VPN site to site connect (Join two or more LAN without Cisco router, only 2 servers windows 2008 or 2012 and internet connection) 2017 august. // добавляю FreeBSD 11 MPD L2TP PSK ipsec-tools +options kernel 11 //

связанная статья проверка ipfw https://yahobby.ru/wordpress/freebsd-router-kernel-nat-ipfw-gre-vpn-server-ok-working/

Что то в интернете полно информации но большинство ложная.

А задача очень часто такая стоит – 2 офиса одна фирма или магазин и склад, а то сотрудники из дома работают и таких точек 3.

Настраиваем локальные сети с разными адресами. (офис 192.168.3.0 .. 1-254 магазин
192.168.1.0 1-254).
Устанавливаем Windows Server 2008 R2 и там и там на комп с интернетом – он же раздает на все остальные интернет, соответственно настраивается на обоих
Routing Remote Access Vpn PPTP server.
DHCP server
сертификатов не надо на Microsoft есть подробная статья по англ. там больше половины ее про сертификаты, но они нужны только для L2TP.

!!! Самая большая ошибка почему не работает – оба сервера должны быть одинаковые, 2008-2003 не свяжется, 2012-2008 то же – только что проверял,
соединение – тоннель VPN устанавливается на уровне service то есть серверной программы службы, и если не работает то скорее дело не в настройках а в версии
сервера и драйверов И обновлений – они должны быть одинаковые!

Не буду рисовать красивые картинки не презентация.

А важен сам принцип. Два одновременных тоннеля. Один сервер открывает соединение на второй а второй на первый, это отслеживается службами и они
входят в режим синхронизации как бы.
И правильно прописать маршруты, пример для сети выше –
0.0.0.0 mask 0.0.0.0 metric 300 interface inet – сервер переводит все не перехваченые пакеты в Интернет (Default gateway)

в DHCP на первой стороне (локалка 1)
параметры области –
раздаем адреса 192.168.3.2 – 192.168.3.254 (192.168.3.1 сервер)
Default gateway 192.168.3.1
Бесклассовый статический маршрут 192.168.1.0 255.255.255.0 192.168.3.1
(это соответственно на всех компах в первой сети оказывается)
Проверяем что порт DHCP слушает локалку а не интернетовский адаптер (свойства-
привязки ) а то результат непредсказуемый до отключения интернета провайдером.
Соответственно для интернет подключения не пожалеть отдельного Ethernet порта на сервере или 2-й сетевой платы. Можно и через один настроить но глюков будет немеряно.

На второй стороне соответственно 192.168.1.2 – 192.168.1.254 (192.168.1.1 сервер)
Бесклассовый статический маршрут 192.168.3.0 255.255.255.0 192.168.1.1 …

В консоле RRAS настраиваем стандартно доступ в интернет через мастера
(configure enable RRAS)

Выбираем VPN + NAT (есть и следующий пункт secure connection two private network но он по стандартному описанию и там нужен только перевод с английского и сертификаты мы пойдем по тому же пути но чуть чуть проще и если бы все работало то так бы и делали)

После настройки – мастер спрашивает какой адаптер для интернета а какой для локалки и предупреждает настроить проброс портов в разделе Network Address Translation и DHCP для удаленных клиентов – надо в свойствах IPv4 – DHCP
Retranslator поставить адрес сервера .. 1.1 или ..3.1 но работает и без этого –
в основных настройках достаточно правильно выбрать адаптер для всех сетевых служб локалки, и он обычно правильно определяется, не интернетовский а который в локальную сеть смотрит. (Основные свойства сервера RRAS – Общие – ipv4 маршрутизатор и локальной сети и вызова по требованию и еще сервер удаленного доступа ниже галочки обе установлены а третью ipv6 не очень надо пока). Третья
вкладка IPv4 широковещание включить и выбрать адаптер локальной сети а не интернет. Безопасность – не надо включать – подключаться без пароля – и – незашифрованый пароль – перехватить пароли по сети запросто включив тот же сетевой монитор от microsoft.

Дальше – основная настройка – интерфейсы – по правой кнопке – создать новый интерфейс вызова по требованию – запускается мастер.
На двух серверах одинаково, указывается ip другого сервера в интернете, обратные звонки не обязательно но в них создается пользователь у которого есть доступ на первый сервер со второго и наоборот, этого же пользователя можно
создать и из обычной консоли пользователей, сделать ему пароль посложнее и доступ к удаленным подключениям. Так лучше почему то , а настройку обратных звонков то есть соединений можно пропустить оставив пустое поле. Конечно с
первого сервера имя пользователя и пароль на втором а со второго наоборот на первом. Вместо IP особенно если он динамический можно указать hostname сделав его например на dyddns.dk или no-ip.info. Если внешнего IP нет то его придется купить у провайдера или попросить сделать, поэтому с мобильными скорее всего вариант не пройдет, и с ведомственной сетью тоже сложно.

Проверяем (перезагрузка обоих серверов нужна) – соединение с одного на другой устанавливается и со второго на первый тоже – слегка дольше – так и должно быть,
сетевые службы чуть задумываются (с 2003 сервера x64 может работать исходники microsoft не смотрел они были в открытом доступе но не все и примерно для 2000 sp1 сервера.. я считаю что в службе роутера эта конфигурация запрограммирована и отслеживается – оба сервера должны быть одной версии) и с одного сервера пингуется другой по внутреннему интерфейсу.
Ошибка – из сети компьютеры другой сети пингуются а сервер нет!
Причина – включился брандмауэр на сервере он на 2012 сервере сам включается.
Отключаем во всех 3 профилях публичном частном и доменном. И надо похвалить программистов что так сделали а не говорить матерных слов – совсем недавно сервер 2000 -й без firewall и обновлений ну никак нельзя было даже в локальную сеть соединять – там начинает шевелиться мыш открывается само собой куча окошек говорит что то по китайски рассылает мильон писем спама и показывает наконец синий экран – взломали все!

для отладки – в консоле mmc Routing Remote Access Server есть список подсоединенных клиентов – по записи можно щелкнуть и посмотреть какой выделен адрес.
И еще опять же брандмауэр firewall не должен мешать 1723 порт достаточно открыть. И протокол GRE это больше относится к интернет провайдеру и к настройкам модемов ADSL, если упорно не работает надо просить помощи у провайдера, поменяют свои настройки или откроют нужные порты если они закрыты.
Дальше – в маршруты добавляются на сервере RRAS ipv4 static route
0.0.0.0 0.0.0.0 interface lan 192.168.3.1 metric 200
(.. 1.1 для второго сервера – это шлюз для интернета.
192.168.1.0 255.255.255.0 interface соединение1 (на другой сервер) там выбор из списка перепутать сложно metric 3
второй сервер ..3.0 connection2 (на 1 сервер) metric 3.
зтот маршрут перехватит все пакеты с одной сети на другую и они уйдут в vpn tunnel через роутеры.
А остальные пакеты из локальной сети убегут в интернет и ответ прибежит через NAT.

Реально такая конфигурация – выглядит как 2 тоннеля навстречу
как метро например. В локальных сетях может быть по 200 компьютеров. Скорость большая, если связь хорошая она ничем не ограничивается. isa server не нужен. cisco то же. (я признаю что с них и взято по видимому). Если компьютеров мало то на серверах запускается – по кругу зациклить можно если bat файл команд – команда ping на адрес другого сервера и окно командной строки можно свернуть. И в автозагрузку его. Если кто не знает то на серверах админ может автоматом зайти в систему – набрать надо control userpasswords2 и снять галку требовать пароль. На безопасность это не влияет по сети пароль спрашивается, сохраняется в реестре .. открытым текстом.
ping -t 192.168.0.1 (с того который .3.1).

 

update обновление !

(положите статью на форум общие вопросы по безопасности по русски Microsoft – кое что полезно не только хакеру а и сис админу инженеру по безопасности)

Заработало вроде  Server 2012 R2 <> Server 2008 R2

На стороне сервера 2008 при настройке статических маршрутов – уменьшаем метрику для исходящего интерфейса 4 .. 3 ..2 не надо с 3 работает – может быть маршрутизатор настроен в 2 службах – еще и в стандартном  tcp-ip в настройках реестра можно указать IPEnableRouter =1 оба роутера могут вместе работать но будут глюки. И на 2012 сервере Обязательно ! разные имена пользователей для входящего и исходящего соединения и Английскими буквами и цифры можно только без пробела (иначе мастер настройки выдаст только ошибку).
// windows xp – server 2016 ..Services/tcpip/Parameters
IPEnableRouter
ForwardBroadcasts
EnableICMPRedirect
на рабочих станциях ! тоже ставим все в 1 на тех где сразу не заработало
Как переводится с английского ping – представляем мячик теннисный он с одной ракетки летит – через трубу – тоннель в интернете – и отбивается другой
ракеткой обратно.
Если на какой то системе Windows не работает Shutdown застрелить сразу не надо .. по такой настройке DHCP выше если внимательно прочитали то и так работает и этого делать не обязательно,
это совсем другая служба -сервис ..
DWORD=1 //
если в сети есть сервер не настраиваемый DHCP то на нем надо маршрут прописать
route add 192.168.3.0 mask 255.255.255.0 192.168.0.1 metric 3 /
p
192.168.0.1 шлюз и сервер vpn (для 1 сети) + IPEnableRouter=1.

