мультипротокольный трафик, а затем инкапсулировать (упаковать) его в IP-заголовок, который будет отправлен по локальной или глобальной сети. PPTP использует:
 
  • TCP-подключение для управления туннелем;
  • модифицированную версию GRE (общая инкапсуляция маршрутов) для инкапсулирования PPP-фреймов туннелированных данных.
Полезная нагрузка передаваемых пакетов может быть зашифрована (с помощью протокола шифрования данных MPPE), сжата (используя алгоритм MPPC) или зашифрована и сжата. PPTP легок в развертывании, не требует инфраструктуры сертификатов и совместим с подавляющим большинством NAT-устройств. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент. Также клиенты для подключения по PPTP есть в Linux, xBSD и Mac OS X. Провайдеры знают об этих преимуществах, и именно поэтому для организации подключения к интернету часто используют PPTP, даже несмотря на то, что изначально у него защищенность ниже, чем у L2TP, IPSec и SSTP (PPTP чувствителен к словарным атакам, кроме того, VPN-подключение, основанное на протоколе PPTP, обеспечивает конфиденциальность, но не целостность передаваемых данных, так как отсутствуют проверки, что данные не были изменены при пересылке). Стоит отметить: в больших сетях PPTP предпочтительнее PPPoE. Ведь при использовании последнего поиск сервера производится путем рассылки широковещательных пакетов, которые могут потеряться на свичах, да и сеть такие пакеты "наводняют" весьма прилично.
 

Аутентификация и шифрование

В Vista и Win2k8 список опознавательных протоколов PPP заметно сокращен. Исключены SPAP, EAP-MD5-CHAP и MS-CHAP, которые давно признаны небезопасными (в них используются алгоритмы хеширования MD4 и шифрования DES). Список доступных протоколов теперь выглядит так: PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия пользовательских сертификатов или смарт-карт). Настоятельно рекомендуется использовать MSCHAP-v2, поскольку он надежнее и обеспечивает взаимную аутентификацию клиента и сервера. Также посредством групповой политики предпиши обязательное применение сильных паролей. Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и 128-битные RSA RC4 ключи. В первых версиях Windows из-за ограничений на экспорт военных технологий был доступен только 40-битный ключ и с некоторыми оговорками – 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista, поддерживается исключительно 128-битная длина ключа. Может возникнуть ситуация, что у клиента поддержки такой возможности нет, поэтому для старых версий Windows надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2 без проблем подключится к серверу Win2k8. Чтобы самостоятельно просмотреть список поддерживаемых системой алгоритмов и длин ключей, обратись к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL. В частности, настройки алгоритмов шифрования находятся в ветке Ciphers\RC4. Принудительно активировать нужную опцию можно, создав параметр dword "Enabled" и установив его значение в "ffffffff". Есть и другой способ, который Microsoft не рекомендует, – активировать поддержку 40/56-битных RC4 ключей на сервере Win2k8. Для этого необходимо установить в "1" параметр реестра HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto и перезапустить систему.
 

