Chertenok.ru - все о программировании
Вход  |  Регистрация  |  Поиск 
Праздник
Завтра :

День взятия турецкой крепости Измаил русскими войсками под командованием А.В. Суворова (1790)


Доступ к локальной сети через VPN


Новая тема  Ответить  Печать Предыдущая тема  Следующая тема
Автор Сообщение
User
Гость







СообщениеСр, 11-Мар-2009 9:24    Заголовок сообщения: Доступ к локальной сети через VPN
Цитата

Помогите, пожалуйста, хотя бы понять следующую проблему )) Требуется настроить удаленный доступ к сети предприятия из дома средствами VPN

Имеется локальная сеть с адресами 192.168.2.*/24. Схема сети следующая:

ПОЛЬЗОВАТЕЛИ
|
КОММУТАТОР - МАРШРУТИЗАТОР - ИНТЕРНЕТ
|
СЕРВЕР

В сети установлен сервер Windows 2003 Server, совмещающий в себе функции DHCP и контроллера домена. Маршрутизатор выступает шлюзом и фаерволом

Настраивал по этой статье.

На сервере поднял службу удаленного доступа и маршрутизации RRAS, добавил второй интерфейс с адресом 192.168.1.1 (шлюз для него не указывал). Назначил этому интерфейсу принимать запросы удаленного доступа и выдавать адреса из диапазона 192.168.1.10 - 192.168.1.254. NAT не настраивал (вопрос нужен ли он в моем случае или это только чтобы пользователи в инет через сервер ходить могли?). В результате я могу установить VPN соединение из дома, получаю адрес из указанного диапазона (192.168.1.11). Могу пинговать сервер по адресу 192.168.1.1, могу по этому же адресу зайти на него через удаленный рабочий стол. При этом я не вижу локальную сеть (адреса 192.168.2.ххх не пингуются) и не могу пропинговать второй интерфейс на сервере (192.168.2.1)

Если в свойствах VPN подключения указать использование шлюза локальной сети, то ситуация несколько меняется. Адрес 192.168.2.1 пингуется, но локальная сеть по-прежнему недоступна. И насколько я понял этот путь все равно неверный, потому как в инет я через локальную сеть предприятия ходить не собираюсь и шлюз мне нужен мой прежний

Пока остановился на мнении что нужно прописывать маршруты вручную (нигде не нашел чтобы про это говорилось, у всех все работает по умолчанию). Может быть у кого-то была похожая проблема или кто-нибудь может хотя бы направить мысль в нужном направлении? :)
В начало
Пол:Муж Dave
Модератор


Возраст: 43
Знак зодиака: Лев
Зарегистрирован: 08.08.2002
Сообщения: 1208
Откуда: Yaroslavl
СообщениеСр, 11-Мар-2009 9:46 
Цитата

Цитата:
Могу пинговать сервер по адресу 192.168.1.1, могу по этому же адресу зайти на него через удаленный рабочий стол. При этом я не вижу локальную сеть (адреса 192.168.2.ххх не пингуются) и не могу пропинговать второй интерфейс на сервере (192.168.2.1)

Дык, правильно... ты с сервером в одной подсети находишься, потому и можешь его пинговать.
А другие айпишники находятся в другой подсетке, так что будь любезен табличку маршрутизации дополнить ручками.

_________________
Не убегай от снайпера - умрешь уставшим !
В начало
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
User
Гость







СообщениеСр, 11-Мар-2009 9:51 
Цитата

А вообще для чего требуется эта заморочка с двумя интерфейсами? Почему бы не принимать VPN подключения через 192.168.2.1 и выдавать адреса из этой же подсети?
В начало
User
Гость







СообщениеЧт, 12-Мар-2009 9:09 
Цитата

В общем проведя за проблемой н-часов несколько изменил представление о ней. Маршрутизацию я так понял придется писать вручную, с этим разберусь. В данный момент остановился на следующем пункте. RAS создает какой-то свой внутренний интерфейс, предназначение которого мне не совсем понятно. Когда я запускаю трассировку до адресов из подсети 2.ххх то пакеты идут через этот интерфейс и затыкаются на нем. Фильтры входа и выхода на нем недоступны. Вопрос зачем этот интерфейс, можно ли (и нужно ли) его отключить, как им управлять и почему в таблице маршрутизации он прописан ловить все пакеты идущие в сеть 1.ххх ?
В начало
User
Гость