Открываем компьютеры в сети по названию имени а не по ip адресу – не надо настраивать dns ни к чему, просто редактируем

etc/hosts

(ну да с юникса взято на виндоуз) на 64-битных системах

explorer проводник windows и notepad блокнот открываем нажатием win+r , а 32-bit программы не имеют доступ в папку system32 – только syswow64 и реестр у них свой Wow6432Node

( unix-like /etc/hosts )

%WINDIR%/System32/Drivers/etc

hosts

</p>
<p>192.168.3.1 server1</p>
<p>192.168.1.1 server2</p>
<p>192.168.1.161 sklad</p>
<p>192.168.3.7 boss</p>
<p>...</p>
<p>

маршруты все таки добавляю и правила firewall на фряхе FreeBSD router говорят сложное самое ну извиняюсь если и сам с первого раза ниасилил – поправьте если что – root@ или comment только оставляйте email.

<br>root@pc1:~# route show 0.0.0.0<br>route to: default<br>destination: default<br>mask: default<br>gateway: host-xx.qwerty.ru<br>fib: 0<br>interface: igb1<br>flags: &lt;UP,GATEWAY,DONE,STATIC&gt;<br>recvpipe sendpipe ssthresh rtt,msec mtu weight expire<br>0 0 0 0 1500 1 0<br>root@pc1:~# route show 192.168.40.0<br>route to: 192.168.40.0<br>destination: 192.168.40.0<br>mask: 255.255.255.0<br>gateway: srv01<br>fib: 0<br>interface: igb0<br>flags: &lt;UP,GATEWAY,DONE,STATIC&gt;<br>recvpipe sendpipe ssthresh rtt,msec mtu weight expire<br>0 0 0 0 1500 1 0<br>192.168.0.0 -//- the same<br>#route add 192.168.0.0 192.168.3.2<br># vpn pptp сервера в локальной сети - чуть им хвосты не поотрывал =<br># не работает и все - если они не раздают интернет убрать с вкладки nat<br># ipv4 все интерфейсы кроме внутреннего<br># when pptp vpn server not used for Internet NAT address translation -<br># remove all interfaces from router-vpn MMC console, except Internal</p>
<p>#server FreeBSD (router ) two LAN igb0 192.168.3.211 + Internet igb1<br>root@pc1:~# ipfw show<br>00100 30 1492 allow tcp from any to me dst-port 1723 in via igb1<br>00200 12792816 9652646519 nat 123 ip from any to me recv igb1 in<br>00300 3259143 1651478424 allow ip from any to any in<br>00400 406886 28503644 nat 123 gre from 192.168.3.0/24 to any xmit igb1 out<br>00500 2388000 1043444441 nat 123 ip from 192.168.3.0/24 to any xmit igb1 out<br>00600 435329 42213191 allow gre from any to any<br>00700 3744758 3998105291 allow ip from any to any via igb0<br>00800 255905 432263844 allow ip from any to any via lo0<br>00900 277538 15542994 allow icmp from any to any<br>01000 0 0 allow ipv6-icmp from any to any<br>01100 4963664 3318182784 allow ip from any to any<br>65535 151 12190 deny ip from any to any<br>root@pc1:~#<br>ipv6 ping6 ne nastroen<br># server 192.168.3.2 (vpn pptp server Windows 2012)<br>===========================================================================<br>Список интерфейсов<br>32...........................srv01m<br>31...........................RAS (Dial In) Interface<br>13...54 04 a6 db d6 d6 ......Сетевое подключение Intel(R) 82574L Gigabit #2<br>12...54 04 a6 db d6 d7 ......Сетевое подключение Intel(R) 82574L Gigabit<br>1...........................Software Loopback Interface 1<br>14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP<br>15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface<br>16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2<br>17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3<br>===========================================================================</p>
<p>IPv4 таблица маршрута inet1=address ip static from Store1<br>0.11, 3.12 - Internal vpn routers interfaces<br>(route add) 192.168.0.0 (mask ) 255.255.0.0 192.168.3.2 (metric ) 35 (/p ) //save into Windows Registry Do not forget set parameter in Tcp-ip Service (system/current.. services/tcpip/parameters) IPEnableRouter=1<br>192.168.40.0 255.255.255.0 192.168.3.2 35<br>for LAN connection interface - in Route/RAS/VPN console - 192.168.0.0 255.255.0.0 interface lan (3.0 ) metric 60 gateway 3.2 ; 192.168.40.0 255.255.255.0 interface lan (3.0 ) metric 60 gateway 3.2<br>default gateway 0.0.0.0 mask 0.0.0.0 metric 260</p>
<p>For Interface remote router:<br>192.168.0.0 255.255.0.0 metric 15 gateway 3.2<br>192.168.40.0 255.255.255.0 metric 15 gateway 192.168.3.2<br>===========================================================================<br>Активные маршруты:<br>Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика<br>0.0.0.0 0.0.0.0 192.168.3.211 192.168.3.2 266<br>inet1 255.255.255.255 192.168.3.211 192.168.3.2 11<br>127.0.0.0 255.0.0.0 On-link 127.0.0.1 306<br>127.0.0.1 255.255.255.255 On-link 127.0.0.1 306<br>127.255.255.255 255.255.255.255 On-link 127.0.0.1 306<br>192.168.0.0 255.255.0.0 On-link 192.168.3.2 45<br>192.168.0.0 255.255.255.0 On-link 192.168.0.11 25<br>192.168.0.11 255.255.255.255 On-link 192.168.0.11 266<br>192.168.0.12 255.255.255.255 On-link 192.168.0.11 11<br>192.168.0.255 255.255.255.255 On-link 192.168.0.11 266<br>192.168.3.0 255.255.255.0 On-link 192.168.3.2 266<br>192.168.3.2 255.255.255.255 On-link 192.168.3.2 266<br>192.168.3.11 255.255.255.255 192.168.3.11 192.168.3.12 31<br>192.168.3.12 255.255.255.255 On-link 192.168.3.12 286<br>192.168.3.255 255.255.255.255 On-link 192.168.3.2 266<br>192.168.40.0 255.255.255.0 On-link 192.168.0.11 40<br>192.168.40.255 255.255.255.255 On-link 192.168.0.11 266<br>192.168.255.255 255.255.255.255 On-link 192.168.3.2 266<br>224.0.0.0 240.0.0.0 On-link 127.0.0.1 306<br>224.0.0.0 240.0.0.0 On-link 192.168.3.2 266<br>224.0.0.0 240.0.0.0 On-link 192.168.3.12 286<br>224.0.0.0 240.0.0.0 On-link 192.168.0.11 266<br>255.255.255.255 255.255.255.255 On-link 127.0.0.1 306<br>255.255.255.255 255.255.255.255 On-link 192.168.3.2 266<br>255.255.255.255 255.255.255.255 On-link 192.168.3.12 286<br>255.255.255.255 255.255.255.255 On-link 192.168.0.11 266<br>===========================================================================<br>Постоянные маршруты:<br>Сетевой адрес Маска Адрес шлюза Метрика<br>0.0.0.0 0.0.0.0 192.168.3.211 350<br>192.168.0.0 255.255.0.0 192.168.3.2 35<br>192.168.40.0 255.255.255.0 192.168.3.2 35<br>===========================================================================</p>
<p>IPv6 таблица маршрута //standard - no-ipv6 configure - fc00:1::4-mac-digit<br>or mac (3) -fe ff -mac (3)<br>===========================================================================<br>Активные маршруты:<br>Метрика Сетевой адрес Шлюз<br>1 306 ::1/128 On-link<br>15 306 2001::/32 On-link<br>15 306 2001:0:9d38:6ab8:3851:3c2:3f57:fcfd/128<br>On-link<br>31 306 ee49:5002::/64 On-link<br>31 306 ee49:5002::/128 On-link<br>31 306 ee49:5002::1c26:a74:68b0:2eec/128<br>On-link<br>13 266 fe80::/64 On-link<br>31 306 fe80::/64 On-link<br>15 306 fe80::/64 On-link<br>13 266 fe80::999:743a:a402:b62/128<br>On-link<br>31 306 fe80::1c26:a74:68b0:2eec/128<br>On-link<br>15 306 fe80::3851:3c2:3f57:fcfd/128<br>On-link<br>1 306 ff00::/8 On-link<br>13 266 ff00::/8 On-link<br>15 306 ff00::/8 On-link<br>31 306 ff00::/8 On-link<br>===========================================================================<br>Постоянные маршруты:<br>Отсутствует</p>
<p>2 других сервера в подразделениях точно так же</p>
<p>

не туда стрельнул – в gnome после нажатия shift prtscr надо мышой выделить прямоугольник a лучше imagick делает screenshot здесь был файлик сохраняющий 3 снимка за секунду скрипт bourne shell.

ну да связь на 3 подразделение идет через подключение второго – srv01m
(это не обязательно – так чуть больше ping но меньше соединений устанавливается)

треугольник если тоже работает (2012 2016 сервер, на 2016 – сделали обновление – может исправлять мелкие повреждения в реестре RemoteAccess ).

