някакви идеи относно обединяване на мрежи през VPN връзка.
Даденостите са следните: Win2000 server от двете страни с по два NIC-a, ДСЛ връзка към интернет, като само едната страна е със статичен адрес. целта е VPN връзката между двете мрежи да е"прозрачна" за потребителите, все едно е една LAN.
Предполагам това <font color="blue">http://www.onecomputerguy.com/networking.htm</font id="blue"> ще ти помогне
Така както си задал въпроса, подсказва за мързел, ама на това дъждовно време и мен ме е обзел мързел да пиша дълго. Погледнах това което е предложил blaster и мисля, че няма да свърши работа
Моята идея е да прочетеш какво пише в HELP-а на W2000Srv, да направиш каквото пише там и след това да кажеш:
1. Направих това и това ...
2. Получи се това и това ...
След което имаш моето активно съдействие, (ако все още е необходимо)
HELP/Networking/Routing And Remote Access/ Routing/Concepts/Understanding Routing/ Understanding Router-to-Router VPNs
Здравей MitkoS, за мързела улучи десетка
ще се опитам накратко да обясня с какво съм се борил до момента.
значи вдигнах два дайалъп интерфейса на РАС с еднакви имена от двете страни условно наречени отдалечен и главен офис. тъй като статичния ИП е на главния офис, връзката се инициира от отдалечения, като е настроена на перзистант. връзката се получава. тъй като в отдалечения офис няма ИТ персонал изискването беше при рестарт на сървъра връзката да се възстановява автоматично и това работи. къде е проблема: докато отдалечения офис "вижда" безпроблемно главния обратното не се получава или се получава но когато то си иска, няма постоянство и стабилност въпреки че ВПН връзката си е винаги на лице.
Здрасти Pavel5044
Радвам се, че не си се засегнал от предишния ми пост. Отсъствах няколко дни, пък и то не спря да вали.
Следвайки HELP-а, съм правил такова обединяване, но и от двете страни имаше статичен IP. Първо видях, че компютрите от двете мрежи, могат да се пингват един-друг, а после бърникайни по DNS и от двете страни, компютрите станаха видими и по име. (Това второто става много по-лесно, когато си с W2003 Srv) Предлагам, засега да оставим имената на страна и да говорим само за пингове, т.е. сървърите да станат gateway към другата мрежа за компютрите от собствената си мрежа.
С две думи, трябва да имаш:
- различно адресно пространство от двете страни
- по един активен (connected) demand dial interface от всеки от сървърите към другия
- по един static route на всеки от сървърите към този интерфейс (В HELP-а е описано подробно защо това е необходимо). Смисъла на static route горе-долу е това: пакетите до този адрес/адресно пространство, да излизат през този demand dial interface (това скоро го имаше в една друга тема)
Нестабилната връзка която описваш, съм я виждал в случаите когато липсват зададени static routes, т.е. те могат случайно да се появят в момента на установяване на VPN връзките, а могат и да не се появят. (При W2003 Srv тая случайност е почти закономерност) Тука мисля, че е по-правилно да се каже нещо от сорта на коректна/некоректна рутинг таблица, но тая терминология ми е малко по-чужда.
В HELP-a е описано, как чрез игра с имената на demand dial interface и username, втория demand dial interface може да се връзва автоматично, след като първия току що се е свързал.
Въпреки, че говоря за два статични IP от двете страни, мисля, че може и само с едно такова, ако хронологично нещата стават така:
- отдалечения сървър прави VPN ползвайки глобалния статичен IP адрес на главния
- отдалечения сървър винаги получава един и същи адрес от главния
- главния сървър прави обратен VPN към този адрес
Тази материя ми е страшно интересна и при пръв удобен случай, ще проверя това което пиша за случая с едно IP. Това ще стане до края на седмицата. А ти все пак прегледай HELP-а за случая с две IP.
И ако не те мързи, напиши какво се е получило. От това което пишеш втория път, се вижда, че си наясно с нещата.
Въпреки, че ти пиша персонално, мисля че това не е за PM.
Ще се опитам да следвам реда на въпросите на MitkoS и отговарям:
Пингването от отдалечен към главен е безпроблемно, докато обратно става когато си поиска. В повечето случаи дава сл. съобщение "Request timed out". В static routes мисля че нямам грешка: на дайал ъп интерфейса в главния офис съм задал адресното пространство на отдалечения офис и обратното за отдалечения.
Microsoft твърдят че за постоянната ВПН връзка са нужни 2 статични адреса, което аз не мога да си обясня защо. разсъждавам така: единия дайал ъп рутер инициира връзка към рутера със статичен адрес, образува се "тунела", и сега какво пречи на двете мрежи да се виждат през дайал-ъп интерфейсите и вътрешните LAN карти при правилно конфигурирани "static routes"
Не ми е ясно какво иска да каже MitkoS в последния постинг със:
----------------------------------
- отдалечения сървър прави VPN ползвайки глобалния статичен IP адрес на главния
- отдалечения сървър винаги получава един и същи адрес от главния
- главния сървър прави обратен VPN към този адрес
-----------------------------------------------------
по специално втория и третия.
ВСЯКАКВИ КОМЕНТАРИ СА WELCOME!
Като че ли HELP-а е нещо омразно.
(Караш ме сега да ставам преводач на HELP. Разсъжденията ти са логични, но не са верни, просто защото нещата не стоят така)
I. Нека отдалечения сървър да е направил връзка без static route
Тогава трябва да можеш да си пингваш сървърите (но само тях) както си искаш напред-назад.