Настройка сервера PPTP в Win2k8

Типичная конфигурация для работы VPN состоит из контроллера домена, серверов RRAS (Routing and Remote Access) и NPS (Network Policy Server). В процессе настройки этих ролей дополнительно будут активированы сервисы DHCP и DNS. Сервер, которому предстоит выполнять роль VPN, перед установкой роли RRAS должен быть присоединен к домену. В отличие от L2TP и SSTP, сертификаты при работе PPTP не нужны, поэтому сервер сертификатов (Certificate Services) не потребуется. Сетевые устройства, которые будут участвовать в построении VPN (в том числе, ADSL и подобные модемы), должны быть подсоединены и настроены соответствующим образом (Пуск –> Панель управления –> Диспетчер устройств). Для некоторых схем VPN (с использованием NAT и при соединении двух сетей) потребуется, как минимум, два сетевых устройства. Используя мастер установки ролей (Диспетчер сервера –> Роли –> Установить роль), устанавливаем роль "Службы политики сети и доступа" (Network Access Services) и переходим к выбору служб ролей, где отмечаем все компоненты "Службы маршрутизации и удаленного доступа" (Routing and Remote Access Services). Нажимаем "Далее" и в следующем окне подтверждаем настройки щелчком по "Установить". Служба удаленного доступа и маршрутизации установлена, но еще не настроена и не запущена. Для настройки параметров работы переходим в "Диспетчере сервера" во вкладку "Роли –> Службы политики сети и доступа -> Службы маршрутизации и удаленного доступа"; как вариант, можно использовать консоль "Маршрутизация и удаленный доступ", вызываемую из вкладки "Администрирование" меню "Пуск". Отмечаем наш сервер в списке (консоль может быть подключена к нескольким системам) и в контекстном меню щелкаем "Настроить и включить маршрутизацию и удаленный доступ" (Configure and Enable Routing and Remote Access). Если до этого предпринимались попытки настроить службу, то для повторной установки некоторых параметров придется ее остановить, выбрав пункт "Отключить маршрутизацию и удаленный доступ". При этом все настройки будут сброшены. Появившийся мастер установки предложит выбрать типичную конфигурацию сервера, которая наиболее точно соответствует предполагаемым задачам. В меню выбора – пять пунктов, четыре из них предоставляют готовые установки:
  • Удаленный доступ (VPN или модем) – позволяет пользователям подключаться через удаленное (коммутируемое) или безопасное (VPN) подключение;
  • Преобразование сетевых адресов (NAT) – предназначено для подключения к интернету нескольких клиентов через один IP-адрес;
  • Доступ к удаленной сети (VPN) и NAT – является миксом предыдущих пунктов, предоставляет возможность выхода в интернет с одного IP-адреса и удаленного подключения;
  • Безопасное соединение между двумя сетями – подключение одной сети к другой, удаленной.
Следующий шаг для каждого из этих пунктов будет индивидуальным. Например, при настройке SSTP (см. статью "Слоеный VPN") мы выбирали третий сценарий. Для PPTP подойдет любой из предложенных вариантов, хотя рекомендуемым считается пункт "Удаленный доступ", установленный по умолчанию. Если есть затруднения при выборе схемы, выбери пятый пункт "Особая конфигурация", либо по окончании работы мастера продолжи настройку в ручном режиме. Кроме того, можно обратиться к документации, нажав ссылку "Подробнее", расположенную внизу окна. На следующем шаге отмечаем список служб, которые следует включить на сервере. Таких пунктов пять, их названия говорят сами за себя:
  • Доступ к виртуальной частной сети (VPN);
  • Удаленный доступ (через телефонную сеть);
  • Подключение по требованию (для маршрутизации отделений организации);
  • Преобразование сетевых адресов (NAT);
  • Маршрутизация локальной сети.
Собственно, все предустановки, о которых говорилось выше, сводятся к активации этих служб в разной комбинации. В большинстве случаев следует выбрать "Удаленный доступ (VPN или модем)", а затем – "Доступ к виртуальной частной сети (VPN)". Далее просто нужно указать на сетевой интерфейс, который подключен к интернету (отметив его мышкой). Если мастер обнаружит только одно активное соединение, то он закончит работу с предупреждением, что для данного режима требуется еще одна сетевая карта, либо предложит перейти к настройкам в режиме "Особая конфигурация". Флажок "Безопасность с использованием фильтра статических пакетов" рекомендуется оставить взведенным. Такие фильтры пропускают VPN-трафик только с указанного интерфейса, а исключения для разрешенных VPN-портов придется настраивать вручную. При этом можно настраивать статические фильтры и брандмауэр Windows на одном интерфейсе, но не рекомендуется, так как это снизит производительность. На шаге "Назначение IP-адресов" выбери способ получения IP-адреса клиентами при подключении к VPN-серверу: "Автоматически" либо "Из заданного диапазона адресов". Проверка подлинности учетной записи может быть произведена как сервером RRAS, так и любым другим сервером, поддерживающим протокол RADIUS. По умолчанию предлагается первый вариант, но в большой сети с несколькими серверами RRAS лучше использовать RADIUS. На этом работа мастера заканчивается. Нажимаем кнопку "Готово", и появившееся окно сообщает, что необходимо настроить "Агент ретрансляции DHCP". Если RRAS и DHCP-сервер находятся в одном сегменте, и нет проблем с обменом служебных пакетов, тогда Relay agent настраивать необязательно (кстати, на внутреннем интерфейсе он активируется по умолчанию).
 