смотрим еще статью по фряхе ipfw kernel router – как показывает практика он надежнее НО если не будет случайный сбой питания да и с виндой связь – нужны сторонние для FreeBSD программы. // mpd можно поставить руководств полно как работает не проверял

• тут электрики устроили проверку –  выключался свет часто за минуту раза 4 и потом 2 часа не было света. На винде сервер может и запустил проверку диска- скорее откат последних изменений по ntfs, и загрузился потом нормально, на плате включен запуск в последнее состояние при включении питания. ( на всех новых bios  есть включение по таймеру – может не работать! и проверка включена или выключена была плата перед отключением питания – функции ATX). Сервер на фряхе тоже сказал что все нормально журнал включен и последние изменения исправлены, а потом при загрузке стал перегружаться по кругу – какая то из служб ядра давала сбой из-за ошибки диска. Исправилось входом в однопользовательский режим single user mode и fsck -y 2 раза, после чего не загрузился Gnome 3 пришлось переставить gdm из пакетов. На диске были значит более серьезные повреждения, и на восстановление ушло 4 часа -диск большой. … продолжение заменил его вообще 1600 переносов секторов внезапно чуть не проглядел вроде wd шка не сигейт – ssd уже надежнее не дохнут как мухи можно менять.

по серверу проверки разрешений для удаленного доступа nps (ias) в 2012 сервере в 2016 npas.
Работает! пишу по памяти не проверяя все – Если вдруг на роутере перестали подключаться клиенты то дело в нем а точнее в ошибках настройки которые непонятно откуда возникают. Починилось – пришлось поставить запуск SQL а точнее MICROSOFT##WID от LocalSystem.
потом удалить и переставить заново NPS, заново настроить исходящие соединения на другом сервере и перезагрузить еще, после этого заработало. Еще надо проверить права для ключей реестра – ..Services\RemoteAccess и RaMgmtSvc а также Tcpip и все по интерфейсам сети –
придется искать поиском по названию или id интерфейса их с десяток записей по каждому. На всех должно быть разрешение на чтение для LocalService NetworkService полный доступ операторам настройки сети системе и администраторам.
После этого всего надо обязательно запустить мастер настройки NPS он работает и удалит всякие старые политики оставшиеся еще с обновленного 2003 сервера вроде класса сетевых устройств ^311 . Работает и без него только удалять обязательно при всех работающих службах! Не работает почему то с пользовательским ключом .. правила ipfw на роутере вроде правильные а windows vpn в локальной сети, так надежнее – проверить надо может какие пакеты не проходят.
Реестр винды – лучше сделать архив со всеми правами доступа.

<br>icacls "c:\program files\update services\*" /save updateserv_ACL /t<br>#/restore - restore access control list for all files in folder .. remove all NTFS symbolic links first!<br>takeown /F "c:\Program Files\*.*" /R /A /D Y<br>setacl (regini set correct registry permission or from Regedit)<br>reg save HKLM\System\CurrentControlSet\Services serv<br>// save with all access rights //reg restore do if corruption</p>
<p>

полностью обсуждение по ключам и политикам l2tp ikev2 vpn пользовательский ключик на 2012 сервере у меня не заработал что то выдал ошибку ikev2 router не при чем порты проброшены см статью esp добавлен ключ реестра для encapsulate в udp .. похоже просто ни в какую ikev2 не работает за исключением 2008 r2
(журнал событий включаем и смотрим с диспетчера сервера это винда 2012 2016)