СообщениеПт, 13-Мар-2009 9:20 
Цитата

Все, разобрался. Пользователи пользуются, маршрутизатор маршрутизирует. Остался нерешенным вопрос, который отчасти осветил Dave. Когда пользователь подключается по ВПН, то у него в таблице маршрутизации отсутствует маршрут в сеть 2.ххх. Его приходится каждый раз добавлять руками, что естественно неприемлимо. Собрал немного информации по инету, выделил несколько способов решения:
  • Снабжать всех пользователей .bat файлом, который запускал бы соединение (если такое возможно) или хотя бы добавлял нужный маршрут после его установки. Самый нехороший вариант, пользователей такие проблемы беспокоить не должны;

  • В Active Directory, в настройках пользователя, на вкладке Входящие Звонки (где разрешается удаленный доступ по VPN) есть Использовать Статическую Маршрутизацию. Некоторые люди на форумах клянутся и божатся, что все делается именно через эту настройку (есть также и мнение что она вообще нужна для другого). Подробно пока не копал, но если она не "для другого", то как раз то что надо. Здесь столкнулся с двумя проблемами:
    • При добавлении статического машрута можно задать Адрес назначения, Маску подсети, Метрику. А где собственно шлюз?.. Какой-то недомаршрут получается, куда отправлять пакеты имеющие такой адрес назначения неясно;
    • Даже при наличии каких-то записей в этой вкладке, в таблице маршрутизации пользователя никаких изменений не наступает. Маршрута в сеть 2.ххх не появляется;
    • На контроллере домена эта вкладка вообще недоступна, я правил ее на ВПН-сервере. Возможно ли что надо все настраивать именно на контроллере, а вкладка недоступна из-за того что где-то в групповых политиках что-то не донастроено для удаленных пользователей? Или же она там недоступна из-за того что на контроллере не поднят RRAS и такого рода настройки там просто не нужны?

  • Настроить в RRAS ретрансляцию DHCP запросов и вместе с адресами выдавать всю попутную информацию, включающую нужные маршруты. Тогда встает вопрос как DHCP сервер будет различать пришел запрос от ВПН пользователя и дать ему адрес из 1.ххх подсети; или же это локальный пользователь и давать ему адрес из подсети 2.ххх? Насколько я понимаю, DHCP этого не умеет, а поднимать на VPN-сервере второй DHCP тоже нельзя ибо двух DHCP в сети быть не должно

Любые рекомендации, дополнения или разъяснения по любому из пунктов более чем приветствуются :)
В начало
User
Гость







СообщениеВт, 17-Мар-2009 15:18 
Цитата

Ппц ))) Отпали все три пункта :) Батничек при удаленном входе не запускается, статические маршруты в настройках юзера все-таки для другого, а DHCP не отдает удаленным клиентам никакой дополнительной информации (только IP-адрес). Попробовал решить проблему через CMAK (Connection Manager Administration Kit), в который можно включить добавление маршрутов при подключении. Но тут выплыла другая проблема - для добавления маршрута необходимо заранее знать индекс интерфейса, к которому тот будет привязан. Где-то читал, что индекс является необязательным атрибутом и при его отсутствии винда добавит маршрут к самому удобному интерфейсу. Попробовал, не прокатило, маршрут не добавляется при попытке подключения выдается "ошибка добавления маршрута". Окружающие агитируют за установку OpenVPN, де там все эти вопросы продуманы и решены. Второй вариант это не долбаться вообще с вынесением VPN-пользователей в отдельную подсеть (так ли уж это критично?). Мозгов эта проблема вынула уже неимоверное количество. Хватит тяму - поставлю OpenVPN, а пока откажусь от этой идеи разделения юзверей на подсети (замечания по этому поводу очень приветствуются).

Всем спасибо за внимание :))))
В начало
Hunter
Энтузиаст




Зарегистрирован: 14.09.2006
Сообщения: 350

СообщениеСр, 18-Мар-2009 10:40 
Цитата

Для начала, советую повнимательней осмотреть железку шлюза на предмет наличия встроенного VPN-сервера. Почти все современные шлюзы это умеют.

Во-вторых, можно прописать глобальные статичные маршруты сервера. Они будут тупо висеть в таблице маршрутизации, независимо от того, есть адрес или нет. Интерфейс для шлюза указывать не обязательно, достаточно IP-адреса. А как это будет выглядеть у удаленного юзера - ХЗ. Если в нстройках VPN-подключения стоит галка "шлюз по умолчанию", то проблем быть не должно.