Настройки в консоли

В окне консоли теперь будет доступно дерево установок. Желательно пройтись по всем пунктам, чтобы разобраться, что где находится. Так, в пункте "Интерфейсы сети" будут показаны все настроенные ранее сетевые интерфейсы. Выбрав в меню пункт "Создать новый интерфейс вызова по требованию", можно добавить подключение к VPN или PPPoE-серверам. Для просмотра списка протоколов, используемых портов и их состояния переходим в "Порты". Кнопка "Настроить" в окне "Свойства" позволяет изменить параметры работы выбранного протокола. Например, по умолчанию количество PPTP-, L2TP- и SSTP-подключений (портов) ограничено 128, а также разрешены все подключения (удаленного доступа и по требованию). В качестве (необязательного) идентификатора сервера используется телефон, введенный в поле "Номер телефона для этого устройства". В пункте "Клиенты удаленного доступа" отображается список подключенных клиентов. Цифра рядом с названием пункта подскажет их количество. При помощи контекстного меню можно проверить состояние клиента и при необходимости его отключить. Два пункта IPv4 и IPv6 позволяют настроить IP-фильтры, статические маршруты, агент DHCP ретрансляции и некоторые другие параметры. Когда все настройки завершены, можно попробовать подключиться клиентом. На этом этапе часто сталкиваются с ошибкой 649: "Пользователь не имеет прав для дозвона". По умолчанию проверка прав доступа пользователя производится средствами Сервера политик сети – NPS. Проверить установки можно, зайдя в "Администрирование -> Управление компьютером –> Служебные программы -> Локальные пользователи и группы". Поэтому при появлении такого сообщения разреши выбранной группе подключаться к серверу политик (подробнее о NPS читай в статье "Сетевой коп").
 

Работа со вкусом

Нельзя не рассказать о еще одной возможности, которая заметно упростит жизнь администраторам — пакет администрирования диспетчера подключений CMAK (Connection Manager Administration Kit). Мастер CMAK создает профиль, который позволит пользователям входить в сеть только с теми свойствами подключения, которые определит для них админ. Это не новинка Win2k8 – CMAK был доступен еще для Win2k и поддерживает клиентов вплоть до Win95. Тем не менее, провайдеры до сих пор снабжают пользователя мудреными инструкциями вместо того, чтобы предоставить ему готовые файлы с настройками. CMAK является компонентом Win2k8, но по умолчанию не инсталлируется. Сам процесс установки при помощи "Диспетчера сервера" стандартен. Выбираем "Компоненты – Добавить компоненты" и в появившемся мастере отмечаем "Пакет администрирования диспетчера подключений". По окончании установки одноименный ярлык появится в меню "Администрирование". При вызове СМАК запустится мастер, который поможет создать профиль диспетчера подключений. На первом шаге выбери ОС, для которой предназначен профиль. Доступны два варианта: Vista и Windows 2000/2003/XP. Основное их отличие состоит в том, что Vista поддерживает SSTP. Далее выбираем "Новый профиль". Есть возможность использовать в качестве шаблона уже имеющийся профиль; последующие шаги предлагают объединить нескольких профилей. Указываем название службы (пользователи его увидят после установки пакета) и имя файла, куда будет сохранен профиль. При создании профиля службы мастер CMAK копирует все входящие в этот профиль файлы в Program Files\CMAK\Profiles. В некоторых сетях при проверке подлинности используется имя области (Realm name), например, в Windows это имя AD домена (user@domain.com). Мастер позволяет задать такое имя области, которое будет автоматически добавлено к логину. И, наконец, добавляем поддержку VPN-подключений. Активируем флажок "Телефонная книга из этого профиля" и затем выбираем "Всегда использовать один VPN-сервер" или "Разрешить пользователю выбирать VPN-сервер перед соединением". Во втором случае требуется заранее подготовить txt-файл со списком серверов (формат файла). На этапе "Создать или изменить" выбираем "Изменить", чтобы появилось окно "Правка VPN". Здесь три вкладки (при активном IPv6 – четыре). В "Общие" отмечаем "Отключить общий доступ к файлам и принтерам" (в большинстве случаев такая функциональность не требуется). В IPv4 указываются адреса основного и дополнительного DNS и WINS серверов. Установкой соответствующих флажков можно указать на использование PPTP-подключения как шлюза по умолчанию и активировать сжатие IP-заголовков. Настройки безопасности производятся в одноименной вкладке. Здесь указываем, обязательно ли использовать шифрование, и отмечаем необходимые методы аутентификации. Список "Стратегия VPN" позволяет указать, какой метод будет использован при подключении к VPN-серверу. Возможно два варианта: только один протокол или перебор протоколов до успешной активации соединения. В контексте статьи нас интересует "Использовать только PPTP" или "Сначала PPTP". Здесь все, закрываем окно и двигаемся дальше. Страница "Добавить телефонную книгу" позволяет задать номера, используемые для подключения к dial-up серверу. При необходимости можно также настроить автоматическое обновление списка номеров. Страница "Настроить записи удаленного доступа к сети", а также окно, появляющееся при нажатии "Изменить", сходны по содержанию с "Создать или изменить". Следующий шаг позволяет модифицировать таблицы маршрутизации на подключившихся клиентах: в большинстве случаев лучше оставить "Не изменять таблицы маршрутизации". Если нужно, указываем параметры прокси для IE. Кроме стандартных установок, мастер позволяет установить действия, которые могут быть выполнены на разных этапах подключения клиента (например, запустить программу). Далее задаем значки для разных ситуаций (окна подключения, телефонной книги и так далее), выбираем файл справки, сведения о поддержке. При необходимости включаем в профиль диспетчер подключений. Это может быть полезно для клиентских систем, на которых установлена ОС, не содержащая диспетчер. Сюда же можно добавить текстовый файл с лицензионным соглашением и дополнительные файлы, которые будут поставляться с профилем. На этом работа мастера окончена – в резюме будет показан путь к установочному файлу. Копируем его в общедоступную папку, чтобы пользователи могли свободно скачать. Теперь юзерам достаточно запустить исполняемый файл и ответить на один-единственный вопрос: сделать это подключение доступным для "Всех пользователей" или "Только мне". После чего значок нового соединения будет добавлен в "Сетевых подключениях", и появится окно регистрации, в котором необходимо ввести свой логин и пароль. Очень удобно!
 