</p>
<p>TechNet<br>Продукты<br>Ресурсы<br>Скачать<br>Обучение<br>Поддержка</p>
<p>войти<br>Россия (Русский)Drop down arrow<br>ГлавнаяНовостиБиблиотекаОбучениеСкачатьМероприятияСообществоФорумыПоддержкаО проекте<br>Задайте вопрос<br>Быстрый доступ<br>Поиск связанных бесед</p>
<p>Спрашивающий<br>Аватар пользователя ItDen</p>
<p>20<br>баллов<br>Топ 40<br>ItDen<br>Присоединение May 2016</p>
<p>4</p>
<p>Обсуждения ItDen<br>Показать действия<br>Главные связанные обсуждения</p>
<p>VPN доступ с использованием IKEv2<br>RAS-сервер. IKEv2. Ошибка 13801.<br>VPN IKEv2 сертификат<br>812 ошибка на Windows Phone 8.1 VPN IKEv2<br>Не работает авторизация клиентов на сервере vpn по протоколу IKEv2</p>
<p>VPN доступ с использованием IKEv2 ошибка 13801<br>Защита информационных систем<br>&gt;<br>Прочие вопросы по безопасности</p>
<p>Вопрос<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Всем доброго!</p>
<p>Настроил я сервак впн для работы с ikev2. Но не очень понял в чем проблема при подключении: Пока проверяю внутри сети на отдельной машине. Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local, то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает "неприемлемые учетные данные проверки подлинности ike". И соответственно, сейчас открыли все что нужно на маршрутизаторе, чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку "неприемлемые учетные данные проверки подлинности ike". Это с чем может быть связано?</p>
<p>Соответсвенно в логах ВПН сервера регистрируется вот такое событие:<br>"Имя журнала: System<br>Источник: RemoteAccess<br>Дата: 02.06.2017 16:04:24<br>Код события: 20255<br>Категория задачи:Отсутствует<br>Уровень: Ошибка<br>Ключевые слова:Классический<br>Пользователь: Н/Д<br>Компьютер: VPNSRV.Firma.local<br>Описание:<br>CoID={F55B7B1A-90C5-51A1-58E3-887C43DB27A2}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-47, пользователь: &lt;Непроверенный пользователь&gt;. Таймаут согласования"</p>
<p>Единственное место где я указал vpnserver.firma.local при настройке всего этого хозяйства (RRAS+CA+NAP) - это когда через веб интерфейс на сервере сертификатов СА (http://caserver/srvcert) делал сертификат для ВПН сервера. Там при выборе шаблона этого сертификата становятся доступны поля и надо было заполнить поле имя. Процесс делал по видео https://www.techdays.ru/videos/1503.html.<br>Сталкивался кто-то с подобной конфигурацией по настройкам и такой ошибкой?<br>2 июня 2017 г. 13:25<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы</p>
<p>Все ответы</p>
<p>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local, то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает "неприемлемые учетные данные проверки подлинности ike". И соответственно, сейчас открыли все что нужно на маршрутизаторе, чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку "неприемлемые учетные данные проверки подлинности ike". Это с чем может быть связано?</p>
<p>всё правильно. при подключении IKEv2 идёт проверка сертификата сервера (полное имя, кем выдан, срок действия). У Вас на какое имя выдан сертификат сервера? вот по нему (имени) и будет возможно подключение к серверу. Нужно подключение по другим именам - добавляйте их в сертификат.<br>2 июня 2017 г. 13:36<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Нужно подключение по другим именам - добавляйте их в сертификат.</p>
<p>Не поясните пож-та как другие данные для подключения добавить в сертификат?</p>
<p>Сейчас нашел статейку по траблшутингу IKEv2:</p>
<p>Я правильно понимаю, что из следующих причин:</p>
<p>Error 13801 occurs on the client when:<br>-The certificate is expired.<br>-The trusted root for the certificate is not present on the client.<br>-The subject name of the certificate does not match the remote computer.<br>-The certificate does not have the required Enhanced Key Usage (EKU) values assigned.</p>
<p>что проблема 13801 в моем случае это номер 3 - The subject name of the certificate does not match the remote computer? Типа как я ее понимаю - что имя субъекта, которое записано в сертификате на ВПН сервер, а это vpnsrv.firma.local не соответсвует тому что я ввожу на удаленной машину с которой делаю подключению к ВПН серверу? А я ввожу пока внешний IP нап котором опубликован ВПН сервак, в дальнейшем когда все будет отлажено и заработает надо будет закрепить за этим внешний IP имя имеющегося у нас домена vpn.firma.com.</p>
<p>Вот я и пытаюсь понять взаимосвязь всего этого</p>
<p>2 июня 2017 г. 13:39<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Не поясните пож-та как другие данные для подключения добавить в сертификат?</p>
<p>Вы доменный центр сертификатов используете?</p>
<p>Я правильно понимаю, что из следующих причин:</p>
<p>правильно. третья причина.<br>2 июня 2017 г. 13:47<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Вы доменный центр сертификатов используете?</p>
<p>Да! Я буквально на днях поднял свежий СА.<br>Изменено ItDen 2 июня 2017 г. 13:55<br>2 июня 2017 г. 13:54<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте "локальный.IP.адрес.сервера vpn.firma.com"). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.</p>
<p>Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)</p>
<p>VPN сервер на какой винде?</p>
<p>Изменено Anahaym 2 июня 2017 г. 14:41<br>2 июня 2017 г. 14:37<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте "локальный.IP.адрес.сервера vpn.firma.com"). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.</p>
<p>Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)</p>
<p>VPN сервер на какой винде?</p>
<p>ВПН сервер на Windows Server 2008R2. За ссылку спасибо. Изучу сейчас<br>5 июня 2017 г. 7:42<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте "локальный.IP.адрес.сервера vpn.firma.com"). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.</p>
<p>Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)</p>
<p>VPN сервер на какой винде?</p>
<p>А как еще лучше поступить, если сейчас пока можно стучаться на новый ВПН сервер из вне, только на IP адрес? Просто доменное имя vpn.firma.com используется сейчас для старого PPTP сервера ВПН. И сразу всех мигрировать на новый не получится наверное... Надо еще новый погонять с минимумом клиентов. А потом уже, как буду уверен что новый ВПН исправно работает, запущу его уже через vpn.firma.com<br>5 июня 2017 г. 11:59<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>Выпустите сертификат на имя vpn1.firma.com и тестируйте. "А" запись в публичном ДНС не забудьте добавить<br>5 июня 2017 г. 16:48<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Выпустите сертификат на имя vpn1.firma.com и тестируйте. "А" запись в публичном ДНС не забудьте добавить</p>
<p>Сделал по инструкции. Но если проверять внутри сети, то все работает, а если подключаться с наружи, пишет при попытке подключения "Ошибка 13863 - Недопустимая ситуация". И в логах на RRAS сервере тоже самое.</p>
<p>Я сначала думал, что может на брандмауэре что-то не открыто, но раз в логах сообщение регистрируется, значит дело в чем-то другом.<br>8 июня 2017 г. 7:39<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>1<br>Нужно войти</p>
<p>Нашел решение!</p>
<p>Эта ошибка лечится путем установки обновления - KB2686921<br>Предложено в качестве ответа Anahaym 8 июня 2017 г. 8:58<br>8 июня 2017 г. 8:00<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Наверное вопрос уже не по этой теме, но чтобы не плодить новых по схожим вопросам.....</p>
<p>После настройки всего описанного выше в этой теме хозяйства - CA+RRAS+NAP=IKEv2 VPN все работало исправно. К настроенному серверу ВПН конектились как Windows клиенты, так и MAC OS. Сегодня обнаружил, что клиент MAC (он пока был единственный) не может подключиться. На самой MAC OS ни каких ошибок не выводится, просто подключение секунд 40-50 пытается выполниться и после просто пишет "Не подключено".</p>
<p>А в логах ВПН сервера регистрируется вот такое событие:</p>
<p>Имя журнала: System<br>Источник: RemoteAccess<br>Дата: 14.06.2017 14:13:45<br>Код события: 20255<br>Категория задачи:Отсутствует<br>Уровень: Ошибка<br>Ключевые слова:Классический<br>Пользователь: Н/Д<br>Компьютер: VPNSRV.firma.local<br>Описание:<br>CoID={8A6EE18B-B2D3-A2E2-0B0A-0B4553982078}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: Petrov.P. Ошибка сопоставления групповой политики</p>
<p>В групповых политиках ни чего не менял и не добавлял по поводу сертификатов, RRAS и ВПН и что могло послужить причиной такой ошибки теперь пока не понял (<br>Изменено ItDen 14 июня 2017 г. 11:41<br>14 июня 2017 г. 11:39<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>попробуйте под другим пользователем подключится.<br>14 июня 2017 г. 12:12<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Поторопился с постом ).</p>
<p>Нашел все таки причину. Все таки я поменял кое что в настройках политики подключения в NAP.</p>
<p>В свойствах политики удаленного доступа в NAP на вкладке "Параметры" в разделе Шифрование</p>
<p>стояли галочки Простое шифрование (MPPE 40 бит), Сильное шифрование (MPPE 56 бит) и стойкое шифрование (MPPE 128 бит). Я после того как все проверил отключил 40 и 56 бит. Оставив только 128.</p>
<p>Странно MAC OS не умеет что ли 128 бит гонять? Поставил галочку на 56 бит, 40 бит оставил отключенным и MAC OS нормально зацепилась к ВПН!<br>14 июня 2017 г. 12:13<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Странно MAC OS не умеет что ли 128 бит гонять? Поставил галочку на 56 бит, 40 бит оставил отключенным и MAC OS нормально зацепилась к ВПН!</p>
<p>умеет. но у нас L2TP VPN<br>14 июня 2017 г. 13:41<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Скажите пож-та еще одна проблемка появилась. У нас есть удаленный офис который пока коннектился к старому нашему ВПН сервере по PPTP. Как на зло вчера это сервак "скончался" и удаленный офис потерял возможность подключения. Начал им настраивать подключение к новому ВПН серверу и не получается установить соединение!!</p>
<p>В логах пишет -</p>
<p>CoID={2036AADE-7BDB-946F-3AF0-F02168A6358A}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: &lt;Непроверенный пользователь&gt;. Таймаут согласования</p>
<p>Я ни как не могу понять в чем дело! Проверяю этого пользователя у себя в офисе - раздаю интернет с мобильника и со своего ноута подключаюсь спокойно к ВПН, а у них (в Баку) не получается! Настройки уже раз 10 проверил! Да и настроек то там - импортировал корневой сертификат на машину и создал новое ВПН подключение.</p>
<p>И назрел попутный вопрос, а как сделать так, чтобы к моему ВПН серверу не только по IKEv2 могли подключаться, но и по PPTP? Есть такая возможность?</p>
<p>Но конечно хотелось бы понять, почеум они не могут подключиться. Пока не нашел причины<br>16 июня 2017 г. 7:11<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>И назрел попутный вопрос, а как сделать так, чтобы к моему ВПН серверу не только по IKEv2 могли подключаться, но и по PPTP? Есть такая возможность?</p>
<p>да есть, по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2. просто перенастройте клиента на PPTP. Посмотрите эту статью, чтобы проверить PPTP.<br>16 июня 2017 г. 7:22<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>Спасибо! Но я по ссылке чего-то не могу пройти - NET::ERR_CERT_REVOKED - выдает мне Хром<br>16 июня 2017 г. 7:37<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>Просто я сейчас у себя в офисе попробовал настроить впн клиентский ноут на PPTP, как делал это уже 100 раз, пытаюсь прицепиться к своему новому серваку ВПН и мне клиент выдает - Долго висит на "Установка связи с &lt;имя домена.com&gt;(это имя привязано к сертификату, я выше про это спрашивал) с использованием WAN мини-порт.....". Ошибка 807. Сетевое подключение к серверу ВПН прервано.....<br>16 июня 2017 г. 7:46<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>попробуйте другой бразузер, чтобы открыть ссылку.</p>