В-третьих, в w2k3 есть мастер настройки удаленных подключений, который настраивает RAS, VPN, NAT и прочее исходя из выбраной схемы.
В начало
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
User
Гость







СообщениеСр, 18-Мар-2009 22:56 
Цитата

Железка ZyWall-35 - межсетевой экран со многими встроенными фичами включая VPN, но как раз-таки его хотелось бы разгрузить как можно больше. По задумке он должен выполнять роль шлюза и межсетевого экрана, проблему доступа и маршрутизации внутри локальной сети должны решать локальные сервера. ИМХО

Сервер маршрутизирует нормально. Он перебрасывает пакеты из одной подсети в другую без проблем. Опция "использовать удаленный шлюз" не нужна, потому что пользователи должны использовать свой шлюз - от локалки им нужны только ресурсы локальной сети (вариант когда я из дома хочу посмотреть что творится в сети предприятия - у меня свой интернет, свой DNS, у меня все свое - от локалки мне нужен только доступ на сервера и расшаренные ресурсы)

На win 2003 сервере поднят RRAS, на котором все уже настроено. Он принимает VPN подключения, дает адрес пользователю, маршрутизирует пакеты из подсети VPN в локальную подсеть. Вопрос в следующем:

Я подключился по VPN, получил адрес 192.168.1.5. Я вижу всю первую (1.ххх) подсеть потому что нахожусь в ней и по VPN туннелю сплавляю пакеты в нее на VPN-сервер, который потом перебрасывает их другим VPN-клиентам. Но при подключении у меня не появляется упоминаний о подсети 2.ххх (локальная подсеть предприятия) и чтобы кидать пакеты в нее я должен РУКАМИ добавить маршрут себе командой "route add 192.168.2.0 mask 255.255.255.0 192.168.1.1 if 0x20001" - где - 0x20001 это индекс VPN-интерфейса; 192.168.1.1 - это адрес на VPN-сервер принимающего пакеты от VPN-клиентов. Ключевое слово РУКАМИ и именно это надо автоматизировать. Причем учитывая то, что индекс интерфейса величина переменная :)
В начало
Hunter
Энтузиаст




Зарегистрирован: 14.09.2006
Сообщения: 350

СообщениеЧт, 19-Мар-2009 0:33 
Цитата

Цитата:
Я подключился по VPN, получил адрес 192.168.1.5. Я вижу всю первую (1.ххх) подсеть потому что нахожусь в ней и по VPN туннелю сплавляю пакеты в нее на VPN-сервер, который потом перебрасывает их другим VPN-клиентам. Но при подключении у меня не появляется упоминаний о подсети 2.ххх (локальная подсеть предприятия) и чтобы кидать пакеты в нее я должен РУКАМИ добавить маршрут


Что такое маска подсети - объяснить, или сам догадаешься? =) Заставь DHCP сервера выдавать маску 255.255.252.0, тогда 2.ххх тоже будет видна напрямую. Или выдавай IP из диапазона 1.ххх, это уже предлагали.
В начало
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
User
Гость







СообщениеЧт, 19-Мар-2009 9:23 
Цитата

К этому в итоге и пришел :) Зачем только рекомендуют выносить VPN-клиентов в отдельную подсеть и насколько критично если поселить всех в одной подсети? Теперь ведь припрется какой-нибудь умник и расскажет мне что это несекьюрно, негламурно, неправильно и вообще в лучших домах Восточной Европы и Филадельфии так никто не делает )))
В начало
Hunter
Энтузиаст




Зарегистрирован: 14.09.2006
Сообщения: 350

СообщениеЧт, 19-Мар-2009 14:17 
Цитата

Это действительно несекурно и негламурно, потому что весь широковещательный трафик будет ломиться к удаленному юзеру. =)

Обычно требуется секурный удаленный доступ только к одному-двум серверам, у которых есть адреса во второй подсети. А остальное вполне доступно и с серверов, через удаленный рабочий стол. =)
В начало
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Показать сообщения:   
Страница 1 из 1
Перейти:  
Новая тема  Ответить  Печать

Вы можете начинать темы
Вы можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете присоединять файлы в этом форуме
Вы можете скачивать файлы в этом форуме
хостинг от .masterhost 
Rambler's Top100