Управление RRAS при помощи Netsh

Некоторыми настройками RRAS-сервера можно управлять при помощи утилиты Netsh (network shell). Добавить тип проверки подлинности учетной записи можно при помощи команды: > Netsh ras add authtype PAP|MD5CHAP|MSCHAPv2|EAP Для ранних версий Windows еще и MSCHAP|SPAP. Режим проверки: > Netsh ras set authmode STANDARD|NODCC|BYPASS Зарегистрировать компьютер как RRAS-сервер в AD: > Netsh ras add registeredserver Добавить расширение PPP: > Netsh ras add link SWC|LCP Расширение SWC обеспечивает программное сжатие, а LCP активирует одноименное расширение протокола PPP. Типы многоканальной связи поддерживаемых PPP: > Netsh ras add multilink MULTI|BACP Свойства учетной записи задаются следующим образом: > Netsh ras set user При помощи "set client" можно просмотреть статистику или отключить клиента. Сохранить и восстановить конфигурацию RRAS при помощи Netsh также просто: > Netsh ras dump > "filename" > Netsh exec "filename" Кроме этого, очень много настроек содержит контекст "ras aaaa". Подробно о Netsh смотри в статье "Командный забег в лагерь Лонгхорна" в февральском номере журнала за 2009 год.
 

INFO

PPTP был разработан еще до создания стандартов IPsec и PKI и в настоящее время является самым популярным VPN-протоколом. Читай о SSTP в статье "Слоеный VPN" (августовский номер Х за 2008 год). Про настройку PoPToP/MPD читай в статье "Виртуальная сеть для Windows клиента" в июльском номере Х за 2007 год.
 

WWW

Протокол PPTP документирован в RFC 2637 — www.ietf.org/rfc/rfc2637.txt. MPPE (Microsoft Point-to-Point Encryption) — www.ietf.org/rfc/rfc3078.txt. MPPC (Microsoft Point-to-Point Compression) — www.ietf.org/rfc/rfc2118.txt.  

Полную версию статьи читай в мартовском номере Хакера! На прилагаемом к журналу диске ты найдешь видеоролик, где показано, как поднять PPTP-сервер на базе Win2k8 и создать профиль подключения пользователя при помощи пакета СМАК.

 
 

Оставить мнение

Check Also

Вычислительная мощь. Какие чипы AMD и Nvidia лучше для расчетов на видеокарте

Этим летом мы запустили серию статей о вычислениях на видеокартах. Подробно разобрали, как…
 
Rambler's Top100
***

я извиняюсь что там может упрощаю хакерам всякие попытки взлома сайта — просто скопировал с половиной опенкарта и его шаблона но статья правильная.

добавлю FreeBSD 11 releng на 10 уже видел описание почему про более новую 12 current не пишу — не пытался на ней все сразу настроить и ipfw virtualbox mpd oss4 — на все это надо пересобирать ядро с настройкой опций а на самой новой версии может не все еще отлажено, если именно такой набор соберется без kernel panic еще nvidia и тогда попробую.
Это намного надежнее чем пытаться на 2016 сервере настроить (на 2016 тоже получается pptp l2tp psk l2tp iis certificate сейчас все работает).