<p>включите логирование на firewall, и смотрите - есть ли активность на 1723 порт. Проверьте, что все порты проброшены куда надо.<br>16 июня 2017 г. 8:02<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>А! Ну да, у нас к серверу ВПН проброшены только UDP 500 и UDP 4500, UDP 50<br>16 июня 2017 г. 8:34<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>список всех портов для VPN.<br>16 июня 2017 г. 8:37<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>список всех портов для VPN.</p>
<p>Да спасибо! Скажите пож-та, а может ли данная ошибка Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: &lt;Непроверенный пользователь&gt;. Таймаут согласования - говорить о том, что их провайдер, что-то режет по трафику?</p>
<p>У них такая ошибка если они пытаюстся через провайдера подключаться и то же самое если через мобилу интернет расшаривают. Такое ощущение что у них там с IPSEC как-то......<br>16 июня 2017 г. 9:01<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>да, провайдеры могут блочить VPN протоколы, по этому мы перешли на SSTP. Он использует 443 порт, который лучше провайдерам не блочить )<br>16 июня 2017 г. 9:32<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>да, провайдеры могут блочить VPN протоколы, по этому мы перешли на SSTP. Он использует 443 порт, который лучше провайдерам не блочить )</p>
<p>Я выше спрашивал, что можно ли вместе IKEv2 на серваке использовать и PPTP. Наверное и SSTP можно прикрутить тогда? PPTP конечно не гуд, мы для этого и перешли на новый сервак с IPSEC(IKEv2)<br>16 июня 2017 г. 9:54<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>я выше отвечал - могут одновременно работать четыре VPN на одном сервере PPTP, L2TP, SSTP, IKEv2 + одновременно может работать DirectAccess если в компании есть Windows Enterprise или подключается Windows Server. Но DirecAccess проще ставить на 2012 R2, где IKEv2 не работает.<br>Изменено Anahaym 16 июня 2017 г. 10:29<br>16 июня 2017 г. 10:29<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>прошу прощения, но я поэтому и пересеспросил ), выше вы написали 3 протокола по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2...</p>
<p>ОК! Спасибо! Получается для SSTP мне надо еще и 443 порт до ВПН сервера прокинуть?<br>16 июня 2017 г. 10:57<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>прошу прощения, но я поэтому и пересеспросил ), выше вы написали 3 протокола по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2...</p>
<p>ОК! Спасибо! Получается для SSTP мне надо еще и 443 порт до ВПН сервера прокинуть?</p>
<p>совершенно верно. Забыл про SSTP (<br>16 июня 2017 г. 11:02<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Спасибо за Вашу помощь. Раз уж мы тут так говорим об ВПН сервере.. Можно еще спросить?</p>
<p>Скажите пож-та а в каких случая надо ставить галочки в Сервере Политики Сети - NAP, в свойствах политики на вкладке "Ограничения". Там есть пункт тип порта NAS и там куча типов туннелей. У меня ни чего там по умолчанию и не выбрано. Просто интересно когда это используется и в каких случаях?<br>16 июня 2017 г. 13:05<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>если я правильно понял, то это указывает политике, что она применяется для физического интерфейса NAP сервера, если у него таковых несколько. Например, если отметить галкой Wireless - IEEE 802.11 - то политика будет применяться только, если сервер имеет WiFi карту, и клиенты подключаются к ней.</p>
<p>могу ошибаться. сам не использую.<br>16 июня 2017 г. 13:54<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Добрый день!</p>
<p>Может так еще на вскидку подскажете в чем может быть проблема?</p>
<p>Есть один ПК с Win10 Домашняя в удаленном филиале. Он ни как не может подключиться к моему новому серверу ВПН! При подключении выдается стандартное сообщение "Не удалось установить связь по сети между компьютером и ВПН сервером, т.к. удаленный сервер не отвечает. Возмодная причина....NAT, брандмауэр и т.п. не настроено на разрешение ВПН подключений......"</p>
<p>В логах клиентского компьютера есть такое:</p>
<p>Пользователь \Petya установил удаленное подключение с Head Office которое завершилось сбоем. Возвращен код ошибка 809.</p>
<p>А на самом ВПН сервере в логах ни чего не регистрируется. Такое ощущение, что то ли трафик не доходит до сервера, то ли на этом этапе ему еще не чего регистрировать в лог (</p>
<p>Но другие ПК в этом удаленном офисе где стоит Win7 нормально подключились</p>
<p>Изменено ItDen 21 июня 2017 г. 8:12<br>21 июня 2017 г. 8:05<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>проверьте реестр на клиенте:</p>
<p>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule = 2</p>
<p>21 июня 2017 г. 8:22<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Нет! На проблемном ПК такого параметра нет в разделе PolicyAgent.</p>
<p>А что это за параметр? Его надо создать?</p>
<p>Погуглив я так понял, что параметр влияет при размещении сервера ВПН за NAT?</p>
<p>Сейчас обнаружился у них еще один пользователь с ноутом с Win10 Home. Я на нем настроил подключение и оно успешно выполнилось. Такое ощущение, что на том, первом ПК с Виндой 10 Хоум о которой я выше писал, может нет какой-то обновы? ( Хотя я сейчас проверил обновы на нем и винда нашла только на NetFramework 4.5 и все!</p>
<p>Изменено ItDen 21 июня 2017 г. 9:32<br>21 июня 2017 г. 9:30<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Погуглив я так понял</p>
<p>я вообще-то ссылку давал. Обидно, когда их не читают...<br>Да, этот ключ надо создавать, если компрьютер использует L2TP и находится за NAT. У IKEv2 такой проблемы нет.<br>21 июня 2017 г. 9:42<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Погуглив я так понял<br>я вообще-то ссылку давал. Обидно, когда их не читают...<br>Да, этот ключ надо создавать, если компрьютер использует L2TP и находится за NAT. У IKEv2 такой проблемы нет.</p>
<p>Извиняюсь). Я тут еще параллельно запросы обрабатываю от других пользователей, немного в торопях все делаю(. В ответе выхватил взглядом параметр реестра и погуглив нашел ту же статью, что и по вашей ссылке ). Спасибо! Сейчас попробую создать параметр. Посмотрим. Благодарю!<br>21 июня 2017 г. 9:54<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>Не помог данный параметр реестра! Картина та же.<br>21 июня 2017 г. 10:56<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>установите приложение nmap и проверьте доступность портов VPN<br>21 июня 2017 г. 11:23<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>установите приложение nmap и проверьте доступность портов VPN</p>
<p>Так другие же ПК с этого офиса могут к ВПН серверу цепляться. Значит с портами все ок! Или тут другой смысл?<br>21 июня 2017 г. 11:28<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>я не знал, что это тот же офис.<br>21 июня 2017 г. 11:37<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Да я вроде выше писал... Может запутал конечно Вас. Сори.</p>
<p>Итог, чтобы не путаться):</p>
<p>Есть удаленный офис - 7 чел.</p>
<p>3 PC Win10 Home и остальные Win7.</p>
<p>Все из этих ПК уже имеют доступ к новому ВПН серверу без проблем. Но вот один на Win10 home ведет себя криво. Что выше постами и описано (</p>
<p>Пока не смог понять что с ним не так. Параметр реестра не помог, обновления стоят все!<br>21 июня 2017 г. 11:45<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Но вот один на Win10 home ведет себя криво. Что выше постами и описано (</p>
<p>по всем протоколам проблемы? L2TP, PPTP, IKEv2 ?<br>21 июня 2017 г. 11:49<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>По другим не проверял, т.к. до сервера проброшен только IPSEC (IKEv2)</p>
<p>Видимо надо проверить хотя бы PPTP<br>21 июня 2017 г. 11:52<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>Но вот один на Win10 home ведет себя криво. Что выше постами и описано (</p>
<p>по всем протоколам проблемы? L2TP, PPTP, IKEv2 ?</p>
<p>Доброго дня! Уже не знаю еще еще попробовать... По PPTP этот проблемный ПК подключается, а по IKEv2 ни как!<br>28 июня 2017 г. 12:05<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>посмотрите логи IPsec<br>28 июня 2017 г. 12:17<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>посмотрите логи IPsec</p>
<p>Я извиняюсь, а это на серваке ВПН или все таки на клиенте сделать?</p>
<p>Интересно то, что, к примеру, когда другие пользователи подключаются к серверу ВПН и возникают какие-то ошибки(пароль не тот ввели, какая-то проблема в настройках аутентификации и т.п.) то в логах сервера фиксируются различные события по этому поводу. А при попытках подключиться с этого проблемного ПК, на сервере ВПН вообще ни чего нет!</p>
<p>А в логах клиента есть 2 интересных события:</p>
<p>1) Ошибка 20227 - Пользователь Petrov.P установил удаленное подключение "Главный Офис", которое завершилось сбоем. Возвращен код ошибки 809</p>
<p>2) И следом событие (Сведения), код 20226 - Пользователь Petrov.P установил удаленное подключение "Главный Офис", которое было прекращено. При прикращении возвращен код ошибки 631</p>
<p>Изменено ItDen 28 июня 2017 г. 12:35<br>28 июня 2017 г. 12:29<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>на сервере. еслит нет ошибок - клиент не может физически подключится к серверу. что-то его блокирует изнутри.<br>28 июня 2017 г. 12:57<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>на сервере. еслит нет ошибок - клиент не может физически подключится к серверу. что-то его блокирует изнутри.</p>
<p>В этом-то и загадка! Ощущение, что этот ПК по PPTP нормально гуляет, а когда IPSEC его корежит и трафик за пределы того офиса не уходит!</p>
<p>Я уже и фаервол выключил на ПК и антивирь удалил(на всякий случай)!</p>
<p>Изменено ItDen 28 июня 2017 г. 13:06<br>28 июня 2017 г. 13:03<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>Забыл еще сказать, что при нажатии кнопки на ВПН соединении "Подключить" на секунд 7-8 появляется "Проверка данных для входа" и все - ошибки вышеуказанные. Не знаю... Сейчас наверное Wireshark установлю на ПК, может что видно будет в дампе<br>28 июня 2017 г. 13:12<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти</p>
<p>на сервере. еслит нет ошибок - клиент не может физически подключится к серверу. что-то его блокирует изнутри.</p>
<p>Наловил несколько попыток подключения к ВПН серверу в Wireshark.</p>
<p>Не очень силен конечно в ловле багов по дампам, но может эта инфа чем-то нам поможет?</p>
<p>Итак от Source &lt;IP ПК&gt; до Destination &lt;VPN Server&gt; есть такие пакеты:</p>
<p>1) Протокол - ISAKMP, Info - IKE_SA_INIT MID=00 Initiator Request</p>
<p>2) Протокол - IPv4, Info - Fragmened IP Protocol (proto=UDP 17, off=0, ID=&lt;nnnn&gt; [Reassembled] in #&lt;NNNNN&gt;)</p>
<p>3) Протокол - ISAKMP, INFO - Auth Mid=01 Initiator Reqest</p>
<p>................</p>
<p>И так эти 3 строчки все время повторяются по кругу, меняются только видимо номера пакетов, я на их место написал nnnnnn и NNNNN</p>
<p>) Не понятно в общем<br>28 июня 2017 г. 13:48<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>это лог на стороне клиента? а на сервере что? есть какая активность?<br>28 июня 2017 г. 13:50<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя Anahaym<br>Anahaym<br>6,635 Баллы<br>Question<br>Нужно войти<br>0<br>Нужно войти<br>Да это лог от Wireshark на проблемном ПК. А на сервере Wireshark не запускал, пока и не ставил его туда.<br>28 июня 2017 г. 14:00<br>Ответить<br>|<br>Цитировать<br>Аватар пользователя ItDen<br>ItDen<br>20 Баллы</p>
<p>© 2017 Microsoft. Все права защищены.<br>Управление профилем<br>|<br>Свяжитесь с нами<br>|<br>Подписка на новости<br>|<br>Условия использования<br>|<br>Товарные знаки<br>|<br>Конфиденциальность</p>
<p>