Ако пинваш от компютър от отдалечената мрежа, до главния сървър, то това са пакети от различни адресни пространства и тръгвайки от отдалечения компютър те отиват до отдалечения сървър (той е gateway за всички "различни" адреси) и ако той е на кеф, може и да ги прехвърли през връзката, по-точно - нищо не гарантира че ще бъдат прехвърлени.
II. Нека отдалечения сървър да е направил връзка със static route от неговата страна.
От който и да е компютър от отдалечената мрежа, можеш да пингваш главния сървър и само него - това се гарантира от същия този static route.
Ако пинваш от компютър от отдалечената мрежа, до компютър от главната мрежа (но не главния сървър), то пакетите тръгвайки от отдалечения компютър може и да стигнат до компютъра от главната мрежа, но няма как да се върнат. По-точно нищо не гарантира че ще се върнат (защото все пак са от различни адресни пространства).
III. Нека отдалечения сървър да е направил връзка със static route от неговата страна. Нека в същото време и главния сървър да е направил връзка (самостоятелна, отделна) със static route от неговата страна.
НАКРАТКО:Ако пинваш от компютър от отдалечената мрежа, до компютър от главната мрежа, то пакетите тръгвайки от отдалечения компютър, минават през отдалечения сървър по неговата връзка, стигат до главния сървър, а от него стигат до компютъра от главната мрежа, той отговаря, като обратния пакет тръгва от него, стига до главния сървър, там вече отиват до отдалечения сървър по втората връзка и оттам до първоначалния.
<u>Всичките тия движения на пакетите между всеки две вътрешни съседни точки по маршрута СА ГАРАНТИРАНИ от съответните връзки и съответните static route</u>. Ако не е ясно защо са гарантирани, може с молив и хартия да се "разпише като адреси, нарисува и провери".
IV. Какво казва Microsoft в HELP-a ? (кратка интерпретация)
1. За да си гарантирате доставката на пакетите, независимо дали са отиващи или връщащи се, трябва да имате:
- по един глобален IP на сървърите
- по една установена връзка от всеки от сървърите към другия чрез глобалните IP
- по един static route на всеки от сървърите
(Ако все още не е ясно защо, то виж проклетия HELP или "превода" в I., II. и III.)
2. Относно инициирането на връзките
- ако в единия сървър се появи пакет от неговата мрежа до другата мрежа, то static route гарантира, че ако има връзка ще го прехвърли, а ако няма ще опита да направи и да го прехвърли
- чрез правилно зададени имена на връзките между сървърите и акаунтите към тези връзки, то може в момента когато едната връка се установи, то обратната да бъде направена автоматично (с което се гарантира връщане на пакетите от компютри зад сървъра)
V. Какво добавям към HELP-а
1. Може би може и да стане само с един IP по следния начин:
- отдалечения сървър прави връзка ползвайки глобалния статичен IP адрес на главния
- отдалечения сървър винаги получава един и същи адрес от главния за тази връзка - това може да стане - ако не е ясно как, то в отделен пост
- главния сървър прави обратната връзка към този адрес
Няма да пиша повече по тая тема, докато не получа уверения че HELP-а е прегледан.
И за да не изглежда много намръщено, аз също не обичам да чета и не съм чел HELP-а открай-докрай, така че това в V., може и да го пише там някъде или пък случая с един IP, да е разгледан и описан в отделен глава.
--------------------------------------------------------------
ДОБАВЕНО
Днес ми се удаде възможност да проверя на практика, това което съм писал до момента по темата и искам да се коригирам:
1. Като цяло, нещата са по-прости от начина по-който съм ги описал. Случая с едно IP е разгледан и документиран в Help. Това което предлагам в V. е напълно излишно - направо са си глупости
2. Има някои несъществени неточности в I. II. и III.
3. Обратната връзка е фиктивна - реално тя не се създава по класическия начин, а само автоматично се отбелязва в другия сървър, че я има (в нашия случай с едно IP, това е главния сървър). За целта трябва да го има съответсвието между имената на връзките и акаунтите към тях.
<u>Затова, когато се създава demand dial interface в RAS на главния сървър, може да се напише каквото и да е за адрес на отдалечения сървър, тъй като този demand dial interface служи само за автоматичното отбелязване на обратната връзка. Важно е да го има съответствието на имената. Разликата при две IP е единствено в това, че и двете страни могат да проявяват инициатива в началото.</u>
4. При мен резултата от днешния екперимент с едно IP, беше такъв:
От който и да е компютър от която и да е мрежа, можех да направя пинг до който и да компютър от другата мрежа.
тъй ката ми писна да се боря с постоянната ВИПИЕН връзка и не ми се даваха още 36лв на БТК за постоянен АЙПИ адрес, реших въпроса по следния начин: регистрирах се в DynDNS.org сложих на компа с непостоянен адрес програмка която свалих от предния сайт, и сега вместо IP адрес имам ХОСТ. А е рекла БТК да промени АЙПИТО ХОСТА ми веднага се пренасочва към новоя адрес. Така че сега ако ми трябва връзка с отдалечения комп правя връзката чрез VPN клиент. При конфигурацията му вместо IP адрес пиша името на хоста и винаги имам връзка. Ако не съм много ясен простено ми е часът е 1.00
Момчета извинявайте за тъпия въпрос, ама при това решение до което стигнахте, мислилили сте дали VPN канала е достатъчно защитен? В този случай на решение ми се струва, че сигурността е много ниска, щото от дискусията не разбрах въобще кой вариант на криптиране е избран. Има вариант връзката да е изградена с протокол, който не е криптиран и тогава .... лошо, "врагът" дебне! Microsoft предлагат в сървърите си възможност за VPN без криптиране и тогава нещата стават критични, какво ше кажете по това, просто ми стана интересно, с това пестене на кини?
Новини
Форум
Актуално
сървър
Отговор с цитат