Printable Version of Topic
Click here to view this topic in its original format
Forums > Глюкодром > VPN в Win Server 2003, помогите настроить


Posted by: Tamnoon on 06-09-2005, 11:11
Сетевики помогите!!!

Пытаюсь настроить VPN на работе. Схема такая:
client - Win XP Pro
server - Win Server 2003 Enterprise
router - Edimax

Я настроил на сервере Routing and Remote Access, создал policy для PPTP соединения - все сделал по инструкнии от Microsoft. На раутере включил PPTP Pass Through, port TCP 1723 натравил на сервер.

Но дозвониться никак не могу. На клиенте получаю ошибки, то 678 то 721.

Сервер в инет выходит через раутер и имеет только один сетевой адаптер.


Чего сделал не так, чего не сделал. Кто сталкивался, выручайте.

Posted by: ego on 06-09-2005, 17:36
погугли



Error 678: There was not answer.

Resolution:
1) you are dialing the wrong number.
2) make sure you have good connection.
3) If using VPN, make sure the port 1723 and IP Protocol 47 (GRE) are opened.

Error 721: Remote PPP peer or computer is not responding. If you have tried many thing other people suggest like rebooting, reloading hardware and re-installing the VPN or dial in connection, you still get the same problem. I will suggest to check the router settings and make sure TCP Port 1723, IP Protocol 47 (GRE) are opened. Also make sure that the router has the PPTP enabled and not firewall block the traffic. On the RAS server, check the DHCP settings.

Posted by: heineken man on 06-09-2005, 18:05
Там где сервер, открыт ли доступ по PPTP из инета?

Posted by: Tamnoon on 06-09-2005, 18:39
Вроде бы открыт. Единственное что я не могу проверить это по-поводу IP Protocol 47 (GRE). Что оно такое я так и не понял. Но 1723 порт открыл для сервера

Posted by: ego on 06-09-2005, 18:59
Установка поддержки PPTP в Windows NT/95/98 не представляет особых сложностей, однако внедрение этой технологии в реальной сети может привести к не вполне очевидным трудностям. Дело в том, что некоторые брандмауэры (Firewall) и прокси-серверы не приспособлены для передачи трафика PPTP. Причиной этого является специфика реализации протокола, состоящая в том, что для передачи данных PPTP не использует ни TCP, ни UDP, а вместо этого применяется протокол GRE (Generic Router Encapsulation). Этот IP-протокол имеет номер 47 и используется в Интернете для организации взаимодействия между маршрутизаторами. Дополнительно к этому, для управления процессом передачи данных используется порт 1723 протокола TCP. Большинство брандмауэров отфильтровывают пакеты GRE, не пропуская их во внутреннюю сеть Если настройка прохождения пакетов TCP для порта 1723 является задачей тривиальной, то с GRE дело обстоит несколько сложнее, так как многие системы защиты обеспечивают поддержку фильтрации пакетов только на уровне TCP- или UDP-портов. В некоторых случаях для обеспечения прохождения пакетов GRE может возникнуть необходимость полностью отключить проверку номера IP-протокола, что представляет собой достаточно серьезную дыру в защите сети.

А в настройках типа отключать клиента если он не потдерживает безопасное соединение смотрел?

Posted by: ego on 06-09-2005, 19:24
тут есть пару статей проверь все галочки (http://www.smart-soft.ru/?page=tidoc

QUOTE :
Но 1723 порт открыл для сервера
нестыковочка

Posted by: Tamnoon on 07-09-2005, 14:33
Спасибо большое, проверяю.
А по поводу GPE непонятно, если он нужен для VPN, а раутер поддерживает это дело (так по крайней мере сказано в его спецификации), то почему же раутер это дело режет? :(
Дурят нашего брата

Posted by: heineken man on 07-09-2005, 15:16
TAMNOON:
Судя по нику, ты из Израиля. Тогда рискну предположить, что соединение у тебя стандартное израильское - скорее всего ADSL, с ОДНИМ публичным IP адресом. Т.е. тебе приходится не только фильтровать, но и форвардить порты с внешнего интерфейса раутера на сервер, у которого адрес "незаконный". А если ты толком не знаешь, какой порт-протокол форвардить, то раутер и подавно не знает.
На твоем месте, я бы сделал то что называется в таких раутерах DMZ, т.е все - и TCP/UDP, и прочие протоколы что сидят над LAYER 3. При наличии определенной удачи - заработает. :fear2: :w00t:

Posted by: FiL on 07-09-2005, 16:33
Если сервер на работе, то может адрес и не один. Но GRE надо явно разрешить на роутере. Даже если он и умеет такое.

Posted by: retro on 07-09-2005, 22:53
Tamnoon
QUOTE:
На раутере включил PPTP Pass Through, port TCP 1723 натравил на сервер.
Где это?

Posted by: Tamnoon on 12-09-2005, 10:27
Это на раутере. В закладке virtual sever.

Posted by: Tamnoon on 20-09-2005, 18:22
Всем ответившим спасибо. Проблема решена. Таки видно раутер резал GPE. У нас на фирме докупили 2-у линию АДСЛ. Я её напрямую (не через раутер) в сервер воткнул. И сразу заработало :)

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)