 

на 2008 не попробовал – в 2012 сервере работает но надо на роутере udp 500 4500 5500 tcp 1723 443 тоже проброс делать. Это ipsec ikev2 руководство по настройке .

http://exonix.ru/#!%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8/Windows_Server/VPN_L2TP_IKEv2/http://exonix.ru/#!%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8/Windows_Server/VPN_L2TP_IKEv2/

добавляю статью сюда одну !!! но это не она, а похожая, в оригинале был 2003 сервер!

я извиняюсь что там может упрощаю хакерам всякие попытки взлома сайта – просто скопировал с половиной опенкарта и его шаблона но статья правильная.

добавлю FreeBSD 11 releng на 10 уже видел описание почему про более новую 12 current не пишу – не пытался на ней все сразу настроить и ipfw virtualbox mpd oss4 – на все это надо пересобирать ядро с настройкой опций а на самой новой версии может не все еще отлажено, если именно такой набор соберется без kernel panic еще nvidia и тогда попробую.
Это намного надежнее чем пытаться на 2016 сервере настроить (на 2016 тоже получается pptp l2tp psk l2tp iis certificate сейчас все работает).

<br />
Настраиваем на фряхе ядро. Может быть если только firewall роутер то можно без этого обойтись а если еще и звук настроить и видео то надо. Это рабочая станция со звуком и сервер сразу и 2 виртуалки. Зион 3,8 и 32 памяти минимум. CPU Temperature 58 C 586 Processes 19 Running 7,6/30,7GiB 3,04/4,32 TiB</p>
<p>amd64<br />
-------<br />
$FreeBSD: releng/11.1/sys/amd64/conf/GENERIC 318763 2017-05-24 00:00:55Z jhb $</p>
<p>cpu HAMMER<br />
ident KERN64ALL<br />
...<br />
options IPSEC # IP (v4/v6) security<br />
#options IPSEC_NAT_T<br />
options IPSEC_DEBUG<br />
#options IPSEC_FILTERTUNNEL<br />
#device crypto #turn on - see below<br />
device enc<br />
...<br />
# CPU frequency control<br />
device cpufreq<br />
#device amdtemp # for AMD CPU<br />
device coretemp # for Intel CPU<br />
device smb<br />
device smbus # System management bus<br />
device intpm # Intel power management<br />
device iicbus # I2C bus system<br />
device iicsmb # I2C to SMB bridge<br />
device iicbb # I2C generic bit-banging driver<br />
##device eeemon<br />
...<br />
# syscons is the default console driver, resembling an SCO console<br />
device sc<br />
options SC_PIXEL_MODE # add support for the raster text mode</p>
<p># vt is the new video console driver<br />
device vt<br />
device vt_vga<br />
device vt_efifb</p>
<p>device agp # support several AGP chipsets<br />
...<br />
# Netmap provides direct access to TX/RX rings on supported NICs<br />
device netmap # netmap(4) support</p>
<p># The crypto framework is required by IPSEC<br />
device crypto # Required by IPSEC<br />
----------<br />
нужные для VPN строчки в начале и конце файла.<br />
# cp GENERIC KERN64ALL<br />
# mcedit KERN64ALL<br />
# cp KERN64ALL /usr/src/sys/amd64/conf/KERN64ALL<br />
сборка ядра и перезагрузка если не было ошибок<br />
(а если не грузится или все не работает то выбираем при загрузке старое ядро)<br />
# cd /usr/src<br />
# make kernel KERNCONF=KERN64ALL<br />
#awk -f /usr/src/sys/conf/kmod_syms.awk zlib.ko export_syms | xargs -J% objcopy % zlib.ko<br />
#objcopy --strip-debug zlib.ko<br />
--------------------------------------------------------------<br />
>>> Kernel build for KERN64ALL completed on Wed Oct 11 17:04:48 MSK 2017<br />
--------------------------------------------------------------<br />
..<br />
#install -T release -o root -g wheel -m 555 zfs.ko /boot/kernel/<br />
===> zlib (install)<br />
#install -T release -o root -g wheel -m 555 zlib.ko /boot/kernel/<br />
#kldxref /boot/kernel</p>
<p># ... смотрим все сообщения нет ли ошибок ядро собирается за 7 минут.<br />
# shutdown -r now</p>
<p>если загрузилось - настройка ipsec-tools<br />
# cd /usr/ports/security/ipsec-tools/<br />
# make config<br />
пролистываем вниз и включаем опцию wildcard for pre-shared-key.<br />
это значит в файлике psk.txt можно указать:<br />
* пароль_на_подключение<br />
# chmod 600 psk.txt # не запустится иначе а в логах будет ошибка - wrong permissions защита от подглядывания паролей</p>
<p>на ipsec-tools нужны возможно патчи - не проходит 2-я фаза согласования протоколов, у меня не вся информация,<br />
возможно сейчас патчить не надо, а настроить отключив программное сжатие например - оно точно не работало, и попробовать то же самое подключившись с windows xp с 10-й винды что то не согласуется. Типы шифрования может быть.<br />
смотреть ниже ... сейчас 11 октября 2017 я вижу все уже в портах ..<br />
Ядро на 11 версии патчить не надо .. вроде .. пересобрал но у меня посложнее машинка.<br />
-----<br />

mpd
<br />
default:<br />
load pptp_server # так же<br />
load l2tp_server<br />
l2tp_server:<br />
# Define dynamic IP address pool.<br />
set ippool add pool1 192.168.3.200 192.168.3.220<br />
# Create clonable bundle template named B<br />
create bundle template BB<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
set ipcp yes 192.168.3.1<br />
# Specify IP address pool for dynamic assigment.<br />
set ipcp ranges 192.168.3.0/24 ippool pool1 # 3.0/24 3.22/32 если 1 адрес<br />
set ipcp dns 8.8.8.8<br />
#set ipcp nbns 192.168.3.1 # wins<br />
# The five lines below enable Microsoft Point-to-Point encryption<br />
# (MPPE) using the ng_mppc(8) netgraph node type.<br />
# set bundle enable compression<br />
set ccp yes mppc<br />
set mppc yes e40<br />
set mppc yes e128<br />
set mppc yes stateless<br />
# Create clonable link template named L<br />
create link template LL l2tp<br />
# Set bundle template to use<br />
set link action bundle BB<br />
# Multilink adds some overhead, but gives full 1500 MTU.<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
set link no pap eap<br />
set link enable chap-msv2<br />
set link enable chap<br />
# We can use use RADIUS authentication/accounting by including<br />
# another config section with label ‘radius’.<br />
# load radius<br />
set link keep-alive 10 60 # ping -t с рабочей станции на сервер<br />
# We reducing link mtu to avoid GRE packet fragmentation.<br />
set link mtu 1460<br />
# Configure PPTP<br />
set l2tp self 0.0.0.0<br />
# Allow to accept calls<br />
set link enable incoming</p>
<p>/usr/local/etc/racoon/racoon.conf</p>
<p>

Перезапускаем mpd и проверяем, что у нас слушается 1701 udp порт. /все как в статье 2014 с tech4u.pro

# netstat -an | grep 1701

Отредактируем стартовый скрипт ipsec.

# ee /etc/rc.d/ipsec

-ipsec_program=”/sbin/setkey”
+ipsec_program=”/usr/local/sbin/setkey”

Добавим политики шифрования.

# ee /etc/ipsec.conf

+flush;
+spdflush;
+spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;
+spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;

Установим mpd5 – vpn сервер.

# pkg install mpd5

конфиг mpd.conf.
</p>
<p>startup:<br />
# configure mpd users<br />
set user foo bar admin<br />
set user foo1 bar1<br />
# configure the console<br />
set console self 127.0.0.1 5005<br />
set console open<br />
# configure the web server<br />
set web self 0.0.0.0 5006<br />
set web open<br />
#<br />
# Default configuration is "dialup"<br />
default:<br />
load l2tp_server<br />
l2tp_server:<br />
set ippool add priv_access 10.10.41.2 10.10.41.13 #пул адресов<br />
create bundle template C<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
set ipcp yes vjcomp<br />
set ipcp ranges 10.10.41.0/28 ippool priv_access<br />
set ipcp dns 8.8.8.8<br />
set ccp yes mppc<br />
set mppc yes e40<br />
set mppc yes e128<br />
set mppc yes stateless<br />
create link template N l2tp<br />
set link action bundle C<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
set link no pap chap<br />
set link enable chap<br />
set link keep-alive 10 60<br />
set link mtu 1460<br />
set l2tp self ххх.ххх.ххх.ххх # - адрес вашего сервера<br />
set link enable incoming<br />

Добавляем в rc.conf следующие строчки.
<br />
#VPN_IPSEC--------------------------<br />
ipsec_enable="YES"<br />
ipsec_file="/etc/ipsec.conf"<br />
racoon_enable="YES"<br />
racoon_create_dirs="YES"<br />
mpd_enable="YES"<br />