Настраиваем на фряхе ядро. Может быть если только firewall роутер то можно без этого обойтись а если еще и звук настроить и видео то надо. Это рабочая станция со звуком и сервер сразу и 2 виртуалки. Зион 3,8 и 32 памяти минимум. CPU Temperature 58 C 586 Processes 19 Running 7,6/30,7GiB 3,04/4,32 TiB

amd64
-------
$FreeBSD: releng/11.1/sys/amd64/conf/GENERIC 318763 2017-05-24 00:00:55Z jhb $

cpu HAMMER
ident KERN64ALL
...
options IPSEC # IP (v4/v6) security
#options IPSEC_NAT_T
options IPSEC_DEBUG
#options IPSEC_FILTERTUNNEL
#device crypto #turn on - see below
device enc
...
# CPU frequency control
device cpufreq
#device amdtemp # for AMD CPU
device coretemp # for Intel CPU
device smb
device smbus # System management bus
device intpm # Intel power management
device iicbus # I2C bus system
device iicsmb # I2C to SMB bridge
device iicbb # I2C generic bit-banging driver
##device eeemon
...
# syscons is the default console driver, resembling an SCO console
device sc
options SC_PIXEL_MODE # add support for the raster text mode

# vt is the new video console driver
device vt
device vt_vga
device vt_efifb

device agp # support several AGP chipsets
...
# Netmap provides direct access to TX/RX rings on supported NICs
device netmap # netmap(4) support

# The crypto framework is required by IPSEC
device crypto # Required by IPSEC
----------
нужные для VPN строчки в начале и конце файла.
# cp GENERIC KERN64ALL
# mcedit KERN64ALL
# cp KERN64ALL /usr/src/sys/amd64/conf/KERN64ALL
сборка ядра и перезагрузка если не было ошибок
(а если не грузится или все не работает то выбираем при загрузке старое ядро)
# cd /usr/src
# make kernel KERNCONF=KERN64ALL
#awk -f /usr/src/sys/conf/kmod_syms.awk zlib.ko export_syms | xargs -J% objcopy % zlib.ko
#objcopy --strip-debug zlib.ko
--------------------------------------------------------------
>>> Kernel build for KERN64ALL completed on Wed Oct 11 17:04:48 MSK 2017
--------------------------------------------------------------
..
#install -T release -o root -g wheel -m 555 zfs.ko /boot/kernel/
===> zlib (install)
#install -T release -o root -g wheel -m 555 zlib.ko /boot/kernel/
#kldxref /boot/kernel

# ... смотрим все сообщения нет ли ошибок ядро собирается за 7 минут.
# shutdown -r now

если загрузилось - настройка ipsec-tools
# cd /usr/ports/security/ipsec-tools/
# make config
пролистываем вниз и включаем опцию wildcard for pre-shared-key.
это значит в файлике psk.txt можно указать:
* пароль_на_подключение
# chmod 600 psk.txt # не запустится иначе а в логах будет ошибка - wrong permissions защита от подглядывания паролей

на ipsec-tools нужны возможно патчи - не проходит 2-я фаза согласования протоколов, у меня не вся информация,
возможно сейчас патчить не надо, а настроить отключив программное сжатие например - оно точно не работало, и попробовать то же самое подключившись с windows xp с 10-й винды что то не согласуется. Типы шифрования может быть.
смотреть ниже ... сейчас 11 октября 2017 я вижу все уже в портах ..
Ядро на 11 версии патчить не надо .. вроде .. пересобрал но у меня посложнее машинка.
-----

mpd

default:
load pptp_server # так же
load l2tp_server
l2tp_server:
# Define dynamic IP address pool.
set ippool add pool1 192.168.3.200 192.168.3.220
# Create clonable bundle template named B
create bundle template BB
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes 192.168.3.1
# Specify IP address pool for dynamic assigment.
set ipcp ranges 192.168.3.0/24 ippool pool1 # 3.0/24 3.22/32 если 1 адрес
set ipcp dns 8.8.8.8
#set ipcp nbns 192.168.3.1 # wins
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
# set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
# Create clonable link template named L
create link template LL l2tp
# Set bundle template to use
set link action bundle BB
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap eap
set link enable chap-msv2
set link enable chap
# We can use use RADIUS authentication/accounting by including
# another config section with label ‘radius’.
# load radius
set link keep-alive 10 60 # ping -t с рабочей станции на сервер
# We reducing link mtu to avoid GRE packet fragmentation.
set link mtu 1460
# Configure PPTP
set l2tp self 0.0.0.0
# Allow to accept calls
set link enable incoming

/usr/local/etc/racoon/racoon.conf

Перезапускаем mpd и проверяем, что у нас слушается 1701 udp порт. /все как в статье 2014 с tech4u.pro

# netstat -an | grep 1701

Отредактируем стартовый скрипт ipsec.

# ee /etc/rc.d/ipsec

-ipsec_program=»/sbin/setkey»
+ipsec_program=»/usr/local/sbin/setkey»

Добавим политики шифрования.

# ee /etc/ipsec.conf

+flush;
+spdflush;
+spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;
+spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;

Установим mpd5 — vpn сервер.

# pkg install mpd5

конфиг mpd.conf.

startup:
# configure mpd users
set user foo bar admin
set user foo1 bar1
# configure the console
set console self 127.0.0.1 5005
set console open
# configure the web server
set web self 0.0.0.0 5006
set web open
#
# Default configuration is "dialup"
default:
load l2tp_server
l2tp_server:
set ippool add priv_access 10.10.41.2 10.10.41.13 #пул адресов
create bundle template C
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
set ipcp yes vjcomp
set ipcp ranges 10.10.41.0/28 ippool priv_access
set ipcp dns 8.8.8.8
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
create link template N l2tp
set link action bundle C
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set l2tp self ххх.ххх.ххх.ххх # - адрес вашего сервера
set link enable incoming

Добавляем в rc.conf следующие строчки.

#VPN_IPSEC--------------------------
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
racoon_create_dirs="YES"
mpd_enable="YES"

И перезагружаемся.
Второй раз после пересборки ядра не обязательно
kldstat
# kldstat
Id Refs Address Size Name
1 67 0xffffffff80200000 1ec1230 kernel
2 2 0xffffffff820c3000 9f638 linux.ko эмулятор линукса 3 части он нужен для дров nvidia
3 4 0xffffffff82163000 9408 linux_common.ko а firefox уже пишется под FreeBSD
4 2 0xffffffff8216d000 3ea78 ipfw.ko роутер и сетевой экран и еще nat — ниже
5 1 0xffffffff821ac000 2d38 coretemp.ko intel xeon (i3- i7) 486+
6 1 0xffffffff821af000 15220 fuse.ko подключение NTFS с помощью ntfs-3g
7 1 0xffffffff821c5000 e14618 nvidia.ko видюха драйвер от фабрики
8 2 0xffffffff82fda000 14630 libalias.ko для роутера
9 1 0xffffffff82fef000 6348 ipfw_nat.ko транслятор адресов интернета для сети компов
10 1 0xffffffff83219000 41fe linprocfs.ko папка proc от линухи
11 1 0xffffffff8321e000 236e ums.ko мыш в x window devd Gnome3
12 3 0xffffffff83221000 52840 vboxdrv.ko #1 платформа для Virtualbox №2 server 2008 если диск с гостевой в оффлайн
13 2 0xffffffff83274000 2aaf vboxnetflt.ko
14 4 0xffffffff83277000 9b16 netgraph.ko для сети virtualbox и еще и vpn тоже
15 1 0xffffffff83281000 163b ng_ether.ko
16 1 0xffffffff83283000 3fa6 vboxnetadp.ko
17 1 0xffffffff83287000 30b38 linux64.ko
18 1 0xffffffff832b8000 1d83 ng_socket.ko
19 1 0xffffffff832ba000 3252 ng_mppc.ko добавочкм для ipsec vpn
20 1 0xffffffff832be000 2b6 rc4.ko
21 1 0xffffffff832bf000 16d89 smbfs.ko подключение диска с винды или сервера
22 2 0xffffffff832d6000 31d0 libiconv.ko
23 2 0xffffffff832da000 1d8e libmchain.ko
24 2 0xffffffff832dc000 7c936 osscore.ko
25 1 0xffffffff83359000 dff0 oss_envy24ht.ko перекодировка имен файлов и звуковуха редкая на сервер
26 1 0xffffffff83367000 71a0 tmpfs.ko для mpd ipsec

смотрим ядро если чего нет то соответственно ошибка найдена (dmesg подскажет а не перезагрузка по циклу — если такое то fsck -y раза 3 из однопользовательского режима).

service ipsec start
service racoon start
service mpd5 start
# netstat -an | grep 1701
udp4 0 0 *.1701 *.*

на винде прописываем еще маршруты IpEnableRouter route add 192.168.2.0 mask 255.255.255.0 192.168.3.1 metric 4 /p
3.1 конечно сервер vpn, 2.1 -2.256 другая сеть если туда надо лезть. Здесь 2 сети чуть по-проще соединяются.


root@pc1:/usr/src # setkey -DP
0.0.0.0/0[any] 192.168.3.211[1701] udp
in ipsec
esp/transport//require
spid=5 seq=1 pid=4944 scope=global
refcnt=1
192.168.3.211[1701] 0.0.0.0/0[any] udp
out ipsec
esp/transport//require
spid=6 seq=0 pid=4944 scope=global
refcnt=1

подключился клиент — 10-я винда (смотрим лог ошибок а я написал как его включить?)
Не патчил ничего !!! AES 3DES DES — пакет собирал ipsec-tools с включенной опцией wildcard чтобы не заводить пароль
на каждый адрес клиента.
Ядро только из за vpn можно не собирать — можно посмотреть загруженые модули ядра, kldload не надо там автоматом грузятся.

netstat -an | grep 1701
udp4 0 0 192.168.3.211.1701 192.168.3.2.1701
udp4 0 0 *.1701 *.*

------
setkey -D
192.168.3.211 192.168.3.2
esp mode=transport spi=1420428098(0x54aa0342) reqid=0(0x00000000)
E: rijndael-cbc 4cb99f06 2a8211c2 c661692a 66e35077 29545013 51d66d3d c31f9289 ea641a5c
A: hmac-sha1 a357bf90 9a4c878f fef275d5 eb28c358 c3cfb72f
seq=0x00000019 replay=4 flags=0x00000000 state=mature
created: Oct 11 19:04:46 2017 current: Oct 11 19:07:42 2017
diff: 176(s) hard: 3600(s) soft: 2880(s)
last: Oct 11 19:04:47 2017 hard: 0(s) soft: 0(s)
current: 2472(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 25 hard: 0 soft: 0
sadb_seq=1 pid=6042 refcnt=1
192.168.3.2 192.168.3.211
esp mode=transport spi=9565866(0x0091f6aa) reqid=0(0x00000000)
E: rijndael-cbc 3ee5b01d 4c317ddb 399f50b7 b5796744 3568e4b4 11bb836c 3abc35b5 883bc50a
A: hmac-sha1 d29729d2 d0623543 cbed920d faf4ac01 f603d24c
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Oct 11 19:04:46 2017 current: Oct 11 19:07:42 2017
diff: 176(s) hard: 3600(s) soft: 2880(s)
last: Oct 11 19:04:47 2017 hard: 0(s) soft: 0(s)
current: 10739(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 109 hard: 0 soft: 0
sadb_seq=0 pid=6042 refcnt=1
root@pc1:/usr/src # setkey -DP
0.0.0.0/0[any] 192.168.3.211[1701] udp
in ipsec
esp/transport//require
spid=7 seq=1 pid=6047 scope=global
refcnt=2
192.168.3.211[1701] 0.0.0.0/0[any] udp
out ipsec
esp/transport//require
spid=8 seq=0 pid=6047 scope=global
refcnt=2
# ifconfig
...
ng0: flags=88d1 metric 0 mtu 1400
inet 192.168.3.0 --> 192.168.3.55 netmask 0xffffffff
inet6 fe80::225:90ff:fe76:b120%ng0 prefixlen 64 scopeid 0x4
nd6 options=21


исправляем ipfw правила если я запутал tun0 ng0.
настройка еще раз

rc.conf
---------
#VPN_IPSEC--------------------------
ipsec_enable="YES"
#ipsec_file="/etc/ipsec.conf"
ipsec_program="/usr/local/sbin/setkey"
ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot
racoon_enable="YES"
racoon_create_dirs="YES"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"
mpd_enable="YES"
--------------------
# cd /usr/ports/security/ipsec-tools/
# make config
пролистываем вниз и включаем опцию wildcard for pre-shared-key.
это значит в файлике psk.txt можно указать:
* пароль_на_подключение
----------------------

# ee /etc/rc.d/ipsec

-ipsec_program="/sbin/setkey"
+ipsec_program="/usr/local/sbin/setkey"

---------------------

# ee /etc/ipsec.conf

+flush;
+spdflush;
+spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;
+spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;

берет из rc.conf
...
ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot
... setkey.conf: трафик шифруется только с адреса локалки (если сервер шлюз то правильно выше)

flush;
spdflush; spdadd 0.0.0.0/0[any] 192.168.3.211[1701] udp -P in ipsec esp/transport//require;
spdadd 192.168.3.211[1701] 0.0.0.0/0[any] udp -P out ipsec esp/transport//require;

----------------------------------------------------------------------- ili /usr/local/etc i edit rc.conf
/usr/local/etc/racoon/racoon.conf
---------------
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
# racoon will look for certificate file in the directory,
# if the certificate/certificate request payload is received.
log debug;
# "padding" defines some padding parameters. You should not touch these.
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
# if no listen directive is specified, racoon will listen on all
# available interface addresses.
}
listen
{
isakmp 192.168.3.211 [500]; # Адрес вашего сервера
isakmp_natt 192.168.3.211 [4500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
#strict_address;
}
# Specify various default timers.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode main, aggressive;
# doi ipsec_doi;
situation identity_only;
#certificate_type x509 "my.cert.pem" "my.key.pem";
lifetime time 24 hour;
nonce_size 16;
#passive on;
initial_contact on;
proposal_check obey; # obey, strict, or claim
#support_proxy on;
ike_frag on;
nat_traversal on;
dpd_delay 20;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
encryption_algorithm aes, 3des, des;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
pfs_group 2;
}
---------------------------- смотрим на алгоритмы шифрования и если включен лог файл то его
mpd.conf /usr/local/etc/mpd5/ и mpd.secret с паролями dв строчку имя пароль в кавычках
-----

common:
# Enable multilink protocol
set link enable multilink
# Set bundle template to use
set link action bundle B
# Allow peer to authenticate us
set link disable chap pap
set link accept chap pap
set auth authname r2
# Set inifinite redial attempts
set link max-redial 0
set modem var $DialPrefix "DT"
set modem var $Telephone "1-415-555-1212"
set modem script DialPeer

l2tp_server:
# Создаем диапазон присваиваемых IP адрессов.
# Define dynamic IP address pool.
set ippool add pool1 192.168.3.55 192.168.3.75

# Create clonable bundle template named B
create bundle template B
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
# set ipcp yes vjcomp # сжатие tcp заголовков
# Specify IP address pool for dynamic assigment.
set ipcp ranges 192.168.3.0/24 ippool pool1
set ipcp dns 8.8.8.8
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
# set bundle enable compression
set ccp yes mppc
set mppc yes e40
set mppc yes e128
set mppc yes stateless
# Create clonable link template named L
create link template L l2tp
# Set bundle template to use
set link action bundle B
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
# set link no pap chap
set link enable chap
set link keep-alive 10 60
# We reducing link mtu to avoid GRE packet fragmentation
set link mtu 1460
# Configure l2tp
# IP адресс нашего VPN сервера. (Собственно адресс машины с фряхой)
# set l2tp self 192.168.3.211
set l2tp self 0.0.0.0
# Allow to accept calls
set link enable incoming

pptp_server:
# пул адресов
set ippool add pool2 192.168.3.76 192.168.3.86
create bundle template B1
set iface enable proxy-arp
set iface idle 1800
set iface enable tcpmssfix
# указываем mpd-сервер и назначаем для подсети пул
set ipcp ranges 192.168.3.0/24 ippool pool2
# указываем dns провайдера или свой
# Create clonable link template named P
create link template PPTP pptp
# Set bundle template to use
set link action bundle B1
# Multilink adds some overhead, but gives full 1500 MTU.
set link enable multilink
set link yes acfcomp protocomp
set link no pap chap eap
set link enable chap
# We can use use RADIUS authentication/accounting by including
# another config section with label 'radius'.
# load radius
set link keep-alive 10 60
set ipcp dns 8.8.8.8
# если нет WINS, то комментируем
#set ipcp nbns 192.168.1.4
# We reducing link mtu to avoid GRE packet fragmentation.
set link mtu 1460
# принимать PPTP подключения на всех интерфейсах или указываем конкретный
# Configure PPTP
# set pptp self 192.168.3.211
set pptp self 0.0.0.0
set link enable incoming
--------------------
pptp похоже не поднимается (не надо) может ошибка где то или адреса надо разнести в еще одну подсеть?

——————

поиск в google тоннельный синдром (   я не нашел но можно найти статью странице на 40-й) archive.is смотрим через tor
site to site vpn
информацию проверять на ложь бо с этим связаны деньги и гроши великие.

 

Сохранить

Перейти к верхней панели