И перезагружаемся.
Второй раз после пересборки ядра не обязательно
kldstat
# kldstat
Id Refs Address Size Name
1 67 0xffffffff80200000 1ec1230 kernel
2 2 0xffffffff820c3000 9f638 linux.ko эмулятор линукса 3 части он нужен для дров nvidia
3 4 0xffffffff82163000 9408 linux_common.ko а firefox уже пишется под FreeBSD
4 2 0xffffffff8216d000 3ea78 ipfw.ko роутер и сетевой экран и еще nat – ниже
5 1 0xffffffff821ac000 2d38 coretemp.ko intel xeon (i3- i7) 486+
6 1 0xffffffff821af000 15220 fuse.ko подключение NTFS с помощью ntfs-3g
7 1 0xffffffff821c5000 e14618 nvidia.ko видюха драйвер от фабрики
8 2 0xffffffff82fda000 14630 libalias.ko для роутера
9 1 0xffffffff82fef000 6348 ipfw_nat.ko транслятор адресов интернета для сети компов
10 1 0xffffffff83219000 41fe linprocfs.ko папка proc от линухи
11 1 0xffffffff8321e000 236e ums.ko мыш в x window devd Gnome3
12 3 0xffffffff83221000 52840 vboxdrv.ko #1 платформа для Virtualbox №2 server 2008 если диск с гостевой в оффлайн
13 2 0xffffffff83274000 2aaf vboxnetflt.ko
14 4 0xffffffff83277000 9b16 netgraph.ko для сети virtualbox и еще и vpn тоже
15 1 0xffffffff83281000 163b ng_ether.ko
16 1 0xffffffff83283000 3fa6 vboxnetadp.ko
17 1 0xffffffff83287000 30b38 linux64.ko
18 1 0xffffffff832b8000 1d83 ng_socket.ko
19 1 0xffffffff832ba000 3252 ng_mppc.ko добавочкм для ipsec vpn
20 1 0xffffffff832be000 2b6 rc4.ko
21 1 0xffffffff832bf000 16d89 smbfs.ko подключение диска с винды или сервера
22 2 0xffffffff832d6000 31d0 libiconv.ko
23 2 0xffffffff832da000 1d8e libmchain.ko
24 2 0xffffffff832dc000 7c936 osscore.ko
25 1 0xffffffff83359000 dff0 oss_envy24ht.ko перекодировка имен файлов и звуковуха редкая на сервер
26 1 0xffffffff83367000 71a0 tmpfs.ko для mpd ipsec

смотрим ядро если чего нет то соответственно ошибка найдена (dmesg подскажет а не перезагрузка по циклу – если такое то fsck -y раза 3 из однопользовательского режима).

service ipsec start
service racoon start
service mpd5 start
# netstat -an | grep 1701
udp4 0 0 *.1701 *.*

на винде прописываем еще маршруты IpEnableRouter route add 192.168.2.0 mask 255.255.255.0 192.168.3.1 metric 4 /p
3.1 конечно сервер vpn, 2.1 -2.256 другая сеть если туда надо лезть. Здесь 2 сети чуть по-проще соединяются.

<br />
root@pc1:/usr/src # setkey -DP<br />
0.0.0.0/0[any] 192.168.3.211[1701] udp<br />
in ipsec<br />
esp/transport//require<br />
spid=5 seq=1 pid=4944 scope=global<br />
refcnt=1<br />
192.168.3.211[1701] 0.0.0.0/0[any] udp<br />
out ipsec<br />
esp/transport//require<br />
spid=6 seq=0 pid=4944 scope=global<br />
refcnt=1<br />

подключился клиент – 10-я винда (смотрим лог ошибок а я написал как его включить?)
Не патчил ничего !!! AES 3DES DES – пакет собирал ipsec-tools с включенной опцией wildcard чтобы не заводить пароль
на каждый адрес клиента.
Ядро только из за vpn можно не собирать – можно посмотреть загруженые модули ядра, kldload не надо там автоматом грузятся.
<br />
netstat -an | grep 1701<br />
udp4 0 0 192.168.3.211.1701 192.168.3.2.1701<br />
udp4 0 0 *.1701 *.* </p>
<p>------<br />
setkey -D<br />
192.168.3.211 192.168.3.2<br />
esp mode=transport spi=1420428098(0x54aa0342) reqid=0(0x00000000)<br />
E: rijndael-cbc 4cb99f06 2a8211c2 c661692a 66e35077 29545013 51d66d3d c31f9289 ea641a5c<br />
A: hmac-sha1 a357bf90 9a4c878f fef275d5 eb28c358 c3cfb72f<br />
seq=0x00000019 replay=4 flags=0x00000000 state=mature<br />
created: Oct 11 19:04:46 2017 current: Oct 11 19:07:42 2017<br />
diff: 176(s) hard: 3600(s) soft: 2880(s)<br />
last: Oct 11 19:04:47 2017 hard: 0(s) soft: 0(s)<br />
current: 2472(bytes) hard: 0(bytes) soft: 0(bytes)<br />
allocated: 25 hard: 0 soft: 0<br />
sadb_seq=1 pid=6042 refcnt=1<br />
192.168.3.2 192.168.3.211<br />
esp mode=transport spi=9565866(0x0091f6aa) reqid=0(0x00000000)<br />
E: rijndael-cbc 3ee5b01d 4c317ddb 399f50b7 b5796744 3568e4b4 11bb836c 3abc35b5 883bc50a<br />
A: hmac-sha1 d29729d2 d0623543 cbed920d faf4ac01 f603d24c<br />
seq=0x00000000 replay=4 flags=0x00000000 state=mature<br />
created: Oct 11 19:04:46 2017 current: Oct 11 19:07:42 2017<br />
diff: 176(s) hard: 3600(s) soft: 2880(s)<br />
last: Oct 11 19:04:47 2017 hard: 0(s) soft: 0(s)<br />
current: 10739(bytes) hard: 0(bytes) soft: 0(bytes)<br />
allocated: 109 hard: 0 soft: 0<br />
sadb_seq=0 pid=6042 refcnt=1<br />
root@pc1:/usr/src # setkey -DP<br />
0.0.0.0/0[any] 192.168.3.211[1701] udp<br />
in ipsec<br />
esp/transport//require<br />
spid=7 seq=1 pid=6047 scope=global<br />
refcnt=2<br />
192.168.3.211[1701] 0.0.0.0/0[any] udp<br />
out ipsec<br />
esp/transport//require<br />
spid=8 seq=0 pid=6047 scope=global<br />
refcnt=2<br />
# ifconfig<br />
...<br />
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400<br />
inet 192.168.3.0 --> 192.168.3.55 netmask 0xffffffff<br />
inet6 fe80::225:90ff:fe76:b120%ng0 prefixlen 64 scopeid 0x4<br />
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL></p>
<p>
исправляем ipfw правила если я запутал tun0 ng0.
настройка еще раз
<br />
rc.conf<br />
---------<br />
#VPN_IPSEC--------------------------<br />
ipsec_enable="YES"<br />
#ipsec_file="/etc/ipsec.conf"<br />
ipsec_program="/usr/local/sbin/setkey"<br />
ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot<br />
racoon_enable="YES"<br />
racoon_create_dirs="YES"<br />
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"<br />
mpd_enable="YES"<br />
--------------------<br />
# cd /usr/ports/security/ipsec-tools/<br />
# make config<br />
пролистываем вниз и включаем опцию wildcard for pre-shared-key.<br />
это значит в файлике psk.txt можно указать:<br />
* пароль_на_подключение<br />
----------------------</p>
<p># ee /etc/rc.d/ipsec</p>
<p>-ipsec_program="/sbin/setkey"<br />
+ipsec_program="/usr/local/sbin/setkey"</p>
<p>---------------------</p>
<p># ee /etc/ipsec.conf </p>
<p>+flush;<br />
+spdflush;<br />
+spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;<br />
+spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;</p>
<p>берет из rc.conf<br />
...<br />
ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot<br />
... setkey.conf: трафик шифруется только с адреса локалки (если сервер шлюз то правильно выше)</p>
<p>flush;<br />
spdflush; spdadd 0.0.0.0/0[any] 192.168.3.211[1701] udp -P in ipsec esp/transport//require;<br />
spdadd 192.168.3.211[1701] 0.0.0.0/0[any] udp -P out ipsec esp/transport//require;</p>
<p>----------------------------------------------------------------------- ili /usr/local/etc i edit rc.conf<br />
/usr/local/etc/racoon/racoon.conf<br />
---------------<br />
path include "/usr/local/etc/racoon" ;<br />
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;<br />
# racoon will look for certificate file in the directory,<br />
# if the certificate/certificate request payload is received.<br />
log debug;<br />
# "padding" defines some padding parameters. You should not touch these.<br />
padding<br />
{<br />
maximum_length 20; # maximum padding length.<br />
randomize off; # enable randomize length.<br />
strict_check off; # enable strict check.<br />
exclusive_tail off; # extract last one octet.<br />
}<br />
# if no listen directive is specified, racoon will listen on all<br />
# available interface addresses.<br />
}<br />
listen<br />
{<br />
isakmp 192.168.3.211 [500]; # Адрес вашего сервера<br />
isakmp_natt 192.168.3.211 [4500];<br />
#admin [7002]; # administrative port for racoonctl.<br />
#strict_address; # requires that all addresses must be bound.<br />
#strict_address;<br />
}<br />
# Specify various default timers.<br />
timer<br />
{<br />
# These value can be changed per remote node.<br />
counter 5; # maximum trying count to send.<br />
interval 20 sec; # maximum interval to resend.<br />
persend 1; # the number of packets per send.<br />
# maximum time to wait for completing each phase.<br />
phase1 30 sec;<br />
phase2 15 sec;<br />
}<br />
remote anonymous<br />
{<br />
exchange_mode main, aggressive;<br />
# doi ipsec_doi;<br />
situation identity_only;<br />
#certificate_type x509 "my.cert.pem" "my.key.pem";<br />
lifetime time 24 hour;<br />
nonce_size 16;<br />
#passive on;<br />
initial_contact on;<br />
proposal_check obey; # obey, strict, or claim<br />
#support_proxy on;<br />
ike_frag on;<br />
nat_traversal on;<br />
dpd_delay 20;<br />
proposal<br />
{<br />
encryption_algorithm 3des;<br />
hash_algorithm sha1;<br />
authentication_method pre_shared_key;<br />
dh_group 2;<br />
}<br />
}<br />
sainfo anonymous<br />
{<br />
encryption_algorithm aes, 3des, des;<br />
authentication_algorithm hmac_sha1, hmac_md5;<br />
compression_algorithm deflate;<br />
pfs_group 2;<br />
}<br />
---------------------------- смотрим на алгоритмы шифрования и если включен лог файл то его<br />
mpd.conf /usr/local/etc/mpd5/ и mpd.secret с паролями dв строчку имя пароль в кавычках<br />
-----</p>
<p>common:<br />
# Enable multilink protocol<br />
set link enable multilink<br />
# Set bundle template to use<br />
set link action bundle B<br />
# Allow peer to authenticate us<br />
set link disable chap pap<br />
set link accept chap pap<br />
set auth authname r2<br />
# Set inifinite redial attempts<br />
set link max-redial 0<br />
set modem var $DialPrefix "DT"<br />
set modem var $Telephone "1-415-555-1212"<br />
set modem script DialPeer</p>
<p>l2tp_server:<br />
# Создаем диапазон присваиваемых IP адрессов.<br />
# Define dynamic IP address pool.<br />
set ippool add pool1 192.168.3.55 192.168.3.75</p>
<p># Create clonable bundle template named B<br />
create bundle template B<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
# set ipcp yes vjcomp # сжатие tcp заголовков<br />
# Specify IP address pool for dynamic assigment.<br />
set ipcp ranges 192.168.3.0/24 ippool pool1<br />
set ipcp dns 8.8.8.8<br />
# The five lines below enable Microsoft Point-to-Point encryption<br />
# (MPPE) using the ng_mppc(8) netgraph node type.<br />
# set bundle enable compression<br />
set ccp yes mppc<br />
set mppc yes e40<br />
set mppc yes e128<br />
set mppc yes stateless<br />
# Create clonable link template named L<br />
create link template L l2tp<br />
# Set bundle template to use<br />
set link action bundle B<br />
# Multilink adds some overhead, but gives full 1500 MTU.<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
# set link no pap chap<br />
set link enable chap<br />
set link keep-alive 10 60<br />
# We reducing link mtu to avoid GRE packet fragmentation<br />
set link mtu 1460<br />
# Configure l2tp<br />
# IP адресс нашего VPN сервера. (Собственно адресс машины с фряхой)<br />
# set l2tp self 192.168.3.211<br />
set l2tp self 0.0.0.0<br />
# Allow to accept calls<br />
set link enable incoming</p>
<p>pptp_server:<br />
# пул адресов<br />
set ippool add pool2 192.168.3.76 192.168.3.86<br />
create bundle template B1<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
# указываем mpd-сервер и назначаем для подсети пул<br />
set ipcp ranges 192.168.3.0/24 ippool pool2<br />
# указываем dns провайдера или свой<br />
# Create clonable link template named P<br />
create link template PPTP pptp<br />
# Set bundle template to use<br />
set link action bundle B1<br />
# Multilink adds some overhead, but gives full 1500 MTU.<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
set link no pap chap eap<br />
set link enable chap<br />
# We can use use RADIUS authentication/accounting by including<br />
# another config section with label 'radius'.<br />
# load radius<br />
set link keep-alive 10 60<br />
set ipcp dns 8.8.8.8<br />
# если нет WINS, то комментируем<br />
#set ipcp nbns 192.168.1.4<br />
# We reducing link mtu to avoid GRE packet fragmentation.<br />
set link mtu 1460<br />
# принимать PPTP подключения на всех интерфейсах или указываем конкретный<br />
# Configure PPTP<br />
# set pptp self 192.168.3.211<br />
set pptp self 0.0.0.0<br />
set link enable incoming<br />
--------------------<br />
pptp похоже не поднимается (не надо) может ошибка где то или адреса надо разнести в еще одну подсеть?</p>
<p>

——————

поиск в google тоннельный синдром (   я не нашел но можно найти статью странице на 40-й) archive.is смотрим через tor
site to site vpn
информацию проверять на ложь бо с этим связаны деньги и гроши великие.

 

Сохранить

рабочая схема соединения – (магазин склад офис) 1 2 3

1->2 2->1 3->1 2->3 . Все подсети разные . ..1.0 ..2.0 ..0.0 . Автоматом настраиваются маршруты на сервере 2012 и 2016 – если открыть из консоли просмотр таблицы маршрутов. Если делать схему треугольником и 6 соединений то это приводит роутер к падению при добавлении автоматом маршрута, логика слетает с катушек и уезжает вместе с крышей. Либо падает если рвется соединение. Установлен 30 секунд таймер на разрыв соединения и пинги по 2 запроса за 5 секунд по 32 байта. Маршрутов прописано на сервере по 2 и из локалки на местный роутер (стоимость то есть метрика 30) там же, но логика выбирает тот где меньше метрика то есть если 3 то он идет в первую очередь, можно посмотреть таблицу как и чего добавляется , на 2016 сервере там расписано подробно. Metric 2 настраивать не надо. Фазы и шифрование по умолчанию, в политиках тоже ничего нет.

По openvpn еще будет настройка. .. пока винда надежнее.

еще одна сттатья К иевского программиста и и я поигрался с PFSENSE -та же фряха специально пакеты для роутера. (да еще проще вариант – подключите Акадо если столицы – и там на новом модеме есть туннель впн)

Фряха она же FreeBSD может как роутер работать и не только как роутер, еще и сервер для виндовых компов , еще веб сайты.

вот 0

Andrew BLOG

Полезные заметки сисадмина

• IT

Деревня

• Школа
• Деньги
• Общее
• Юмор
• Содержание

Соединяем 2 офиса через VPN на FreeBSD 11. VPN через IPsec.

Пример конкретного подключения. Используется FreeBSD 11.0 Release.

Обращаемся к началу начала. Документация здесь VPN через IPsec

Ну и пробуем.

Исходные данные:

• Существует две сети 192.168.146.0/24 и 192.168.147.0/24
• Обе сети соединены через интернет через шлюз, работающий на FreeBSD 11.0 Release
• У шлюза каждой из сетей есть один публичный IP адрес A.B.C.D и W.X.Y.Z
• Внутренние IP адреса двух сетей приватные. На шлюзе работает NAT.

Короче документация похоже устарело, по ней ничего не вышло.

Нашел на английском, здесь более свежее похоже: https://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html

Нашел на форуме http://www.opennet.ru/openforum/vsluhforumID1/95477.html?n=yokon следующее:
Ядро должно содержать строки:

Собираем ядро.

Я не пересобирал ядро, так как в ядре по умолчанию эти опции были уже включены.

Можно посмотреть, что у вас в ядре по умолчанию  /usr/src/sys/i386/conf GENERIC

посмотреть какое у вас ядро

/etc/rc.conf
cloned_interfaces=»gif0″
ifconfig_gif0=»inet A.A.A.A B.B.B.B netmask 255.255.255.252 tunnel C.C.C.C D.D.D.D»
(A и B адреса концов туннеля) и строится он между C и D

A.A.A.A = 192.168.141.254
B.B.B.B = 192.168.141.254

C.C.C.C = внешний IP сети A.A.A.A
D.D.D.D = внешний IP сети B.B.B.B

Создаем фал ipsec.conf

Далее идем устанавливаем racoon
cd /usr/ports/security/ipsec-tools/
make && make install && make clean

Я ставил через portmaster, сути не меняет просто по факту было так:

в итоге:

После установки rc.conf добавляем

И создаем его конфигурационный файл /usr/local/etc/racoon/racoon.conf:

Создаем файл с паролями psk.txt

D.D.D.D    password_for_remote_host

Не забываем сделать его доступным только для чтения.
chmod 600 psk.txt

Перезагружаемся и все работает.

Не все так просто, пинги не пошли, ищу причину.

На 1-ом шлюзе, что касается gif

Посмотреть таблицу маршрутизации

На 2-ом шлюзе

————————-

http://wiki.dieg.info/ipsec

# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log

Выложить рабочие скрипты…Опубликовано 23.11.2016Автор: AndrewВ рубрике FreeBSD

Навигация по записям

Предыдущая записьFreeBSD: Мониторинг RAID из командной строки (CLI) MPTUTILСледующая записьFreeBSD 11.0 Release. Настройка TFTP-сервера tftpd-hpa.

Нужен сисадмин конечно. Это у нас директор все делает..

Related Images: