Объединение локальных сетей в одну (например офис и точка продаж) vpn pptp tunnel

VPN site to site connect (Join two or more LAN without Cisco router, only 2 servers windows 2008 or 2012 and internet connection) 2017 august. // добавляю FreeBSD 11 MPD L2TP PSK ipsec-tools +options kernel 11 //

связанная статья проверка ipfw https://yahobby.ru/wordpress/freebsd-router-kernel-nat-ipfw-gre-vpn-server-ok-working/

Что то в интернете полно информации но большинство ложная.

А задача очень часто такая стоит – 2 офиса одна фирма или магазин и склад, а то сотрудники из дома работают и таких точек 3.

Настраиваем локальные сети с разными адресами. (офис 192.168.3.0 .. 1-254 магазин
192.168.1.0 1-254).
Устанавливаем Windows Server 2008 R2 и там и там на комп с интернетом – он же раздает на все остальные интернет, соответственно настраивается на обоих
Routing Remote Access Vpn PPTP server.
DHCP server
сертификатов не надо на Microsoft есть подробная статья по англ. там больше половины ее про сертификаты, но они нужны только для L2TP.

!!! Самая большая ошибка почему не работает – оба сервера должны быть одинаковые, 2008-2003 не свяжется, 2012-2008 то же – только что проверял,
соединение – тоннель VPN устанавливается на уровне service то есть серверной программы службы, и если не работает то скорее дело не в настройках а в версии
сервера и драйверов И обновлений – они должны быть одинаковые!

Не буду рисовать красивые картинки не презентация.

А важен сам принцип. Два одновременных тоннеля. Один сервер открывает соединение на второй а второй на первый, это отслеживается службами и они
входят в режим синхронизации как бы.
И правильно прописать маршруты, пример для сети выше –
0.0.0.0 mask 0.0.0.0 metric 300 interface inet – сервер переводит все не перехваченые пакеты в Интернет (Default gateway)

в DHCP на первой стороне (локалка 1)
параметры области –
раздаем адреса 192.168.3.2 – 192.168.3.254 (192.168.3.1 сервер)
Default gateway 192.168.3.1
Бесклассовый статический маршрут 192.168.1.0 255.255.255.0 192.168.3.1
(это соответственно на всех компах в первой сети оказывается)
Проверяем что порт DHCP слушает локалку а не интернетовский адаптер (свойства-
привязки ) а то результат непредсказуемый до отключения интернета провайдером.
Соответственно для интернет подключения не пожалеть отдельного Ethernet порта на сервере или 2-й сетевой платы. Можно и через один настроить но глюков будет немеряно.

На второй стороне соответственно 192.168.1.2 – 192.168.1.254 (192.168.1.1 сервер)
Бесклассовый статический маршрут 192.168.3.0 255.255.255.0 192.168.1.1 …

В консоле RRAS настраиваем стандартно доступ в интернет через мастера
(configure enable RRAS)

Выбираем VPN + NAT (есть и следующий пункт secure connection two private network но он по стандартному описанию и там нужен только перевод с английского и сертификаты мы пойдем по тому же пути но чуть чуть проще и если бы все работало то так бы и делали)

После настройки – мастер спрашивает какой адаптер для интернета а какой для локалки и предупреждает настроить проброс портов в разделе Network Address Translation и DHCP для удаленных клиентов – надо в свойствах IPv4 – DHCP
Retranslator поставить адрес сервера .. 1.1 или ..3.1 но работает и без этого –
в основных настройках достаточно правильно выбрать адаптер для всех сетевых служб локалки, и он обычно правильно определяется, не интернетовский а который в локальную сеть смотрит. (Основные свойства сервера RRAS – Общие – ipv4 маршрутизатор и локальной сети и вызова по требованию и еще сервер удаленного доступа ниже галочки обе установлены а третью ipv6 не очень надо пока). Третья
вкладка IPv4 широковещание включить и выбрать адаптер локальной сети а не интернет. Безопасность – не надо включать – подключаться без пароля – и – незашифрованый пароль – перехватить пароли по сети запросто включив тот же сетевой монитор от microsoft.

Дальше – основная настройка – интерфейсы – по правой кнопке – создать новый интерфейс вызова по требованию – запускается мастер.
На двух серверах одинаково, указывается ip другого сервера в интернете, обратные звонки не обязательно но в них создается пользователь у которого есть доступ на первый сервер со второго и наоборот, этого же пользователя можно
создать и из обычной консоли пользователей, сделать ему пароль посложнее и доступ к удаленным подключениям. Так лучше почему то , а настройку обратных звонков то есть соединений можно пропустить оставив пустое поле. Конечно с
первого сервера имя пользователя и пароль на втором а со второго наоборот на первом. Вместо IP особенно если он динамический можно указать hostname сделав его например на dyddns.dk или no-ip.info. Если внешнего IP нет то его придется купить у провайдера или попросить сделать, поэтому с мобильными скорее всего вариант не пройдет, и с ведомственной сетью тоже сложно.

Проверяем (перезагрузка обоих серверов нужна) – соединение с одного на другой устанавливается и со второго на первый тоже – слегка дольше – так и должно быть,
сетевые службы чуть задумываются (с 2003 сервера x64 может работать исходники microsoft не смотрел они были в открытом доступе но не все и примерно для 2000 sp1 сервера.. я считаю что в службе роутера эта конфигурация запрограммирована и отслеживается – оба сервера должны быть одной версии) и с одного сервера пингуется другой по внутреннему интерфейсу.
Ошибка – из сети компьютеры другой сети пингуются а сервер нет!
Причина – включился брандмауэр на сервере он на 2012 сервере сам включается.
Отключаем во всех 3 профилях публичном частном и доменном. И надо похвалить программистов что так сделали а не говорить матерных слов – совсем недавно сервер 2000 -й без firewall и обновлений ну никак нельзя было даже в локальную сеть соединять – там начинает шевелиться мыш открывается само собой куча окошек говорит что то по китайски рассылает мильон писем спама и показывает наконец синий экран – взломали все!

для отладки – в консоле mmc Routing Remote Access Server есть список подсоединенных клиентов – по записи можно щелкнуть и посмотреть какой выделен адрес.
И еще опять же брандмауэр firewall не должен мешать 1723 порт достаточно открыть. И протокол GRE это больше относится к интернет провайдеру и к настройкам модемов ADSL, если упорно не работает надо просить помощи у провайдера, поменяют свои настройки или откроют нужные порты если они закрыты.
Дальше – в маршруты добавляются на сервере RRAS ipv4 static route
0.0.0.0 0.0.0.0 interface lan 192.168.3.1 metric 200
(.. 1.1 для второго сервера – это шлюз для интернета.
192.168.1.0 255.255.255.0 interface соединение1 (на другой сервер) там выбор из списка перепутать сложно metric 3
второй сервер ..3.0 connection2 (на 1 сервер) metric 3.
зтот маршрут перехватит все пакеты с одной сети на другую и они уйдут в vpn tunnel через роутеры.
А остальные пакеты из локальной сети убегут в интернет и ответ прибежит через NAT.

Реально такая конфигурация – выглядит как 2 тоннеля навстречу
как метро например. В локальных сетях может быть по 200 компьютеров. Скорость большая, если связь хорошая она ничем не ограничивается. isa server не нужен. cisco то же. (я признаю что с них и взято по видимому). Если компьютеров мало то на серверах запускается – по кругу зациклить можно если bat файл команд – команда ping на адрес другого сервера и окно командной строки можно свернуть. И в автозагрузку его. Если кто не знает то на серверах админ может автоматом зайти в систему – набрать надо control userpasswords2 и снять галку требовать пароль. На безопасность это не влияет по сети пароль спрашивается, сохраняется в реестре .. открытым текстом.
ping -t 192.168.0.1 (с того который .3.1).

 

update обновление !

(положите статью на форум общие вопросы по безопасности по русски Microsoft – кое что полезно не только хакеру а и сис админу инженеру по безопасности)

Заработало вроде  Server 2012 R2 <> Server 2008 R2

На стороне сервера 2008 при настройке статических маршрутов – уменьшаем метрику для исходящего интерфейса 4 .. 3 ..2 не надо с 3 работает – может быть маршрутизатор настроен в 2 службах – еще и в стандартном  tcp-ip в настройках реестра можно указать IPEnableRouter =1 оба роутера могут вместе работать но будут глюки. И на 2012 сервере Обязательно ! разные имена пользователей для входящего и исходящего соединения и Английскими буквами и цифры можно только без пробела (иначе мастер настройки выдаст только ошибку).
// windows xp – server 2016 ..Services/tcpip/Parameters
IPEnableRouter
ForwardBroadcasts
EnableICMPRedirect
на рабочих станциях ! тоже ставим все в 1 на тех где сразу не заработало
Как переводится с английского ping – представляем мячик теннисный он с одной ракетки летит – через трубу – тоннель в интернете – и отбивается другой
ракеткой обратно.
Если на какой то системе Windows не работает Shutdown застрелить сразу не надо .. по такой настройке DHCP выше если внимательно прочитали то и так работает и этого делать не обязательно,
это совсем другая служба -сервис ..
DWORD=1 //
если в сети есть сервер не настраиваемый DHCP то на нем надо маршрут прописать
route add 192.168.3.0 mask 255.255.255.0 192.168.0.1 metric 3 /
p
192.168.0.1 шлюз и сервер vpn (для 1 сети) + IPEnableRouter=1.

Открываем компьютеры в сети по названию имени а не по ip адресу – не надо настраивать dns ни к чему, просто редактируем

etc/hosts

(ну да с юникса взято на виндоуз) на 64-битных системах

explorer проводник windows и notepad блокнот открываем нажатием win+r , а 32-bit программы не имеют доступ в папку system32 – только syswow64 и реестр у них свой Wow6432Node

( unix-like /etc/hosts )

%WINDIR%/System32/Drivers/etc

hosts

[code collapse=”0″]

192.168.3.1 server1

192.168.1.1 server2

192.168.1.161 sklad

192.168.3.7 boss

[/code]

маршруты все таки добавляю и правила firewall на фряхе FreeBSD router говорят сложное самое ну извиняюсь если и сам с первого раза ниасилил – поправьте если что – root@ или comment только оставляйте email.

[code collapse=”0″]
root@pc1:~# route show 0.0.0.0
route to: default
destination: default
mask: default
gateway: host-xx.qwerty.ru
fib: 0
interface: igb1
flags: <UP,GATEWAY,DONE,STATIC>
recvpipe sendpipe ssthresh rtt,msec mtu weight expire
0 0 0 0 1500 1 0
root@pc1:~# route show 192.168.40.0
route to: 192.168.40.0
destination: 192.168.40.0
mask: 255.255.255.0
gateway: srv01
fib: 0
interface: igb0
flags: <UP,GATEWAY,DONE,STATIC>
recvpipe sendpipe ssthresh rtt,msec mtu weight expire
0 0 0 0 1500 1 0
192.168.0.0 -//- the same
#route add 192.168.0.0 192.168.3.2
# vpn pptp сервера в локальной сети – чуть им хвосты не поотрывал =
# не работает и все – если они не раздают интернет убрать с вкладки nat
# ipv4 все интерфейсы кроме внутреннего
# when pptp vpn server not used for Internet NAT address translation –
# remove all interfaces from router-vpn MMC console, except Internal

#server FreeBSD (router ) two LAN igb0 192.168.3.211 + Internet igb1
root@pc1:~# ipfw show
00100 30 1492 allow tcp from any to me dst-port 1723 in via igb1
00200 12792816 9652646519 nat 123 ip from any to me recv igb1 in
00300 3259143 1651478424 allow ip from any to any in
00400 406886 28503644 nat 123 gre from 192.168.3.0/24 to any xmit igb1 out
00500 2388000 1043444441 nat 123 ip from 192.168.3.0/24 to any xmit igb1 out
00600 435329 42213191 allow gre from any to any
00700 3744758 3998105291 allow ip from any to any via igb0
00800 255905 432263844 allow ip from any to any via lo0
00900 277538 15542994 allow icmp from any to any
01000 0 0 allow ipv6-icmp from any to any
01100 4963664 3318182784 allow ip from any to any
65535 151 12190 deny ip from any to any
root@pc1:~#
ipv6 ping6 ne nastroen
# server 192.168.3.2 (vpn pptp server Windows 2012)
===========================================================================
Список интерфейсов
32………………………srv01m
31………………………RAS (Dial In) Interface
13…54 04 a6 db d6 d6 ……Сетевое подключение Intel(R) 82574L Gigabit #2
12…54 04 a6 db d6 d7 ……Сетевое подключение Intel(R) 82574L Gigabit
1………………………Software Loopback Interface 1
14…00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
15…00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
16…00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
17…00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
===========================================================================

IPv4 таблица маршрута inet1=address ip static from Store1
0.11, 3.12 – Internal vpn routers interfaces
(route add) 192.168.0.0 (mask ) 255.255.0.0 192.168.3.2 (metric ) 35 (/p ) //save into Windows Registry Do not forget set parameter in Tcp-ip Service (system/current.. services/tcpip/parameters) IPEnableRouter=1
192.168.40.0 255.255.255.0 192.168.3.2 35
for LAN connection interface – in Route/RAS/VPN console – 192.168.0.0 255.255.0.0 interface lan (3.0 ) metric 60 gateway 3.2 ; 192.168.40.0 255.255.255.0 interface lan (3.0 ) metric 60 gateway 3.2
default gateway 0.0.0.0 mask 0.0.0.0 metric 260

For Interface remote router:
192.168.0.0 255.255.0.0 metric 15 gateway 3.2
192.168.40.0 255.255.255.0 metric 15 gateway 192.168.3.2
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.3.211 192.168.3.2 266
inet1 255.255.255.255 192.168.3.211 192.168.3.2 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.0.0 On-link 192.168.3.2 45
192.168.0.0 255.255.255.0 On-link 192.168.0.11 25
192.168.0.11 255.255.255.255 On-link 192.168.0.11 266
192.168.0.12 255.255.255.255 On-link 192.168.0.11 11
192.168.0.255 255.255.255.255 On-link 192.168.0.11 266
192.168.3.0 255.255.255.0 On-link 192.168.3.2 266
192.168.3.2 255.255.255.255 On-link 192.168.3.2 266
192.168.3.11 255.255.255.255 192.168.3.11 192.168.3.12 31
192.168.3.12 255.255.255.255 On-link 192.168.3.12 286
192.168.3.255 255.255.255.255 On-link 192.168.3.2 266
192.168.40.0 255.255.255.0 On-link 192.168.0.11 40
192.168.40.255 255.255.255.255 On-link 192.168.0.11 266
192.168.255.255 255.255.255.255 On-link 192.168.3.2 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.3.2 266
224.0.0.0 240.0.0.0 On-link 192.168.3.12 286
224.0.0.0 240.0.0.0 On-link 192.168.0.11 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.3.2 266
255.255.255.255 255.255.255.255 On-link 192.168.3.12 286
255.255.255.255 255.255.255.255 On-link 192.168.0.11 266
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.3.211 350
192.168.0.0 255.255.0.0 192.168.3.2 35
192.168.40.0 255.255.255.0 192.168.3.2 35
===========================================================================

IPv6 таблица маршрута //standard – no-ipv6 configure – fc00:1::4-mac-digit
or mac (3) -fe ff -mac (3)
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
15 306 2001::/32 On-link
15 306 2001:0:9d38:6ab8:3851:3c2:3f57:fcfd/128
On-link
31 306 ee49:5002::/64 On-link
31 306 ee49:5002::/128 On-link
31 306 ee49:5002::1c26:a74:68b0:2eec/128
On-link
13 266 fe80::/64 On-link
31 306 fe80::/64 On-link
15 306 fe80::/64 On-link
13 266 fe80::999:743a:a402:b62/128
On-link
31 306 fe80::1c26:a74:68b0:2eec/128
On-link
15 306 fe80::3851:3c2:3f57:fcfd/128
On-link
1 306 ff00::/8 On-link
13 266 ff00::/8 On-link
15 306 ff00::/8 On-link
31 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

2 других сервера в подразделениях точно так же

[/code]


не туда стрельнул – в gnome после нажатия shift prtscr надо мышой выделить прямоугольник a лучше imagick делает screenshot здесь был файлик сохраняющий 3 снимка за секунду скрипт bourne shell.

ну да связь на 3 подразделение идет через подключение второго – srv01m
(это не обязательно – так чуть больше ping но меньше соединений устанавливается)

треугольник если тоже работает (2012 2016 сервер, на 2016 – сделали обновление – может исправлять мелкие повреждения в реестре RemoteAccess ).

смотрим еще статью по фряхе ipfw kernel router – как показывает практика он надежнее НО если не будет случайный сбой питания да и с виндой связь – нужны сторонние для FreeBSD программы. // mpd можно поставить руководств полно как работает не проверял

  • тут электрики устроили проверку –  выключался свет часто за минуту раза 4 и потом 2 часа не было света. На винде сервер может и запустил проверку диска- скорее откат последних изменений по ntfs, и загрузился потом нормально, на плате включен запуск в последнее состояние при включении питания. ( на всех новых bios  есть включение по таймеру – может не работать! и проверка включена или выключена была плата перед отключением питания – функции ATX). Сервер на фряхе тоже сказал что все нормально журнал включен и последние изменения исправлены, а потом при загрузке стал перегружаться по кругу – какая то из служб ядра давала сбой из-за ошибки диска. Исправилось входом в однопользовательский режим single user mode и fsck -y 2 раза, после чего не загрузился Gnome 3 пришлось переставить gdm из пакетов. На диске были значит более серьезные повреждения, и на восстановление ушло 4 часа -диск большой. … продолжение заменил его вообще 1600 переносов секторов внезапно чуть не проглядел вроде wd шка не сигейт – ssd уже надежнее не дохнут как мухи можно менять.

по серверу проверки разрешений для удаленного доступа nps (ias) в 2012 сервере в 2016 npas.
Работает! пишу по памяти не проверяя все – Если вдруг на роутере перестали подключаться клиенты то дело в нем а точнее в ошибках настройки которые непонятно откуда возникают. Починилось – пришлось поставить запуск SQL а точнее MICROSOFT##WID от LocalSystem.
потом удалить и переставить заново NPS, заново настроить исходящие соединения на другом сервере и перезагрузить еще, после этого заработало. Еще надо проверить права для ключей реестра – ..Services\RemoteAccess и RaMgmtSvc а также Tcpip и все по интерфейсам сети –
придется искать поиском по названию или id интерфейса их с десяток записей по каждому. На всех должно быть разрешение на чтение для LocalService NetworkService полный доступ операторам настройки сети системе и администраторам.
После этого всего надо обязательно запустить мастер настройки NPS он работает и удалит всякие старые политики оставшиеся еще с обновленного 2003 сервера вроде класса сетевых устройств ^311 . Работает и без него только удалять обязательно при всех работающих службах! Не работает почему то с пользовательским ключом .. правила ipfw на роутере вроде правильные а windows vpn в локальной сети, так надежнее – проверить надо может какие пакеты не проходят.
Реестр винды – лучше сделать архив со всеми правами доступа.
[code]
icacls “c:\program files\update services\*” /save updateserv_ACL /t
#/restore – restore access control list for all files in folder .. remove all NTFS symbolic links first!
takeown /F “c:\Program Files\*.*” /R /A /D Y
setacl (regini set correct registry permission or from Regedit)
reg save HKLM\System\CurrentControlSet\Services serv
// save with all access rights //reg restore do if corruption

[/code]

полностью обсуждение по ключам и политикам l2tp ikev2 vpn пользовательский ключик на 2012 сервере у меня не заработал что то выдал ошибку ikev2 router не при чем порты проброшены см статью esp добавлен ключ реестра для encapsulate в udp .. похоже просто ни в какую ikev2 не работает за исключением 2008 r2
(журнал событий включаем и смотрим с диспетчера сервера это винда 2012 2016)

[code]

TechNet
Продукты
Ресурсы
Скачать
Обучение
Поддержка

войти
Россия (Русский)Drop down arrow
ГлавнаяНовостиБиблиотекаОбучениеСкачатьМероприятияСообществоФорумыПоддержкаО проекте
Задайте вопрос
Быстрый доступ
Поиск связанных бесед

Спрашивающий
Аватар пользователя ItDen

20
баллов
Топ 40
ItDen
Присоединение May 2016

4

Обсуждения ItDen
Показать действия
Главные связанные обсуждения

VPN доступ с использованием IKEv2
RAS-сервер. IKEv2. Ошибка 13801.
VPN IKEv2 сертификат
812 ошибка на Windows Phone 8.1 VPN IKEv2
Не работает авторизация клиентов на сервере vpn по протоколу IKEv2

VPN доступ с использованием IKEv2 ошибка 13801
Защита информационных систем
>
Прочие вопросы по безопасности

Вопрос
Question
Нужно войти
0
Нужно войти

Всем доброго!

Настроил я сервак впн для работы с ikev2. Но не очень понял в чем проблема при подключении: Пока проверяю внутри сети на отдельной машине. Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local, то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает “неприемлемые учетные данные проверки подлинности ike”. И соответственно, сейчас открыли все что нужно на маршрутизаторе, чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку “неприемлемые учетные данные проверки подлинности ike”. Это с чем может быть связано?

Соответсвенно в логах ВПН сервера регистрируется вот такое событие:
“Имя журнала: System
Источник: RemoteAccess
Дата: 02.06.2017 16:04:24
Код события: 20255
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: VPNSRV.Firma.local
Описание:
CoID={F55B7B1A-90C5-51A1-58E3-887C43DB27A2}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-47, пользователь: <Непроверенный пользователь>. Таймаут согласования”

Единственное место где я указал vpnserver.firma.local при настройке всего этого хозяйства (RRAS+CA+NAP) – это когда через веб интерфейс на сервере сертификатов СА (http://caserver/srvcert) делал сертификат для ВПН сервера. Там при выборе шаблона этого сертификата становятся доступны поля и надо было заполнить поле имя. Процесс делал по видео https://www.techdays.ru/videos/1503.html.
Сталкивался кто-то с подобной конфигурацией по настройкам и такой ошибкой?
2 июня 2017 г. 13:25
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы

Все ответы

Question
Нужно войти
0
Нужно войти

Если в свойствах впн подключения на клиенте указано полное доменное имя впн сервера vpnserver.firma.local, то я могу подключиться к серверу, если указать просто vpnserver без домена, то клиентское подключение сообщает “неприемлемые учетные данные проверки подлинности ike”. И соответственно, сейчас открыли все что нужно на маршрутизаторе, чтобы можно было на впн сервак попадать уже из инета, и получается в свойствах клиентского подключения мы меняем адрес пока на внешний ip 2xx.xx.xx.xx. И при попытке подключиться к впн серверу получаем такую же ошибку “неприемлемые учетные данные проверки подлинности ike”. Это с чем может быть связано?

всё правильно. при подключении IKEv2 идёт проверка сертификата сервера (полное имя, кем выдан, срок действия). У Вас на какое имя выдан сертификат сервера? вот по нему (имени) и будет возможно подключение к серверу. Нужно подключение по другим именам – добавляйте их в сертификат.
2 июня 2017 г. 13:36
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Нужно подключение по другим именам – добавляйте их в сертификат.

Не поясните пож-та как другие данные для подключения добавить в сертификат?

Сейчас нашел статейку по траблшутингу IKEv2:

Я правильно понимаю, что из следующих причин:

Error 13801 occurs on the client when:
-The certificate is expired.
-The trusted root for the certificate is not present on the client.
-The subject name of the certificate does not match the remote computer.
-The certificate does not have the required Enhanced Key Usage (EKU) values assigned.

что проблема 13801 в моем случае это номер 3 – The subject name of the certificate does not match the remote computer? Типа как я ее понимаю – что имя субъекта, которое записано в сертификате на ВПН сервер, а это vpnsrv.firma.local не соответсвует тому что я ввожу на удаленной машину с которой делаю подключению к ВПН серверу? А я ввожу пока внешний IP нап котором опубликован ВПН сервак, в дальнейшем когда все будет отлажено и заработает надо будет закрепить за этим внешний IP имя имеющегося у нас домена vpn.firma.com.

Вот я и пытаюсь понять взаимосвязь всего этого

2 июня 2017 г. 13:39
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Не поясните пож-та как другие данные для подключения добавить в сертификат?

Вы доменный центр сертификатов используете?

Я правильно понимаю, что из следующих причин:

правильно. третья причина.
2 июня 2017 г. 13:47
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Вы доменный центр сертификатов используете?

Да! Я буквально на днях поднял свежий СА.
Изменено ItDen 2 июня 2017 г. 13:55
2 июня 2017 г. 13:54
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте “локальный.IP.адрес.сервера vpn.firma.com”). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.

Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)

VPN сервер на какой винде?

Изменено Anahaym 2 июня 2017 г. 14:41
2 июня 2017 г. 14:37
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте “локальный.IP.адрес.сервера vpn.firma.com”). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.

Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)

VPN сервер на какой винде?

ВПН сервер на Windows Server 2008R2. За ссылку спасибо. Изучу сейчас
5 июня 2017 г. 7:42
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

вот здесь описывается выпуск сертификата для IKEv2. сертификат нужно создать с именем vpn.firma.com (для тестирования в локальной сети, на клиенте в файле hosts добавьте “локальный.IP.адрес.сервера vpn.firma.com”). Вначале настраиваете шаблон в CA, потом на ВПН сервере отрываете оснастку (mmc) сертификаты, и запрашиваете сертификат там.

Выдача сертификатов через веб-интерфейс, может потребоваться только для не доменных компов и Apple OS X (да и то, если авторизация будет не по логину и паролю пользователя, а по сертификату)

VPN сервер на какой винде?

А как еще лучше поступить, если сейчас пока можно стучаться на новый ВПН сервер из вне, только на IP адрес? Просто доменное имя vpn.firma.com используется сейчас для старого PPTP сервера ВПН. И сразу всех мигрировать на новый не получится наверное… Надо еще новый погонять с минимумом клиентов. А потом уже, как буду уверен что новый ВПН исправно работает, запущу его уже через vpn.firma.com
5 июня 2017 г. 11:59
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Выпустите сертификат на имя vpn1.firma.com и тестируйте. “А” запись в публичном ДНС не забудьте добавить
5 июня 2017 г. 16:48
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Выпустите сертификат на имя vpn1.firma.com и тестируйте. “А” запись в публичном ДНС не забудьте добавить

Сделал по инструкции. Но если проверять внутри сети, то все работает, а если подключаться с наружи, пишет при попытке подключения “Ошибка 13863 – Недопустимая ситуация”. И в логах на RRAS сервере тоже самое.

Я сначала думал, что может на брандмауэре что-то не открыто, но раз в логах сообщение регистрируется, значит дело в чем-то другом.
8 июня 2017 г. 7:39
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
1
Нужно войти

Нашел решение!

Эта ошибка лечится путем установки обновления – KB2686921
Предложено в качестве ответа Anahaym 8 июня 2017 г. 8:58
8 июня 2017 г. 8:00
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Наверное вопрос уже не по этой теме, но чтобы не плодить новых по схожим вопросам…..

После настройки всего описанного выше в этой теме хозяйства – CA+RRAS+NAP=IKEv2 VPN все работало исправно. К настроенному серверу ВПН конектились как Windows клиенты, так и MAC OS. Сегодня обнаружил, что клиент MAC (он пока был единственный) не может подключиться. На самой MAC OS ни каких ошибок не выводится, просто подключение секунд 40-50 пытается выполниться и после просто пишет “Не подключено”.

А в логах ВПН сервера регистрируется вот такое событие:

Имя журнала: System
Источник: RemoteAccess
Дата: 14.06.2017 14:13:45
Код события: 20255
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: VPNSRV.firma.local
Описание:
CoID={8A6EE18B-B2D3-A2E2-0B0A-0B4553982078}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: Petrov.P. Ошибка сопоставления групповой политики

В групповых политиках ни чего не менял и не добавлял по поводу сертификатов, RRAS и ВПН и что могло послужить причиной такой ошибки теперь пока не понял (
Изменено ItDen 14 июня 2017 г. 11:41
14 июня 2017 г. 11:39
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
попробуйте под другим пользователем подключится.
14 июня 2017 г. 12:12
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Поторопился с постом ).

Нашел все таки причину. Все таки я поменял кое что в настройках политики подключения в NAP.

В свойствах политики удаленного доступа в NAP на вкладке “Параметры” в разделе Шифрование

стояли галочки Простое шифрование (MPPE 40 бит), Сильное шифрование (MPPE 56 бит) и стойкое шифрование (MPPE 128 бит). Я после того как все проверил отключил 40 и 56 бит. Оставив только 128.

Странно MAC OS не умеет что ли 128 бит гонять? Поставил галочку на 56 бит, 40 бит оставил отключенным и MAC OS нормально зацепилась к ВПН!
14 июня 2017 г. 12:13
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Странно MAC OS не умеет что ли 128 бит гонять? Поставил галочку на 56 бит, 40 бит оставил отключенным и MAC OS нормально зацепилась к ВПН!

умеет. но у нас L2TP VPN
14 июня 2017 г. 13:41
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Скажите пож-та еще одна проблемка появилась. У нас есть удаленный офис который пока коннектился к старому нашему ВПН сервере по PPTP. Как на зло вчера это сервак “скончался” и удаленный офис потерял возможность подключения. Начал им настраивать подключение к новому ВПН серверу и не получается установить соединение!!

В логах пишет –

CoID={2036AADE-7BDB-946F-3AF0-F02168A6358A}: Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: <Непроверенный пользователь>. Таймаут согласования

Я ни как не могу понять в чем дело! Проверяю этого пользователя у себя в офисе – раздаю интернет с мобильника и со своего ноута подключаюсь спокойно к ВПН, а у них (в Баку) не получается! Настройки уже раз 10 проверил! Да и настроек то там – импортировал корневой сертификат на машину и создал новое ВПН подключение.

И назрел попутный вопрос, а как сделать так, чтобы к моему ВПН серверу не только по IKEv2 могли подключаться, но и по PPTP? Есть такая возможность?

Но конечно хотелось бы понять, почеум они не могут подключиться. Пока не нашел причины
16 июня 2017 г. 7:11
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

И назрел попутный вопрос, а как сделать так, чтобы к моему ВПН серверу не только по IKEv2 могли подключаться, но и по PPTP? Есть такая возможность?

да есть, по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2. просто перенастройте клиента на PPTP. Посмотрите эту статью, чтобы проверить PPTP.
16 июня 2017 г. 7:22
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти
Спасибо! Но я по ссылке чего-то не могу пройти – NET::ERR_CERT_REVOKED – выдает мне Хром
16 июня 2017 г. 7:37
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Просто я сейчас у себя в офисе попробовал настроить впн клиентский ноут на PPTP, как делал это уже 100 раз, пытаюсь прицепиться к своему новому серваку ВПН и мне клиент выдает – Долго висит на “Установка связи с <имя домена.com>(это имя привязано к сертификату, я выше про это спрашивал) с использованием WAN мини-порт…..”. Ошибка 807. Сетевое подключение к серверу ВПН прервано…..
16 июня 2017 г. 7:46
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

попробуйте другой бразузер, чтобы открыть ссылку.

включите логирование на firewall, и смотрите – есть ли активность на 1723 порт. Проверьте, что все порты проброшены куда надо.
16 июня 2017 г. 8:02
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти
А! Ну да, у нас к серверу ВПН проброшены только UDP 500 и UDP 4500, UDP 50
16 июня 2017 г. 8:34
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
список всех портов для VPN.
16 июня 2017 г. 8:37
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

список всех портов для VPN.

Да спасибо! Скажите пож-та, а может ли данная ошибка Следующая ошибка возникла в модуле протокола точка-точка (PPP), порт: VPN1-49, пользователь: <Непроверенный пользователь>. Таймаут согласования – говорить о том, что их провайдер, что-то режет по трафику?

У них такая ошибка если они пытаюстся через провайдера подключаться и то же самое если через мобилу интернет расшаривают. Такое ощущение что у них там с IPSEC как-то……
16 июня 2017 г. 9:01
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
да, провайдеры могут блочить VPN протоколы, по этому мы перешли на SSTP. Он использует 443 порт, который лучше провайдерам не блочить )
16 июня 2017 г. 9:32
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

да, провайдеры могут блочить VPN протоколы, по этому мы перешли на SSTP. Он использует 443 порт, который лучше провайдерам не блочить )

Я выше спрашивал, что можно ли вместе IKEv2 на серваке использовать и PPTP. Наверное и SSTP можно прикрутить тогда? PPTP конечно не гуд, мы для этого и перешли на новый сервак с IPSEC(IKEv2)
16 июня 2017 г. 9:54
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
я выше отвечал – могут одновременно работать четыре VPN на одном сервере PPTP, L2TP, SSTP, IKEv2 + одновременно может работать DirectAccess если в компании есть Windows Enterprise или подключается Windows Server. Но DirecAccess проще ставить на 2012 R2, где IKEv2 не работает.
Изменено Anahaym 16 июня 2017 г. 10:29
16 июня 2017 г. 10:29
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

прошу прощения, но я поэтому и пересеспросил ), выше вы написали 3 протокола по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2…

ОК! Спасибо! Получается для SSTP мне надо еще и 443 порт до ВПН сервера прокинуть?
16 июня 2017 г. 10:57
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

прошу прощения, но я поэтому и пересеспросил ), выше вы написали 3 протокола по умолчанию работают три VP{N протокола: PPTP, L2TP, IKEv2…

ОК! Спасибо! Получается для SSTP мне надо еще и 443 порт до ВПН сервера прокинуть?

совершенно верно. Забыл про SSTP (
16 июня 2017 г. 11:02
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Спасибо за Вашу помощь. Раз уж мы тут так говорим об ВПН сервере.. Можно еще спросить?

Скажите пож-та а в каких случая надо ставить галочки в Сервере Политики Сети – NAP, в свойствах политики на вкладке “Ограничения”. Там есть пункт тип порта NAS и там куча типов туннелей. У меня ни чего там по умолчанию и не выбрано. Просто интересно когда это используется и в каких случаях?
16 июня 2017 г. 13:05
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

если я правильно понял, то это указывает политике, что она применяется для физического интерфейса NAP сервера, если у него таковых несколько. Например, если отметить галкой Wireless – IEEE 802.11 – то политика будет применяться только, если сервер имеет WiFi карту, и клиенты подключаются к ней.

могу ошибаться. сам не использую.
16 июня 2017 г. 13:54
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Добрый день!

Может так еще на вскидку подскажете в чем может быть проблема?

Есть один ПК с Win10 Домашняя в удаленном филиале. Он ни как не может подключиться к моему новому серверу ВПН! При подключении выдается стандартное сообщение “Не удалось установить связь по сети между компьютером и ВПН сервером, т.к. удаленный сервер не отвечает. Возмодная причина….NAT, брандмауэр и т.п. не настроено на разрешение ВПН подключений……”

В логах клиентского компьютера есть такое:

Пользователь \Petya установил удаленное подключение с Head Office которое завершилось сбоем. Возвращен код ошибка 809.

А на самом ВПН сервере в логах ни чего не регистрируется. Такое ощущение, что то ли трафик не доходит до сервера, то ли на этом этапе ему еще не чего регистрировать в лог (

Но другие ПК в этом удаленном офисе где стоит Win7 нормально подключились

Изменено ItDen 21 июня 2017 г. 8:12
21 июня 2017 г. 8:05
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

проверьте реестр на клиенте:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\AssumeUDPEncapsulationContextOnSendRule = 2

21 июня 2017 г. 8:22
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Нет! На проблемном ПК такого параметра нет в разделе PolicyAgent.

А что это за параметр? Его надо создать?

Погуглив я так понял, что параметр влияет при размещении сервера ВПН за NAT?

Сейчас обнаружился у них еще один пользователь с ноутом с Win10 Home. Я на нем настроил подключение и оно успешно выполнилось. Такое ощущение, что на том, первом ПК с Виндой 10 Хоум о которой я выше писал, может нет какой-то обновы? ( Хотя я сейчас проверил обновы на нем и винда нашла только на NetFramework 4.5 и все!

Изменено ItDen 21 июня 2017 г. 9:32
21 июня 2017 г. 9:30
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Погуглив я так понял

я вообще-то ссылку давал. Обидно, когда их не читают…
Да, этот ключ надо создавать, если компрьютер использует L2TP и находится за NAT. У IKEv2 такой проблемы нет.
21 июня 2017 г. 9:42
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Погуглив я так понял
я вообще-то ссылку давал. Обидно, когда их не читают…
Да, этот ключ надо создавать, если компрьютер использует L2TP и находится за NAT. У IKEv2 такой проблемы нет.

Извиняюсь). Я тут еще параллельно запросы обрабатываю от других пользователей, немного в торопях все делаю(. В ответе выхватил взглядом параметр реестра и погуглив нашел ту же статью, что и по вашей ссылке ). Спасибо! Сейчас попробую создать параметр. Посмотрим. Благодарю!
21 июня 2017 г. 9:54
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Не помог данный параметр реестра! Картина та же.
21 июня 2017 г. 10:56
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
установите приложение nmap и проверьте доступность портов VPN
21 июня 2017 г. 11:23
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

установите приложение nmap и проверьте доступность портов VPN

Так другие же ПК с этого офиса могут к ВПН серверу цепляться. Значит с портами все ок! Или тут другой смысл?
21 июня 2017 г. 11:28
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

я не знал, что это тот же офис.
21 июня 2017 г. 11:37
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

Да я вроде выше писал… Может запутал конечно Вас. Сори.

Итог, чтобы не путаться):

Есть удаленный офис – 7 чел.

3 PC Win10 Home и остальные Win7.

Все из этих ПК уже имеют доступ к новому ВПН серверу без проблем. Но вот один на Win10 home ведет себя криво. Что выше постами и описано (

Пока не смог понять что с ним не так. Параметр реестра не помог, обновления стоят все!
21 июня 2017 г. 11:45
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Но вот один на Win10 home ведет себя криво. Что выше постами и описано (

по всем протоколам проблемы? L2TP, PPTP, IKEv2 ?
21 июня 2017 г. 11:49
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

По другим не проверял, т.к. до сервера проброшен только IPSEC (IKEv2)

Видимо надо проверить хотя бы PPTP
21 июня 2017 г. 11:52
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

Но вот один на Win10 home ведет себя криво. Что выше постами и описано (

по всем протоколам проблемы? L2TP, PPTP, IKEv2 ?

Доброго дня! Уже не знаю еще еще попробовать… По PPTP этот проблемный ПК подключается, а по IKEv2 ни как!
28 июня 2017 г. 12:05
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
посмотрите логи IPsec
28 июня 2017 г. 12:17
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

посмотрите логи IPsec

Я извиняюсь, а это на серваке ВПН или все таки на клиенте сделать?

Интересно то, что, к примеру, когда другие пользователи подключаются к серверу ВПН и возникают какие-то ошибки(пароль не тот ввели, какая-то проблема в настройках аутентификации и т.п.) то в логах сервера фиксируются различные события по этому поводу. А при попытках подключиться с этого проблемного ПК, на сервере ВПН вообще ни чего нет!

А в логах клиента есть 2 интересных события:

1) Ошибка 20227 – Пользователь Petrov.P установил удаленное подключение “Главный Офис”, которое завершилось сбоем. Возвращен код ошибки 809

2) И следом событие (Сведения), код 20226 – Пользователь Petrov.P установил удаленное подключение “Главный Офис”, которое было прекращено. При прикращении возвращен код ошибки 631

Изменено ItDen 28 июня 2017 г. 12:35
28 июня 2017 г. 12:29
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
на сервере. еслит нет ошибок – клиент не может физически подключится к серверу. что-то его блокирует изнутри.
28 июня 2017 г. 12:57
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти

на сервере. еслит нет ошибок – клиент не может физически подключится к серверу. что-то его блокирует изнутри.

В этом-то и загадка! Ощущение, что этот ПК по PPTP нормально гуляет, а когда IPSEC его корежит и трафик за пределы того офиса не уходит!

Я уже и фаервол выключил на ПК и антивирь удалил(на всякий случай)!

Изменено ItDen 28 июня 2017 г. 13:06
28 июня 2017 г. 13:03
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
Забыл еще сказать, что при нажатии кнопки на ВПН соединении “Подключить” на секунд 7-8 появляется “Проверка данных для входа” и все – ошибки вышеуказанные. Не знаю… Сейчас наверное Wireshark установлю на ПК, может что видно будет в дампе
28 июня 2017 г. 13:12
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти

на сервере. еслит нет ошибок – клиент не может физически подключится к серверу. что-то его блокирует изнутри.

Наловил несколько попыток подключения к ВПН серверу в Wireshark.

Не очень силен конечно в ловле багов по дампам, но может эта инфа чем-то нам поможет?

Итак от Source <IP ПК> до Destination <VPN Server> есть такие пакеты:

1) Протокол – ISAKMP, Info – IKE_SA_INIT MID=00 Initiator Request

2) Протокол – IPv4, Info – Fragmened IP Protocol (proto=UDP 17, off=0, ID=<nnnn> [Reassembled] in #<NNNNN>)

3) Протокол – ISAKMP, INFO – Auth Mid=01 Initiator Reqest

…………….

И так эти 3 строчки все время повторяются по кругу, меняются только видимо номера пакетов, я на их место написал nnnnnn и NNNNN

) Не понятно в общем
28 июня 2017 г. 13:48
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы
Question
Нужно войти
0
Нужно войти
это лог на стороне клиента? а на сервере что? есть какая активность?
28 июня 2017 г. 13:50
Ответить
|
Цитировать
Аватар пользователя Anahaym
Anahaym
6,635 Баллы
Question
Нужно войти
0
Нужно войти
Да это лог от Wireshark на проблемном ПК. А на сервере Wireshark не запускал, пока и не ставил его туда.
28 июня 2017 г. 14:00
Ответить
|
Цитировать
Аватар пользователя ItDen
ItDen
20 Баллы

© 2017 Microsoft. Все права защищены.
Управление профилем
|
Свяжитесь с нами
|
Подписка на новости
|
Условия использования
|
Товарные знаки
|
Конфиденциальность

[/code]

 

на 2008 не попробовал – в 2012 сервере работает но надо на роутере udp 500 4500 5500 tcp 1723 443 тоже проброс делать. Это ipsec ikev2 руководство по настройке .

http://exonix.ru/#!%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8/Windows_Server/VPN_L2TP_IKEv2/http://exonix.ru/#!%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D0%B8/Windows_Server/VPN_L2TP_IKEv2/

добавляю статью сюда одну !!! но это не она, а похожая, в оригинале был 2003 сервер!

 

***
</p>
<div class="page-outer bdaia-header-default bdaia-post-template-style7 bdaia-sidebar-none "><p>
</p>
<div class="bg-cover"> </div>
<p>
</p>
<aside id="bd-MobileSiderbar">
</p>
<div class="search-mobile">
<form class="search-form" role="search" action="https://xakep.ru/" method="get"><label> <span class="screen-reader-text">Найти:</span> <input class="search-field" name="s" value="" placeholder="Поиск…" type="search"> </label></form>
</div>
<p>
</aside>
</div>
<p>
</p>
<aside id="bd-MobileSiderbar">
</p>
<div id="mobile-menu"><p>
</p>
<div class="primary-menu"><p>
</p>
<ul id="menu-primary">
 	</p>
<li id="menu-item-69574" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/hack/"> <span class="menu-label">Взлом</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69575" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/malware/"> <span class="menu-label">Вирусы</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69573" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/mobile/"> <span class="menu-label">Mobile</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69577" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/coding/"> <span class="menu-label">Кодинг</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69580" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/linuxoid/"> <span class="menu-label">Linuxoid</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69581" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/admin/"> <span class="menu-label">Admin</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69579" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/soft/"> <span class="menu-label">Софт</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69576" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/ferrum/"> <span class="menu-label">Железо</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69578" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/people/"> <span class="menu-label">Люди</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69572" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/geek/"> <span class="menu-label">Geek</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-132644" class="red menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/partners/zn/"> <span class="menu-label">Zero Nights</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
</ul>
<p>
</div>
<p>
</div>
<p>
</p>
<div class="widget-social-links bdaia-social-io-colored"> </div>
<p>
</aside>
<p>
</p>
<div id="page"><p>
</p>
<div class="inner-wrapper"><p>
</p>
<div id="warp" class="clearfix bdaia-sidebar-none "><p>
</p>
<div class="header-wrapper bdaia-hibryd-menu"><p>
</p>
<div class="cfix"> </div>
<p>
</p>
<nav id="profile">Войти в свой аккаунт:</p>
<form action="https://xakep.ru/wp-login.php" method="post"><input id="log" name="log" size="15" value="" placeholder="Логин" type="text"> <input name="pwd" size="15" value="" placeholder="Пароль" type="password"></form>
</nav>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</p>
<nav id="profile">или <a href="https://xakep.ru/wp-login.php?action=register">зарегистрироваться</a></nav>
<p>
</p>
<div class="cfix"> </div>
<p>
</p>
<nav id="navigation">
</p>
<div class="navigation-wrapper"><p>
</p>
<div class="bd-container"><p>
</p>
<div class="primary-menu"><p>
</p>
<div class="logo"><p>
</p>
<h2 class="site-title"><a href="https://xakep.ru/" rel="home"> <img src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/xakep_logo_ws.png" alt="«Хакер»"> </a></h2>
<p>
</div>
<p>
</p>
<ul id="menu-primary">
 	</p>
<li id="menu-item-69574" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/hack/"> <span class="menu-label">Взлом</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69575" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/malware/"> <span class="menu-label">Вирусы</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69573" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/mobile/"> <span class="menu-label">Mobile</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69577" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/coding/"> <span class="menu-label">Кодинг</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69580" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/linuxoid/"> <span class="menu-label">Linuxoid</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69581" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/admin/"> <span class="menu-label">Admin</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69579" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/soft/"> <span class="menu-label">Софт</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69576" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/ferrum/"> <span class="menu-label">Железо</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69578" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/people/"> <span class="menu-label">Люди</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-69572" class=" menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/geek/"> <span class="menu-label">Geek</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
 	</p>
<li id="menu-item-132644" class="red menu-item menu-item-type-taxonomy menu-item-object-category bd_depth- bd_menu_item "><a href="https://xakep.ru/category/partners/zn/"> <span class="menu-label">Zero Nights</span></a>
<br />
<div class="mega-menu-content"> </div>
</li>
<p>
</ul>
<p>
</div>
<p>
</p>
<div class="bdaia-nav-search"><p>
</p>
<div class="bdaia-ns-wrap"><p>
</p>
<div class="bdaia-ns-content"><p>
</p>
<div class="bdaia-ns-inner">
<form id="searchform" action="https://xakep.ru/" method="get"><input id="s" class="bbd-search-field search-live" autocomplete="off" name="s" value="Поиск по заголовкам статей" type="text"></form>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</nav>
<p>
</p>
<div class="page-outer bdaia-header-default bdaia-post-template-style7 bdaia-sidebar-none "><p>
</p>
<div id="page"><p>
</p>
<div class="inner-wrapper"><p>
</p>
<div id="warp" class="clearfix bdaia-sidebar-none "><p>
</p>
<div class="header-wrapper bdaia-hibryd-menu">
<nav id="navigation">
</p>
<div class="navigation-wrapper"><p>
</p>
<div class="bd-container"><p>
</p>
<div class="bdaia-nav-search"> </div>
<p>
</p>
<div class="cfix"> </div>
<p>
</p>
<div class="bdaia-alert-new-posts-content"><p>
</p>
<div class="bdaia-alert-new-posts-inner"><p>
</p>
<div class="bdaia-anp-inner"><p>
</p>
<div class="bd-col-xs-4 bd-col-sm-3 bd-col-md-2 sub sub-year"><p>
</p>
<p class="desc"><img src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/xakep_logo_w.png" alt="/"></p>
<p>
<a href="https://xakep.ru/wp-admin/users.php?page=paywall_subscribes&from=paywall_subscribe&subscribe=12_months"><img src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/issue-stub.png" alt="/" width="210" height="280"></a>

</div>
<p>
</p>
<div class="bd-col-xs-4 bd-col-sm-3 bd-col-md-2 sub sub-month"><p>
</p>
<p class="desc"><img src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/xakep_logo_w.png" alt="/"></p>
<p>
<a href="https://xakep.ru/wp-admin/users.php?page=paywall_subscribes&from=paywall_subscribe&subscribe=1_month"><img src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/issue-stub.png" alt="/" width="210" height="280"></a>

</div>
<p>
</p>
<div class="bd-col-xs-4 bd-col-sm-3 bd-col-md-2 current_issue"><p>
</p>
<div class="img-wrap"><a href="https://xakep.ru/issues/xa/221"><img class="attachment-medium size-medium wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/Cover_221-210x280.png" sizes="(max-width: 210px) 100vw, 210px" srcset="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/Cover_221-210x280.png 210w, https://xakep.ru/wp-content/uploads/2017/06/128900/Cover_221-70x93.png 70w, https://xakep.ru/wp-content/uploads/2017/06/128900/Cover_221.png 768w, https://xakep.ru/wp-content/uploads/2017/06/128900/Cover_221-675x900.png 675w" alt="" width="210" height="280"></a></div>
<p>
</div>
<p>
</p>
<div class="bd-col-xs-4 bd-col-sm-3 bd-col-md-2 "><p>
</p>
<div class="img-wrap"><a href="https://xakep.ru/issues/xa/220"><img class="attachment-medium size-medium wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/cover_220-210x280.jpg" sizes="(max-width: 210px) 100vw, 210px" srcset="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/cover_220-210x280.jpg 210w, https://xakep.ru/wp-content/uploads/2017/05/125793/cover_220-70x93.jpg 70w, https://xakep.ru/wp-content/uploads/2017/05/125793/cover_220.jpg 768w, https://xakep.ru/wp-content/uploads/2017/05/125793/cover_220-675x900.jpg 675w" alt="" width="210" height="280"></a></div>
<p>
</div>
<p>
</p>
<div class="bd-col-xs-4 bd-col-sm-3 bd-col-md-2 "><p>
</p>
<div class="img-wrap"><a href="https://xakep.ru/issues/xa/219"><img class="attachment-medium size-medium wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/cover_219-210x280.jpg" sizes="(max-width: 210px) 100vw, 210px" srcset="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/cover_219-210x280.jpg 210w, https://xakep.ru/wp-content/uploads/2017/03/117504/cover_219-70x93.jpg 70w, https://xakep.ru/wp-content/uploads/2017/03/117504/cover_219.jpg 768w, https://xakep.ru/wp-content/uploads/2017/03/117504/cover_219-675x900.jpg 675w, https://xakep.ru/wp-content/uploads/2017/03/117504/cover_219-610x813.jpg 610w" alt="" width="210" height="280"></a></div>
<p>
</div>
<p>
</p>
<div class="bd-col-xs-4 bd-col-sm-3 bd-col-md-2 "><p>
</p>
<div class="img-wrap"><a href="https://xakep.ru/issues/xa/218"><img class="attachment-medium size-medium wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/Cover_218-210x280.jpg" sizes="(max-width: 210px) 100vw, 210px" srcset="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/Cover_218-210x280.jpg 210w, https://xakep.ru/wp-content/uploads/2017/03/116466/Cover_218-70x93.jpg 70w, https://xakep.ru/wp-content/uploads/2017/03/116466/Cover_218.jpg 768w, https://xakep.ru/wp-content/uploads/2017/03/116466/Cover_218-675x900.jpg 675w, https://xakep.ru/wp-content/uploads/2017/03/116466/Cover_218-610x813.jpg 610w" alt="" width="210" height="280"></a></div>
<p>
</div>
<p>
</p>
<div id="sub-help"> </div>
<p>
</div>
<p>
</p>
<div class="cfix"> </div>
<p>
</div>
<p>
</div>
<p>
</p>
<div class="cfix"> </div>
<p>
</div>
<p>
</div>
<p>
</nav>
<p>
</p>
<div class="cfix"> </div>
<p>
</div>
<p>
</p>
<div class="bdaia-post-style7-head"><p>
</p>
<div class="bd-container">
<header class="bdaia-post-header">
</p>
<div class="bdaia-category"><a class="bd-cat-link bd-cat-1" href="https://xakep.ru/category/units/site/">Материалы сайта</a></div>
<p>
</p>
<div class="bdaia-post-title"><p>
</p>
<h1 class="post-title entry-title">Туннельный синдром: настройка PPTP-сервера в Windows Server 2008</h1>
<p>
</div>
<p>
</p>
<div class="bdaia-meta-info"><p>
</p>
<div class="bdaia-post-author-name"><a title="Записи Журнал «Хакер»" href="https://xakep.ru" rel="author">Журнал «Хакер»</a></div>
<p>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">04.06.2009</span></div>
<p>
</p>
<div class="bdaia-post-time-read">12 мин на чтение</div>
<p>
</p>
<div class="bdaia-post-comment"><a href="https://xakep.ru/2009/06/04/48441/#respond">0</a></div>
<p>
</p>
<div class="bdaia-post-like"><span class="post-like"> <em class="count">0</em></span></div>
<p>
</p>
<div class="bdaia-post-view">13524</div>
<p>
</div>
<p>
</p>
<div class="bdaia-post-read-down"> </div>
<p>
</header>
</div>
<p>
</div>
<p>
</p>
<div class="cfix"> </div>
<p>
</p>
<div class="bdaia-hibryd-e3"> </div>
<p>
</p>
<div class="cfix"> </div>
<p>
</p>
<div class="bdMain"><p>
</p>
<div class="bd-container bdaia-post-template"><p>
</p>
<div id="bdaia-primary" class="bd-main bdaia-site-content"><p>
</p>
<div id="content" role="main">
<article id="post-37511" class="hentry post-37511 post type-post status-publish format-standard category-site tag-article" data-id="37511">
</p>
<div class="bdaia-post-content"><p>
</p>
<div id="dfp-single" class="right"><p>
</p>
<div class="dfp-wrapper"><p>
</p>
<div id="div-gpt-ad-1490636343115-0" data-google-query-id="CPXMjLfd6tUCFQR_GQodIQgA-g"><p>
</p>
<div id="google_ads_iframe_/92401962/xa_mpu-0_0__container__"><iframe id="google_ads_iframe_/92401962/xa_mpu-0_0" title="3rd party ad content" name="google_ads_iframe_/92401962/xa_mpu-0_0" marginwidth="0" marginheight="0" scrolling="no" data-mce-fragment="1" width="240" height="400" frameborder="0"></iframe></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</p>
<div id="toc"><p>
</p>
<h3>Содержание статьи</h3>
<p>
</p>
<ul>
 	</p>
<li class="h2" data-id="01."><a href="https://xakep.ru/2009/06/04/48441/#toc01.">Почему именно PPTP?</a></li>
<p>
 	</p>
<li class="h2" data-id="02."><a href="https://xakep.ru/2009/06/04/48441/#toc02.">Аутентификация и шифрование</a></li>
<p>
 	</p>
<li class="h2" data-id="03."><a href="https://xakep.ru/2009/06/04/48441/#toc03.">Настройка сервера PPTP в Win2k8</a></li>
<p>
 	</p>
<li class="h2" data-id="04."><a href="https://xakep.ru/2009/06/04/48441/#toc04.">Настройки в консоли</a></li>
<p>
 	</p>
<li class="h2" data-id="05."><a href="https://xakep.ru/2009/06/04/48441/#toc05.">Работа со вкусом</a></li>
<p>
 	</p>
<li class="h2" data-id="06."><a href="https://xakep.ru/2009/06/04/48441/#toc06.">Управление RRAS при помощи Netsh</a></li>
<p>
 	</p>
<li class="h2" data-id="07."><a href="https://xakep.ru/2009/06/04/48441/#toc07.">INFO</a></li>
<p>
 	</p>
<li class="h2" data-id="08."><a href="https://xakep.ru/2009/06/04/48441/#toc08.">WWW</a></li>
<p>
</ul>
<p>
</div>
<p>



Виртуальные частные сети снискали заслуженную популярность. Это надежное и
безопасное средство, предназначенное для организации межсайтовой сетевой
инфраструктуры и подключений удаленного доступа. В последние годы среди
существующих VPN-протоколов особое место занимает PPTP. Решения на его базе
распространены, легко внедряются и обеспечивают уровень защиты, достаточный для
большинства компаний.
</p>
<div id="toc01." class="toch"> </div>
<p>
</p>
<h2>Почему именно PPTP?</h2>
<p>
Туннельный протокол PPTP позволяет зашифровать мультипротокольный трафик, а
затем инкапсулировать (упаковать) его в IP-заголовок, который будет отправлен по
локальной или глобальной сети. PPTP использует:
</p>
<div class="bdaia-p-inline-e3-desktop"> </div>
<p>
</p>
<ul>
 	</p>
<li>TCP-подключение для управления туннелем;</li>
<p>
 	</p>
<li>модифицированную версию GRE (общая инкапсуляция маршрутов) для
инкапсулирования PPP-фреймов туннелированных данных.</li>
<p>
</ul>
<p>
Полезная нагрузка передаваемых пакетов может быть зашифрована (с помощью
протокола шифрования данных MPPE), сжата (используя алгоритм MPPC) или
зашифрована и сжата.

PPTP легок в развертывании, не требует инфраструктуры сертификатов и
совместим с подавляющим большинством NAT-устройств. Все версии Microsoft Windows,
начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент. Также клиенты для
подключения по PPTP есть в Linux, xBSD и Mac OS X. Провайдеры знают об этих
преимуществах, и именно поэтому для организации подключения к интернету часто
используют PPTP, даже несмотря на то, что изначально у него защищенность ниже,
чем у L2TP, IPSec и SSTP (PPTP чувствителен к словарным атакам, кроме того,
VPN-подключение, основанное на протоколе PPTP, обеспечивает конфиденциальность,
но не целостность передаваемых данных, так как отсутствуют проверки, что данные
не были изменены при пересылке).

Стоит отметить: <strong>в больших сетях PPTP предпочтительнее PPPoE</strong>. Ведь при
использовании последнего поиск сервера производится путем рассылки
широковещательных пакетов, которые могут потеряться на свичах, да и сеть такие
пакеты "наводняют" весьма прилично.
</p>
<div id="toc02." class="toch"> </div>
<p>
</p>
<h2>Аутентификация и шифрование</h2>
<p>
В Vista и Win2k8 список опознавательных протоколов PPP заметно сокращен.
Исключены SPAP, EAP-MD5-CHAP и MS-CHAP, которые давно признаны небезопасными (в
них используются алгоритмы хеширования MD4 и шифрования DES). Список доступных
протоколов теперь выглядит так: PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия
пользовательских сертификатов или смарт-карт). <strong>Настоятельно рекомендуется
использовать MSCHAP-v2</strong>, поскольку он надежнее и обеспечивает взаимную
аутентификацию клиента и сервера. Также посредством групповой политики предпиши
обязательное применение сильных паролей.

Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и
128-битные RSA RC4 ключи. В первых версиях Windows из-за ограничений на экспорт
военных технологий был доступен только 40-битный ключ и с некоторыми оговорками
– 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista,
поддерживается исключительно 128-битная длина ключа. Может возникнуть ситуация,
что у клиента поддержки такой возможности нет, поэтому для старых версий Windows
надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2
без проблем подключится к серверу Win2k8.

Чтобы самостоятельно просмотреть список поддерживаемых системой алгоритмов и
длин ключей, обратись к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
В частности, настройки алгоритмов шифрования находятся в ветке Ciphers\RC4.
Принудительно активировать нужную опцию можно, создав параметр dword "Enabled" и
установив его значение в "ffffffff". Есть и другой способ, который Microsoft не
рекомендует, – активировать поддержку 40/56-битных RC4 ключей на сервере Win2k8.
Для этого необходимо установить в "1" параметр реестра HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto
и перезапустить систему.
</p>
<div id="toc03." class="toch"> </div>
<p>
</p>
<h2>Настройка сервера PPTP в Win2k8</h2>
<p>
Типичная конфигурация для работы VPN состоит из <strong>контроллера домена</strong>, серверов
<strong>RRAS (Routing and Remote Access)</strong> и <strong>NPS (Network Policy Server)</strong>. В процессе
настройки этих ролей дополнительно будут активированы сервисы DHCP и DNS.
Сервер, которому предстоит выполнять роль VPN, перед установкой роли RRAS должен
быть присоединен к домену. В отличие от L2TP и SSTP, сертификаты при работе PPTP
не нужны, поэтому сервер сертификатов (Certificate Services) не потребуется.
Сетевые устройства, которые будут участвовать в построении VPN (в том числе,
ADSL и подобные модемы), должны быть подсоединены и настроены соответствующим
образом (Пуск –> Панель управления –> Диспетчер устройств). Для некоторых схем
VPN (с использованием NAT и при соединении двух сетей) потребуется, как минимум,
два сетевых устройства.

Используя мастер установки ролей (Диспетчер сервера –> Роли –> Установить
роль), устанавливаем роль "Службы политики сети и доступа" (Network Access
Services) и переходим к выбору служб ролей, где отмечаем все компоненты "Службы
маршрутизации и удаленного доступа" (Routing and Remote Access Services).
Нажимаем "Далее" и в следующем окне подтверждаем настройки щелчком по "Установить".

Служба удаленного доступа и маршрутизации установлена, но еще не настроена и
не запущена. Для настройки параметров работы переходим в "Диспетчере сервера" во
вкладку "Роли –> Службы политики сети и доступа -> Службы маршрутизации и
удаленного доступа"; как вариант, можно использовать консоль "Маршрутизация и
удаленный доступ", вызываемую из вкладки "Администрирование" меню "Пуск".

Отмечаем наш сервер в списке (консоль может быть подключена к нескольким
системам) и в контекстном меню щелкаем "Настроить и включить маршрутизацию и
удаленный доступ" (Configure and Enable Routing and Remote Access). Если до
этого предпринимались попытки настроить службу, то для повторной установки
некоторых параметров придется ее остановить, выбрав пункт "Отключить
маршрутизацию и удаленный доступ". При этом все настройки будут сброшены.
Появившийся мастер установки предложит выбрать типичную конфигурацию сервера,
которая наиболее точно соответствует предполагаемым задачам. В меню выбора –
пять пунктов, четыре из них предоставляют готовые установки:
</p>
<ul>
 	</p>
<li>Удаленный доступ (VPN или модем) – позволяет пользователям подключаться
через удаленное (коммутируемое) или безопасное (VPN) подключение;</li>
<p>
 	</p>
<li>Преобразование сетевых адресов (NAT) – предназначено для подключения к
интернету нескольких клиентов через один IP-адрес;</li>
<p>
 	</p>
<li>Доступ к удаленной сети (VPN) и NAT – является миксом предыдущих
пунктов, предоставляет возможность выхода в интернет с одного IP-адреса и
удаленного подключения;</li>
<p>
 	</p>
<li>Безопасное соединение между двумя сетями – подключение одной сети к
другой, удаленной.</li>
<p>
</ul>
<p>
Следующий шаг для каждого из этих пунктов будет индивидуальным. Например, при
настройке SSTP (см. статью "<a href="http://www.xakep.ru/magazine/xa/116/122/1.asp">Слоеный VPN</a>") мы выбирали третий
сценарий. Для PPTP подойдет любой из предложенных вариантов, хотя рекомендуемым
считается пункт "Удаленный доступ", установленный по умолчанию. Если есть
затруднения при выборе схемы, выбери пятый пункт "Особая конфигурация", либо по
окончании работы мастера продолжи настройку в ручном режиме. Кроме того, можно
обратиться к документации, нажав ссылку "Подробнее", расположенную внизу окна.

На следующем шаге отмечаем список служб, которые следует включить на сервере.
Таких пунктов пять, их названия говорят сами за себя:
</p>
<ul>
 	</p>
<li>Доступ к виртуальной частной сети (VPN);</li>
<p>
 	</p>
<li>Удаленный доступ (через телефонную сеть);</li>
<p>
 	</p>
<li>Подключение по требованию (для маршрутизации отделений организации);</li>
<p>
 	</p>
<li>Преобразование сетевых адресов (NAT);</li>
<p>
 	</p>
<li>Маршрутизация локальной сети.</li>
<p>
</ul>
<p>
Собственно, все предустановки, о которых говорилось выше, сводятся к
активации этих служб в разной комбинации. В большинстве случаев следует выбрать
"Удаленный доступ (VPN или модем)", а затем – "Доступ к виртуальной частной сети
(VPN)". Далее просто нужно указать на сетевой интерфейс, который подключен к
интернету (отметив его мышкой). Если мастер обнаружит только одно активное
соединение, то он закончит работу с предупреждением, что для данного режима
требуется еще одна сетевая карта, либо предложит перейти к настройкам в режиме "Особая конфигурация".

Флажок "Безопасность с использованием фильтра статических пакетов"
рекомендуется оставить взведенным. Такие фильтры пропускают VPN-трафик только с
указанного интерфейса, а исключения для разрешенных VPN-портов придется
настраивать вручную. При этом можно настраивать статические фильтры и брандмауэр
Windows на одном интерфейсе, но не рекомендуется, так как это снизит
производительность.

На шаге "Назначение IP-адресов" выбери способ получения IP-адреса клиентами
при подключении к VPN-серверу: "Автоматически" либо "Из заданного диапазона
адресов". Проверка подлинности учетной записи может быть произведена как
сервером RRAS, так и любым другим сервером, поддерживающим протокол RADIUS. По
умолчанию предлагается первый вариант, но в большой сети с несколькими серверами
RRAS лучше использовать RADIUS. На этом работа мастера заканчивается. Нажимаем
кнопку "Готово", и появившееся окно сообщает, что необходимо настроить "Агент
ретрансляции DHCP". Если RRAS и DHCP-сервер находятся в одном сегменте, и нет
проблем с обменом служебных пакетов, тогда Relay agent настраивать необязательно
(кстати, на внутреннем интерфейсе он активируется по умолчанию).
</p>
<div id="toc04." class="toch"> </div>
<p>
</p>
<h2>Настройки в консоли</h2>
<p>
В окне консоли теперь будет доступно дерево установок. Желательно пройтись по
всем пунктам, чтобы разобраться, что где находится. Так, в пункте "Интерфейсы
сети" будут показаны все настроенные ранее сетевые интерфейсы. Выбрав в меню
пункт "Создать новый интерфейс вызова по требованию", можно добавить подключение
к VPN или PPPoE-серверам. Для просмотра списка протоколов, используемых портов и
их состояния переходим в "Порты". Кнопка "Настроить" в окне "Свойства" позволяет
изменить параметры работы выбранного протокола. Например, по умолчанию
количество PPTP-, L2TP- и SSTP-подключений (портов) ограничено 128, а также
разрешены все подключения (удаленного доступа и по требованию). В качестве
(необязательного) идентификатора сервера используется телефон, введенный в поле
"Номер телефона для этого устройства".

В пункте "Клиенты удаленного доступа" отображается список подключенных
клиентов. Цифра рядом с названием пункта подскажет их количество. При помощи
контекстного меню можно проверить состояние клиента и при необходимости его
отключить. Два пункта IPv4 и IPv6 позволяют настроить IP-фильтры, статические
маршруты, агент DHCP ретрансляции и некоторые другие параметры.

Когда все настройки завершены, можно попробовать подключиться клиентом. На
этом этапе часто сталкиваются с ошибкой 649: "Пользователь не имеет прав для
дозвона". По умолчанию проверка прав доступа пользователя производится
средствами Сервера политик сети – NPS. Проверить установки можно, зайдя в "Администрирование -> Управление компьютером –> Служебные программы -> Локальные
пользователи и группы". Поэтому при появлении такого сообщения разреши выбранной
группе подключаться к серверу политик (подробнее о NPS читай в статье "<a href="http://www.xakep.ru/magazine/xa/120/116/1.asp">Сетевой
коп</a>").
</p>
<div id="toc05." class="toch"> </div>
<p>
</p>
<h2>Работа со вкусом</h2>
<p>
Нельзя не рассказать о еще одной возможности, которая заметно упростит жизнь
администраторам — пакет администрирования диспетчера подключений <strong>CMAK (Connection
Manager Administration Kit)</strong>. Мастер CMAK создает профиль, который позволит
пользователям входить в сеть только с теми свойствами подключения, которые
определит для них админ. Это не новинка Win2k8 – CMAK был доступен еще для Win2k
и поддерживает клиентов вплоть до Win95. Тем не менее, провайдеры до сих пор
снабжают пользователя мудреными инструкциями вместо того, чтобы предоставить ему
готовые файлы с настройками.

CMAK является компонентом Win2k8, но по умолчанию не инсталлируется. Сам
процесс установки при помощи "Диспетчера сервера" стандартен. Выбираем "Компоненты – Добавить компоненты" и в появившемся мастере отмечаем
"Пакет
администрирования диспетчера подключений". По окончании установки одноименный
ярлык появится в меню "Администрирование".

При вызове СМАК запустится мастер, который поможет создать профиль диспетчера
подключений. На первом шаге выбери ОС, для которой предназначен профиль.
Доступны два варианта: Vista и Windows 2000/2003/XP. Основное их отличие состоит
в том, что Vista поддерживает SSTP. Далее выбираем "Новый профиль". Есть
возможность использовать в качестве шаблона уже имеющийся профиль; последующие
шаги предлагают объединить нескольких профилей. Указываем название службы
(пользователи его увидят после установки пакета) и имя файла, куда будет
сохранен профиль. При создании профиля службы мастер CMAK копирует все входящие
в этот профиль файлы в Program Files\CMAK\Profiles. В некоторых сетях при
проверке подлинности используется имя области (Realm name), например, в Windows
это имя AD домена (user@domain.com). Мастер позволяет задать такое имя области,
которое будет автоматически добавлено к логину. И, наконец, добавляем поддержку
VPN-подключений. Активируем флажок "Телефонная книга из этого профиля" и затем
выбираем "Всегда использовать один VPN-сервер" или "Разрешить пользователю
выбирать VPN-сервер перед соединением". Во втором случае требуется заранее
подготовить txt-файл со списком серверов (<a href="http://go.microsoft.com/fwlink/?LinkId=80962" target="_blank" rel="noopener">формат файла</a>).
На этапе "Создать или изменить" выбираем "Изменить", чтобы появилось окно "Правка VPN". Здесь три вкладки (при активном IPv6 – четыре). В
"Общие" отмечаем "Отключить общий доступ к файлам и принтерам" (в большинстве случаев такая
функциональность не требуется). В IPv4 указываются адреса основного и
дополнительного DNS и WINS серверов. Установкой соответствующих флажков можно
указать на использование PPTP-подключения как шлюза по умолчанию и активировать
сжатие IP-заголовков. Настройки безопасности производятся в одноименной вкладке.
Здесь указываем, обязательно ли использовать шифрование, и отмечаем необходимые
методы аутентификации. Список "Стратегия VPN" позволяет указать, какой метод
будет использован при подключении к VPN-серверу. Возможно два варианта: только
один протокол или перебор протоколов до успешной активации соединения. В
контексте статьи нас интересует "Использовать только PPTP" или "Сначала PPTP".
Здесь все, закрываем окно и двигаемся дальше.

Страница "Добавить телефонную книгу" позволяет задать номера, используемые
для подключения к dial-up серверу. При необходимости можно также настроить
автоматическое обновление списка номеров. Страница "Настроить записи удаленного
доступа к сети", а также окно, появляющееся при нажатии "Изменить", сходны по
содержанию с "Создать или изменить". Следующий шаг позволяет модифицировать
таблицы маршрутизации на подключившихся клиентах: в большинстве случаев лучше
оставить "Не изменять таблицы маршрутизации". Если нужно, указываем параметры
прокси для IE. Кроме стандартных установок, мастер позволяет установить
действия, которые могут быть выполнены на разных этапах подключения клиента
(например, запустить программу). Далее задаем значки для разных ситуаций (окна
подключения, телефонной книги и так далее), выбираем файл справки, сведения о
поддержке. При необходимости включаем в профиль диспетчер подключений. Это может
быть полезно для клиентских систем, на которых установлена ОС, не содержащая
диспетчер. Сюда же можно добавить текстовый файл с лицензионным соглашением и
дополнительные файлы, которые будут поставляться с профилем. На этом работа
мастера окончена – в резюме будет показан путь к установочному файлу. Копируем
его в общедоступную папку, чтобы пользователи могли свободно скачать.

Теперь юзерам достаточно запустить исполняемый файл и ответить на
один-единственный вопрос: сделать это подключение доступным для "Всех
пользователей" или "Только мне". После чего значок нового соединения будет
добавлен в "Сетевых подключениях", и появится окно регистрации, в котором
необходимо ввести свой логин и пароль. Очень удобно!
</p>
<div id="toc06." class="toch"> </div>
<p>
</p>
<h2>Управление RRAS при помощи Netsh</h2>
<p>
Некоторыми настройками RRAS-сервера можно управлять при помощи утилиты Netsh
(network shell). Добавить тип проверки подлинности учетной записи можно при
помощи команды:

<code>> Netsh ras add authtype PAP|MD5CHAP|MSCHAPv2|EAP</code>

Для ранних версий Windows еще и MSCHAP|SPAP. Режим проверки:

<code>> Netsh ras set authmode STANDARD|NODCC|BYPASS</code>

Зарегистрировать компьютер как RRAS-сервер в AD:

<code>> Netsh ras add registeredserver</code>

Добавить расширение PPP:

<code>> Netsh ras add link SWC|LCP</code>

Расширение SWC обеспечивает программное сжатие, а LCP активирует одноименное
расширение протокола PPP. Типы многоканальной связи поддерживаемых PPP:

<code>> Netsh ras add multilink MULTI|BACP</code>

Свойства учетной записи задаются следующим образом:

<code>> Netsh ras set user</code>

При помощи "set client" можно просмотреть статистику или отключить клиента.
Сохранить и восстановить конфигурацию RRAS при помощи Netsh также просто:

<code>> Netsh ras dump > "filename"
> Netsh exec "filename"</code>

Кроме этого, очень много настроек содержит контекст "ras aaaa".

Подробно о Netsh смотри в статье "Командный забег в лагерь Лонгхорна" в
<a href="http://www.xakep.ru/magazine/xa/122/default.asp">февральском номере журнала за 2009 год</a>.
</p>
<div id="toc07." class="toch"> </div>
<p>
</p>
<h2>INFO</h2>
<p>
PPTP был разработан еще до создания стандартов IPsec и PKI и в настоящее
время является самым популярным VPN-протоколом.

Читай о SSTP в статье "<a href="http://www.xakep.ru/magazine/xa/116/122/1.asp">Слоеный VPN</a>" (августовский номер Х за 2008 год).

Про настройку PoPToP/MPD читай в статье "<a href="http://www.xakep.ru/magazine/xa/103/130/1.asp">Виртуальная сеть для Windows
клиента</a>" в июльском номере Х за 2007 год.
</p>
<div id="toc08." class="toch"> </div>
<p>
</p>
<h2>WWW</h2>
<p>
Протокол PPTP документирован в RFC 2637 —
<a href="http://www.ietf.org/rfc/rfc2637.txt" target="_blank" rel="noopener">www.ietf.org/rfc/rfc2637.txt</a>.

MPPE (Microsoft Point-to-Point Encryption) —
<a href="http://www.ietf.org/rfc/rfc3078.txt" target="_blank" rel="noopener">www.ietf.org/rfc/rfc3078.txt</a>.

MPPC (Microsoft Point-to-Point Compression) —
<a href="http://www.ietf.org/rfc/rfc2118.txt" target="_blank" rel="noopener">www.ietf.org/rfc/rfc2118.txt</a>.

 
</p>
<table cellspacing="10" cellpadding="10" border="0" width="400">
</p>
<tbody>
</p>
<tr>
</p>
<td class="textBody" width="100%"><p>
</p>
<p align="center"><a href="http://www.xakep.ru/xa/?id=123">
<img src="https://xakep.ru/wp-content/uploads/post/48441/123.jpg" border="0" width="200" height="284"></a>
Полную версию статьи
читай в <a href="http://www.xakep.ru/xa/?id=123">мартовском номере</a>
Хакера! На прилагаемом к журналу диске ты найдешь видеоролик, где показано,
<strong>как
поднять PPTP-сервер на базе Win2k8</strong> и создать профиль подключения пользователя
при помощи пакета СМАК.</p>
<p>
</td>
<p>
</tr>
<p>
</tbody>
<p>
</table>
<p>
 

</div>
<p>
</p>
<footer>
</p>
<div class="share_buttons"><p>
</p>
<div class="share_text">Покажи эту статью друзьям:</div>
<p>
</p>
<div id="ya-share-p37511" class="share_buttons ya-share2 ya-share2_inited" data-services="telegram,vkontakte,twitter,facebook,gplus,viber,whatsapp,evernote,pocket"> </div>
<p>
</div>
<p>
</p>
<div class="bdaia-author-box"><p>
</p>
<div class="authorBlock-avatar"><a href="https://xakep.ru"><img class="avatar avatar-150 wp-user-avatar wp-user-avatar-150 photo avatar-default" src="https://secure.gravatar.com/avatar/a67aac47235cbf6d274fbf806e5adeba?s=150&d=retro&r=g" alt="" width="150" height="150"></a></div>
<p>
</p>
<div class="authorBlock-header"><p>
</p>
<h3 class="authorBlock-header-title vcard author"><span class="fn"><a href="https://xakep.ru">Журнал «Хакер»</a></span></h3>
<p>
</p>
<div class="authorBlock-meta bdaia-social-io-colored"> </div>
<p>
</div>
<p>
</div>
<p>
</p>
<div class="clear"> </div>
<p>
</p>
<div class="tagcloud">Теги:<a href="https://xakep.ru/tag/article/" rel="tag">Статьи</a></div>
<p>
</p>
<div class="clear"> </div>
<p>
</p>
<div class="bdaia-post-next-prev"><p>
</p>
<div class="bdaia-post-prev-post"><a href="https://xakep.ru/2009/06/04/48439/" rel="prev">← Ранее Разработана новая система, различающая людей и ботов</a></div>
<p>
</p>
<div class="bdaia-post-next-post"><a href="https://xakep.ru/2009/06/04/48442/" rel="next">Далее → В России откроется Международный Университет Информационной Безопасности</a></div>
<p>
</div>
<p>
</footer>
</article>
<section id="bdaia-ralated-posts" class="bdaia-ralated-posts">
</p>
<div class="bdaia-ralated-posts-head"><p>
</p>
<ul>
 	</p>
<li id="nav-links-after" class="active"><a href="https://xakep.ru/2009/06/04/48441/#content-links-after">Далее по этой теме</a></li>
<p>
 	</p>
<li id="nav-links-before"><a href="https://xakep.ru/2009/06/04/48441/#content-links-before">Ранее по этой теме</a></li>
<p>
</ul>
<p>
</div>
<p>
</p>
<div id="content-links-after" class="bdaia-ralated-content bdaia-posts-grid light grid-3col"><p>
</p>
<ul class="bdaia-posts-grid-list">
 	</p>
<li class="bdaia-posts-grid-post post-item post-id post post-40483 type-post status-publish format-standard hentry category-site tag-article">
<br />
<div class="bdaia-posts-grid-post-inner"><p>
</p>
<div class="bdayh-post-header"><p>
</p>
<h3 class="entry-title"><a href="https://xakep.ru/2010/03/10/51424/">Эффект неваляшки: простые шаги для создания отказоустойчивого Windows-сервера</a></h3>
<p>
</p>
<div class="bbd-post-cat"><p>
</p>
<div class="bbd-post-cat-content"><p>
</p>
<div class="bdayh-post-meta-date"><span class="bdayh-date">10.03.2010</span></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
</li>
<p>
 	</p>
<li class="bdaia-posts-grid-post post-item post-id post post-38679 type-post status-publish format-standard hentry category-site tag-article">
<br />
<div class="bdaia-posts-grid-post-inner"><p>
</p>
<div class="bdayh-post-header"><p>
</p>
<h3 class="entry-title"><a href="https://xakep.ru/2009/10/05/49612/">Семикратное ускорение: обзор Wi-Fi роутера ASUS RT-N16</a></h3>
<p>
</p>
<div class="bbd-post-cat"><p>
</p>
<div class="bbd-post-cat-content"><p>
</p>
<div class="bdayh-post-meta-date"><span class="bdayh-date">05.10.2009</span></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
</li>
<p>
 	</p>
<li class="bdaia-posts-grid-post post-item post-id post post-40584 type-post status-publish format-standard hentry category-site tag-article">
<br />
<div class="bdaia-posts-grid-post-inner"><p>
</p>
<div class="bdayh-post-header"><p>
</p>
<h3 class="entry-title"><a href="https://xakep.ru/2010/03/18/51525/">Сетевые регулировщики: обзор популярных дистрибутивов-роутеров</a></h3>
<p>
</p>
<div class="bbd-post-cat"><p>
</p>
<div class="bbd-post-cat-content"><p>
</p>
<div class="bdayh-post-meta-date"><span class="bdayh-date">18.03.2010</span></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
</li>
<p>
 	</p>
<li class="bdaia-posts-grid-post post-item post-id post post-40127 type-post status-publish format-standard hentry category-site tag-article">
<br />
<div class="bdaia-posts-grid-post-inner"><p>
</p>
<div class="bdayh-post-header"><p>
</p>
<h3 class="entry-title"><a href="https://xakep.ru/2010/02/09/51067/">Через тернии к звездам: тестирование роутеров стандарта IEEE 802.11n</a></h3>
<p>
</p>
<div class="bbd-post-cat"><p>
</p>
<div class="bbd-post-cat-content"><p>
</p>
<div class="bdayh-post-meta-date"><span class="bdayh-date">09.02.2010</span></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
</li>
<p>
 	</p>
<li class="bdaia-posts-grid-post post-item post-id post post-38306 type-post status-publish format-standard hentry category-site tag-article">
<br />
<div class="bdaia-posts-grid-post-inner"><p>
</p>
<div class="bdayh-post-header"><p>
</p>
<h3 class="entry-title"><a href="https://xakep.ru/2009/08/19/49236/">Windows Server 2008 R2: обзор возможностей новой версии серверной системы</a></h3>
<p>
</p>
<div class="bbd-post-cat"><p>
</p>
<div class="bbd-post-cat-content"><p>
</p>
<div class="bdayh-post-meta-date"><span class="bdayh-date">19.08.2009</span></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
</li>
<p>
 	</p>
<li class="bdaia-posts-grid-post post-item post-id post post-38172 type-post status-publish format-standard hentry category-site tag-vzlom tag-article">
<br />
<div class="bdaia-posts-grid-post-inner"><p>
</p>
<div class="bdayh-post-header"><p>
</p>
<h3 class="entry-title"><a href="https://xakep.ru/2009/08/06/49102/">Классика проникновения: от инъекции к админскому доступу по RDP</a></h3>
<p>
</p>
<div class="bbd-post-cat"><p>
</p>
<div class="bbd-post-cat-content"><p>
</p>
<div class="bdayh-post-meta-date"><span class="bdayh-date">06.08.2009</span></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
</li>
<p>
</ul>
<p>
</p>
<div class="bdayh-clearfix"> </div>
<p>
</div>
<p>
</section>
<p>
</p>
<div class="bdayh-clearfix"> </div>
<p>
</p>
<div id="respond" class="comment-respond"><p>
</p>
<h4 id="reply-title" class="block-title"><span class="comment-reply-title">Оставить мнение <small></small></span></h4>
<p>
</p>
<p class="must-log-in">Чтобы оставить мнение, <a href="https://xakep.ru/wp-login.php?redirect_to=https%3A%2F%2Fxakep.ru%2F2009%2F06%2F04%2F48441%2F">нужно залогиниться</a></p>
<p>

</div>
<p>
</p>
<section id="bdCheckAlso" class="bdCheckAlso-right">
</p>
<h4 class="block-title">Check Also<a id="check-also-close" href="https://xakep.ru/2009/06/04/48441/#"></a></h4>
<p>
</p>
<div class="check-also-post"><p>
</p>
<figure class="check-also-thumb"></figure>
<p>
</p>
<h2 class="post-title"><a href="https://xakep.ru/2017/08/22/nvidia-vs-amd/" rel="bookmark">Вычислительная мощь. Какие чипы AMD и Nvidia лучше для расчетов на видеокарте</a></h2>
<p>
Этим летом мы запустили серию статей о вычислениях на видеокартах. Подробно разобрали, как…

</div>
<p>
</section>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</p>
<div class="bdaia-footer"><p>
</p>
<div class="bdaia-footer-widgets"><p>
</p>
<div class="bd-container"><p>
</p>
<div class="bdaia-footer-widgets-area footer-col-three"><p>
</p>
<div id="footer-first" class="footer-widget-inner"><p>
</p>
<div id="bdaia-widget-box1-4" class="widget bdaia-widget bdaia-box1"><p>
</p>
<h4 class="block-title">Последние взломы</h4>
<p>
</p>
<div class="widget-inner"><p>
</p>
<div class="bdaia-wb-wrap bdaia-wb1 bdaia-wb-id6OUkS bdaia-ajax-pagination-" data-box_nu="wb1" data-box_id="bdaia-wb-id6OUkS" data-paged="1" data-sort_order="" data-ajax_pagination="" data-num_posts="4" data-tag_slug="" data-cat_uid="111" data-cat_uids="" data-max_nu="599" data-total_posts_num="2394" data-posts="" data-com_meta="" data-thumbnail="" data-author_meta="" data-date_meta="true" data-review=""><p>
</p>
<div class="bdaia-wb-content"><p>
</p>
<div class="bdaia-wb-inner"><p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/Enigma-104x74.png" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Еще один криптовалютный стартап, Enigma, ограбили в преддверии ICO. Похищено $475 000</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">1 час назад</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/dns-104x74.jpg" sizes="(max-width: 104px) 100vw, 104px" srcset="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/dns-104x74.jpg 104w, https://xakep.ru/wp-content/uploads/2017/08/135460/dns-130x93.jpg 130w, https://xakep.ru/wp-content/uploads/2017/08/135460/dns-395x280.jpg 395w, https://xakep.ru/wp-content/uploads/2017/08/135460/dns-768x544.jpg 768w, https://xakep.ru/wp-content/uploads/2017/08/135460/dns-1040x737.jpg 1040w, https://xakep.ru/wp-content/uploads/2017/08/135460/dns-850x602.jpg 850w" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Мощная атака Mirai в 2016 году была направлена на PlayStation network</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">15 часов назад</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/Shattered-104x74.jpg" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Внедрить в мобильное устройство вредоносный чип или подменить тачскрин не так сложно</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">17 часов назад</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/PlayStation-104x74.jpg" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Группа OurMine взломала аккаунты PlayStation в социальных сетях</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">17 часов назад</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</p>
<div id="footer-second" class="footer-widget-inner"><p>
</p>
<div id="bdaia-widget-box1-3" class="widget bdaia-widget bdaia-box1"><p>
</p>
<h4 class="block-title">Колумнисты «Хакера»</h4>
<p>
</p>
<div class="widget-inner"><p>
</p>
<div class="bdaia-wb-wrap bdaia-wb1 bdaia-wb-idmiW9p bdaia-ajax-pagination-" data-box_nu="wb1" data-box_id="bdaia-wb-idmiW9p" data-paged="1" data-sort_order="" data-ajax_pagination="" data-num_posts="4" data-tag_slug="" data-cat_uid="576" data-cat_uids="" data-max_nu="15" data-total_posts_num="60" data-posts="" data-com_meta="" data-thumbnail="" data-author_meta="" data-date_meta="true" data-review=""><p>
</p>
<div class="bdaia-wb-content"><p>
</p>
<div class="bdaia-wb-inner"><p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/google-io-sundar-100723014-orig_0-104x74.jpg" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Проект Treble: долгожданное решение проблемы обновления Android. Колонка Евгения Зобнина</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">07.06.2017</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/fuchia-104x74.jpg" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Google готовит замену Android? Колонка Евгения Зобнина</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">15.05.2017</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/lawbb2_feat_web-104x74.jpg" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Ответы юриста. Что нужно знать хакеру для участия в конкурсных Bug Bounty</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">20.04.2017</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</p>
<div class="bdaia-wb-article bdaia-wba-small bdaiaFadeIn">
<article class="with-thumb">
</p>
<div class="bwb-article-img-container"><a><img class="attachment-bdaia-small size-bdaia-small wp-post-image" src="https://yahobby.ru/wordpress/wp-content/uploads/2017/01/featured_web-104x74.jpg" alt="" width="104" height="74"></a></div>
<p>
</p>
<div class="bwb-article-content-wrapper">
<header>
</p>
<h3 class="entry-title"><a>Страх и ненависть MIUI. Колонка Евгения Зобнина</a></h3>
<p>
</header>
<footer>
</p>
<div class="bdaia-post-date"><span class="bdayh-date">19.04.2017</span></div>
<p>
</footer>
</div>
<p>
</article>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</p>
<div id="footer-third" class="footer-widget-inner"><p>
</p>
<div id="bdaia-widget-timeline-2" class="widget-odd widget-last widget-first widget-1 widget bdaia-widget bdaia-widget-timeline"><p>
</p>
<h4 class="block-title">Последние новости</h4>
<p>
</p>
<div class="widget-inner"><p>
</p>
<ul>
 	</p>
<li><a> <span class="bdayh-date">16 минут назад</span></a>
<br />
<h3>14 сентября: конференция «Информационная безопасность бизнеса и госструктур: новые задачи»</h3>
<p>
</li>
<p>
 	</p>
<li><a> <span class="bdayh-date">1 час назад</span></a>
<br />
<h3>Еще один криптовалютный стартап, Enigma, ограбили в преддверии ICO. Похищено $475 000</h3>
<p>
</li>
<p>
 	</p>
<li><a> <span class="bdayh-date">15 часов назад</span></a>
<br />
<h3>Сайты, принимающие к оплате Bitcoin, компрометируют анонимность пользователей</h3>
<p>
</li>
<p>
 	</p>
<li><a> <span class="bdayh-date">15 часов назад</span></a>
<br />
<h3>Мощная атака Mirai в 2016 году была направлена на PlayStation network</h3>
<p>
</li>
<p>
 	</p>
<li><a> <span class="bdayh-date">16 часов назад</span></a>
<br />
<h3>Chrome предупредит пользователей, если расширение перехватывает контроль над трафиком</h3>
<p>
</li>
<p>
</ul>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</p>
<div class="bdaia-footer-area"><p>
</p>
<div class="bd-container"><p>
</p>
<div class="footer-col-two"><p>
</p>
<div class="footer-widget-inner">Вопросы по сайту, подписке, журналу: <a href="mailto:support@glc.ru">support@glc.ru</a>
Отдел рекламы и спецпроектов: <a href="mailto:yakovleva.a@glc.ru">yakovleva.a@glc.ru</a>
Контент <strong>18+</strong></div>
<p>
</p>
<div class="footer-widget-inner"><a href="https://xakep.ru/about/">О журнале и подписке</a>
<a href="https://xakep.ru/advert/">Реклама на «Хакере»</a>
<a href="https://xakep.ru/contact/">Контакты</a></div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</div>
<p>
</p>
<div id="reading-position-indicator"> </div>
<p>
</p>
<div><iframe title="Google conversion frame" src="https://googleads.g.doubleclick.net/pagead/viewthroughconversion/943782719/?random=1503401073435&cv=8&fst=1503401073435&num=1&fmt=1&guid=ON&u_h=768&u_w=1024&u_ah=728&u_aw=1024&u_cd=24&u_his=1&u_tz=180&u_java=false&u_nplug=1&u_nmime=2&frm=0&url=https%3A%2F%2Fxakep.ru%2F2009%2F06%2F04%2F48441%2F&ref=https%3A%2F%2Fwww.google.ru%2F&tiba=%D0%A2%D1%83%D0%BD%D0%BD%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9%20%D1%81%D0%B8%D0%BD%D0%B4%D1%80%D0%BE%D0%BC%3A%20%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%20PPTP-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0%20%D0%B2%20Windows%20Server%202008%20-" name="google_conversion_frame" marginwidth="0" marginheight="0" scrolling="no" data-mce-fragment="1" width="300" height="13" frameborder="0"></iframe> <a href="https://top100.rambler.ru/home?id=4437747" target="_blank" rel="noopener"><img title="Rambler's Top100" src="https://kraken.rambler.ru/cnt/?et=pv&pid=4437747&rid=1503401073.468-1520384687&v=1.5.0i&rn=2096409107&bs=988x563&ce=1&rf=https%3A%2F%2Fwww.google.ru%2F&en=UTF-8&pt=%D0%A2%D1%83%D0%BD%D0%BD%D0%B5%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9%20%D1%81%D0%B8%D0%BD%D0%B4%D1%80%D0%BE%D0%BC%3A%20%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%20PPTP-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0%20%D0%B2%20Windows%20Server%202008%20-%20%C2%AB%D0%A5%D0%B0%D0%BA%D0%B5%D1%80%C2%BB&sr=1024x768&cd=24-bit&la=en-US&ja=0&acn=Mozilla&an=Netscape&pl=Win32&tz=-180&fv=26.0%20r0&sv&lv&le=0" alt="Rambler's Top100" border="0"></a></div>
<p>
***

я извиняюсь что там может упрощаю хакерам всякие попытки взлома сайта – просто скопировал с половиной опенкарта и его шаблона но статья правильная.

добавлю FreeBSD 11 releng на 10 уже видел описание почему про более новую 12 current не пишу – не пытался на ней все сразу настроить и ipfw virtualbox mpd oss4 – на все это надо пересобирать ядро с настройкой опций а на самой новой версии может не все еще отлажено, если именно такой набор соберется без kernel panic еще nvidia и тогда попробую.
Это намного надежнее чем пытаться на 2016 сервере настроить (на 2016 тоже получается pptp l2tp psk l2tp iis certificate сейчас все работает).

<br />
Настраиваем на фряхе ядро. Может быть если только firewall роутер то можно без этого обойтись а если еще и звук настроить и видео то надо. Это рабочая станция со звуком и сервер сразу и 2 виртуалки. Зион 3,8 и 32 памяти минимум. CPU Temperature 58 C 586 Processes 19 Running 7,6/30,7GiB 3,04/4,32 TiB</p>
<p>amd64<br />
-------<br />
$FreeBSD: releng/11.1/sys/amd64/conf/GENERIC 318763 2017-05-24 00:00:55Z jhb $</p>
<p>cpu HAMMER<br />
ident KERN64ALL<br />
...<br />
options IPSEC # IP (v4/v6) security<br />
#options IPSEC_NAT_T<br />
options IPSEC_DEBUG<br />
#options IPSEC_FILTERTUNNEL<br />
#device crypto #turn on - see below<br />
device enc<br />
...<br />
# CPU frequency control<br />
device cpufreq<br />
#device amdtemp # for AMD CPU<br />
device coretemp # for Intel CPU<br />
device smb<br />
device smbus # System management bus<br />
device intpm # Intel power management<br />
device iicbus # I2C bus system<br />
device iicsmb # I2C to SMB bridge<br />
device iicbb # I2C generic bit-banging driver<br />
##device eeemon<br />
...<br />
# syscons is the default console driver, resembling an SCO console<br />
device sc<br />
options SC_PIXEL_MODE # add support for the raster text mode</p>
<p># vt is the new video console driver<br />
device vt<br />
device vt_vga<br />
device vt_efifb</p>
<p>device agp # support several AGP chipsets<br />
...<br />
# Netmap provides direct access to TX/RX rings on supported NICs<br />
device netmap # netmap(4) support</p>
<p># The crypto framework is required by IPSEC<br />
device crypto # Required by IPSEC<br />
----------<br />
нужные для VPN строчки в начале и конце файла.<br />
# cp GENERIC KERN64ALL<br />
# mcedit KERN64ALL<br />
# cp KERN64ALL /usr/src/sys/amd64/conf/KERN64ALL<br />
сборка ядра и перезагрузка если не было ошибок<br />
(а если не грузится или все не работает то выбираем при загрузке старое ядро)<br />
# cd /usr/src<br />
# make kernel KERNCONF=KERN64ALL<br />
#awk -f /usr/src/sys/conf/kmod_syms.awk zlib.ko export_syms | xargs -J% objcopy % zlib.ko<br />
#objcopy --strip-debug zlib.ko<br />
--------------------------------------------------------------<br />
>>> Kernel build for KERN64ALL completed on Wed Oct 11 17:04:48 MSK 2017<br />
--------------------------------------------------------------<br />
..<br />
#install -T release -o root -g wheel -m 555 zfs.ko /boot/kernel/<br />
===> zlib (install)<br />
#install -T release -o root -g wheel -m 555 zlib.ko /boot/kernel/<br />
#kldxref /boot/kernel</p>
<p># ... смотрим все сообщения нет ли ошибок ядро собирается за 7 минут.<br />
# shutdown -r now</p>
<p>если загрузилось - настройка ipsec-tools<br />
# cd /usr/ports/security/ipsec-tools/<br />
# make config<br />
пролистываем вниз и включаем опцию wildcard for pre-shared-key.<br />
это значит в файлике psk.txt можно указать:<br />
* пароль_на_подключение<br />
# chmod 600 psk.txt # не запустится иначе а в логах будет ошибка - wrong permissions защита от подглядывания паролей</p>
<p>на ipsec-tools нужны возможно патчи - не проходит 2-я фаза согласования протоколов, у меня не вся информация,<br />
возможно сейчас патчить не надо, а настроить отключив программное сжатие например - оно точно не работало, и попробовать то же самое подключившись с windows xp с 10-й винды что то не согласуется. Типы шифрования может быть.<br />
смотреть ниже ... сейчас 11 октября 2017 я вижу все уже в портах ..<br />
Ядро на 11 версии патчить не надо .. вроде .. пересобрал но у меня посложнее машинка.<br />
-----<br />

mpd
<br />
default:<br />
load pptp_server # так же<br />
load l2tp_server<br />
l2tp_server:<br />
# Define dynamic IP address pool.<br />
set ippool add pool1 192.168.3.200 192.168.3.220<br />
# Create clonable bundle template named B<br />
create bundle template BB<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
set ipcp yes 192.168.3.1<br />
# Specify IP address pool for dynamic assigment.<br />
set ipcp ranges 192.168.3.0/24 ippool pool1 # 3.0/24 3.22/32 если 1 адрес<br />
set ipcp dns 8.8.8.8<br />
#set ipcp nbns 192.168.3.1 # wins<br />
# The five lines below enable Microsoft Point-to-Point encryption<br />
# (MPPE) using the ng_mppc(8) netgraph node type.<br />
# set bundle enable compression<br />
set ccp yes mppc<br />
set mppc yes e40<br />
set mppc yes e128<br />
set mppc yes stateless<br />
# Create clonable link template named L<br />
create link template LL l2tp<br />
# Set bundle template to use<br />
set link action bundle BB<br />
# Multilink adds some overhead, but gives full 1500 MTU.<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
set link no pap eap<br />
set link enable chap-msv2<br />
set link enable chap<br />
# We can use use RADIUS authentication/accounting by including<br />
# another config section with label ‘radius’.<br />
# load radius<br />
set link keep-alive 10 60 # ping -t с рабочей станции на сервер<br />
# We reducing link mtu to avoid GRE packet fragmentation.<br />
set link mtu 1460<br />
# Configure PPTP<br />
set l2tp self 0.0.0.0<br />
# Allow to accept calls<br />
set link enable incoming</p>
<p>/usr/local/etc/racoon/racoon.conf</p>
<p>

Перезапускаем mpd и проверяем, что у нас слушается 1701 udp порт. /все как в статье 2014 с tech4u.pro

# netstat -an | grep 1701

Отредактируем стартовый скрипт ipsec.

# ee /etc/rc.d/ipsec

-ipsec_program=”/sbin/setkey”
+ipsec_program=”/usr/local/sbin/setkey”

Добавим политики шифрования.

# ee /etc/ipsec.conf

+flush;
+spdflush;
+spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;
+spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;

Установим mpd5 – vpn сервер.

# pkg install mpd5

конфиг mpd.conf.
</p>
<p>startup:<br />
# configure mpd users<br />
set user foo bar admin<br />
set user foo1 bar1<br />
# configure the console<br />
set console self 127.0.0.1 5005<br />
set console open<br />
# configure the web server<br />
set web self 0.0.0.0 5006<br />
set web open<br />
#<br />
# Default configuration is "dialup"<br />
default:<br />
load l2tp_server<br />
l2tp_server:<br />
set ippool add priv_access 10.10.41.2 10.10.41.13 #пул адресов<br />
create bundle template C<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
set ipcp yes vjcomp<br />
set ipcp ranges 10.10.41.0/28 ippool priv_access<br />
set ipcp dns 8.8.8.8<br />
set ccp yes mppc<br />
set mppc yes e40<br />
set mppc yes e128<br />
set mppc yes stateless<br />
create link template N l2tp<br />
set link action bundle C<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
set link no pap chap<br />
set link enable chap<br />
set link keep-alive 10 60<br />
set link mtu 1460<br />
set l2tp self ххх.ххх.ххх.ххх # - адрес вашего сервера<br />
set link enable incoming<br />

Добавляем в rc.conf следующие строчки.
<br />
#VPN_IPSEC--------------------------<br />
ipsec_enable="YES"<br />
ipsec_file="/etc/ipsec.conf"<br />
racoon_enable="YES"<br />
racoon_create_dirs="YES"<br />
mpd_enable="YES"<br />

И перезагружаемся.
Второй раз после пересборки ядра не обязательно
kldstat
# kldstat
Id Refs Address Size Name
1 67 0xffffffff80200000 1ec1230 kernel
2 2 0xffffffff820c3000 9f638 linux.ko эмулятор линукса 3 части он нужен для дров nvidia
3 4 0xffffffff82163000 9408 linux_common.ko а firefox уже пишется под FreeBSD
4 2 0xffffffff8216d000 3ea78 ipfw.ko роутер и сетевой экран и еще nat – ниже
5 1 0xffffffff821ac000 2d38 coretemp.ko intel xeon (i3- i7) 486+
6 1 0xffffffff821af000 15220 fuse.ko подключение NTFS с помощью ntfs-3g
7 1 0xffffffff821c5000 e14618 nvidia.ko видюха драйвер от фабрики
8 2 0xffffffff82fda000 14630 libalias.ko для роутера
9 1 0xffffffff82fef000 6348 ipfw_nat.ko транслятор адресов интернета для сети компов
10 1 0xffffffff83219000 41fe linprocfs.ko папка proc от линухи
11 1 0xffffffff8321e000 236e ums.ko мыш в x window devd Gnome3
12 3 0xffffffff83221000 52840 vboxdrv.ko #1 платформа для Virtualbox №2 server 2008 если диск с гостевой в оффлайн
13 2 0xffffffff83274000 2aaf vboxnetflt.ko
14 4 0xffffffff83277000 9b16 netgraph.ko для сети virtualbox и еще и vpn тоже
15 1 0xffffffff83281000 163b ng_ether.ko
16 1 0xffffffff83283000 3fa6 vboxnetadp.ko
17 1 0xffffffff83287000 30b38 linux64.ko
18 1 0xffffffff832b8000 1d83 ng_socket.ko
19 1 0xffffffff832ba000 3252 ng_mppc.ko добавочкм для ipsec vpn
20 1 0xffffffff832be000 2b6 rc4.ko
21 1 0xffffffff832bf000 16d89 smbfs.ko подключение диска с винды или сервера
22 2 0xffffffff832d6000 31d0 libiconv.ko
23 2 0xffffffff832da000 1d8e libmchain.ko
24 2 0xffffffff832dc000 7c936 osscore.ko
25 1 0xffffffff83359000 dff0 oss_envy24ht.ko перекодировка имен файлов и звуковуха редкая на сервер
26 1 0xffffffff83367000 71a0 tmpfs.ko для mpd ipsec

смотрим ядро если чего нет то соответственно ошибка найдена (dmesg подскажет а не перезагрузка по циклу – если такое то fsck -y раза 3 из однопользовательского режима).

service ipsec start
service racoon start
service mpd5 start
# netstat -an | grep 1701
udp4 0 0 *.1701 *.*

на винде прописываем еще маршруты IpEnableRouter route add 192.168.2.0 mask 255.255.255.0 192.168.3.1 metric 4 /p
3.1 конечно сервер vpn, 2.1 -2.256 другая сеть если туда надо лезть. Здесь 2 сети чуть по-проще соединяются.

<br />
root@pc1:/usr/src # setkey -DP<br />
0.0.0.0/0[any] 192.168.3.211[1701] udp<br />
in ipsec<br />
esp/transport//require<br />
spid=5 seq=1 pid=4944 scope=global<br />
refcnt=1<br />
192.168.3.211[1701] 0.0.0.0/0[any] udp<br />
out ipsec<br />
esp/transport//require<br />
spid=6 seq=0 pid=4944 scope=global<br />
refcnt=1<br />

подключился клиент – 10-я винда (смотрим лог ошибок а я написал как его включить?)
Не патчил ничего !!! AES 3DES DES – пакет собирал ipsec-tools с включенной опцией wildcard чтобы не заводить пароль
на каждый адрес клиента.
Ядро только из за vpn можно не собирать – можно посмотреть загруженые модули ядра, kldload не надо там автоматом грузятся.
<br />
netstat -an | grep 1701<br />
udp4 0 0 192.168.3.211.1701 192.168.3.2.1701<br />
udp4 0 0 *.1701 *.* </p>
<p>------<br />
setkey -D<br />
192.168.3.211 192.168.3.2<br />
esp mode=transport spi=1420428098(0x54aa0342) reqid=0(0x00000000)<br />
E: rijndael-cbc 4cb99f06 2a8211c2 c661692a 66e35077 29545013 51d66d3d c31f9289 ea641a5c<br />
A: hmac-sha1 a357bf90 9a4c878f fef275d5 eb28c358 c3cfb72f<br />
seq=0x00000019 replay=4 flags=0x00000000 state=mature<br />
created: Oct 11 19:04:46 2017 current: Oct 11 19:07:42 2017<br />
diff: 176(s) hard: 3600(s) soft: 2880(s)<br />
last: Oct 11 19:04:47 2017 hard: 0(s) soft: 0(s)<br />
current: 2472(bytes) hard: 0(bytes) soft: 0(bytes)<br />
allocated: 25 hard: 0 soft: 0<br />
sadb_seq=1 pid=6042 refcnt=1<br />
192.168.3.2 192.168.3.211<br />
esp mode=transport spi=9565866(0x0091f6aa) reqid=0(0x00000000)<br />
E: rijndael-cbc 3ee5b01d 4c317ddb 399f50b7 b5796744 3568e4b4 11bb836c 3abc35b5 883bc50a<br />
A: hmac-sha1 d29729d2 d0623543 cbed920d faf4ac01 f603d24c<br />
seq=0x00000000 replay=4 flags=0x00000000 state=mature<br />
created: Oct 11 19:04:46 2017 current: Oct 11 19:07:42 2017<br />
diff: 176(s) hard: 3600(s) soft: 2880(s)<br />
last: Oct 11 19:04:47 2017 hard: 0(s) soft: 0(s)<br />
current: 10739(bytes) hard: 0(bytes) soft: 0(bytes)<br />
allocated: 109 hard: 0 soft: 0<br />
sadb_seq=0 pid=6042 refcnt=1<br />
root@pc1:/usr/src # setkey -DP<br />
0.0.0.0/0[any] 192.168.3.211[1701] udp<br />
in ipsec<br />
esp/transport//require<br />
spid=7 seq=1 pid=6047 scope=global<br />
refcnt=2<br />
192.168.3.211[1701] 0.0.0.0/0[any] udp<br />
out ipsec<br />
esp/transport//require<br />
spid=8 seq=0 pid=6047 scope=global<br />
refcnt=2<br />
# ifconfig<br />
...<br />
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400<br />
inet 192.168.3.0 --> 192.168.3.55 netmask 0xffffffff<br />
inet6 fe80::225:90ff:fe76:b120%ng0 prefixlen 64 scopeid 0x4<br />
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL></p>
<p>

исправляем ipfw правила если я запутал tun0 ng0.
настройка еще раз
<br />
rc.conf<br />
---------<br />
#VPN_IPSEC--------------------------<br />
ipsec_enable="YES"<br />
#ipsec_file="/etc/ipsec.conf"<br />
ipsec_program="/usr/local/sbin/setkey"<br />
ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot<br />
racoon_enable="YES"<br />
racoon_create_dirs="YES"<br />
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"<br />
mpd_enable="YES"<br />
--------------------<br />
# cd /usr/ports/security/ipsec-tools/<br />
# make config<br />
пролистываем вниз и включаем опцию wildcard for pre-shared-key.<br />
это значит в файлике psk.txt можно указать:<br />
* пароль_на_подключение<br />
----------------------</p>
<p># ee /etc/rc.d/ipsec</p>
<p>-ipsec_program="/sbin/setkey"<br />
+ipsec_program="/usr/local/sbin/setkey"</p>
<p>---------------------</p>
<p># ee /etc/ipsec.conf </p>
<p>+flush;<br />
+spdflush;<br />
+spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec esp/transport//require;<br />
+spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P out ipsec esp/transport//require;</p>
<p>берет из rc.conf<br />
...<br />
ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot<br />
... setkey.conf: трафик шифруется только с адреса локалки (если сервер шлюз то правильно выше)</p>
<p>flush;<br />
spdflush; spdadd 0.0.0.0/0[any] 192.168.3.211[1701] udp -P in ipsec esp/transport//require;<br />
spdadd 192.168.3.211[1701] 0.0.0.0/0[any] udp -P out ipsec esp/transport//require;</p>
<p>----------------------------------------------------------------------- ili /usr/local/etc i edit rc.conf<br />
/usr/local/etc/racoon/racoon.conf<br />
---------------<br />
path include "/usr/local/etc/racoon" ;<br />
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;<br />
# racoon will look for certificate file in the directory,<br />
# if the certificate/certificate request payload is received.<br />
log debug;<br />
# "padding" defines some padding parameters. You should not touch these.<br />
padding<br />
{<br />
maximum_length 20; # maximum padding length.<br />
randomize off; # enable randomize length.<br />
strict_check off; # enable strict check.<br />
exclusive_tail off; # extract last one octet.<br />
}<br />
# if no listen directive is specified, racoon will listen on all<br />
# available interface addresses.<br />
}<br />
listen<br />
{<br />
isakmp 192.168.3.211 [500]; # Адрес вашего сервера<br />
isakmp_natt 192.168.3.211 [4500];<br />
#admin [7002]; # administrative port for racoonctl.<br />
#strict_address; # requires that all addresses must be bound.<br />
#strict_address;<br />
}<br />
# Specify various default timers.<br />
timer<br />
{<br />
# These value can be changed per remote node.<br />
counter 5; # maximum trying count to send.<br />
interval 20 sec; # maximum interval to resend.<br />
persend 1; # the number of packets per send.<br />
# maximum time to wait for completing each phase.<br />
phase1 30 sec;<br />
phase2 15 sec;<br />
}<br />
remote anonymous<br />
{<br />
exchange_mode main, aggressive;<br />
# doi ipsec_doi;<br />
situation identity_only;<br />
#certificate_type x509 "my.cert.pem" "my.key.pem";<br />
lifetime time 24 hour;<br />
nonce_size 16;<br />
#passive on;<br />
initial_contact on;<br />
proposal_check obey; # obey, strict, or claim<br />
#support_proxy on;<br />
ike_frag on;<br />
nat_traversal on;<br />
dpd_delay 20;<br />
proposal<br />
{<br />
encryption_algorithm 3des;<br />
hash_algorithm sha1;<br />
authentication_method pre_shared_key;<br />
dh_group 2;<br />
}<br />
}<br />
sainfo anonymous<br />
{<br />
encryption_algorithm aes, 3des, des;<br />
authentication_algorithm hmac_sha1, hmac_md5;<br />
compression_algorithm deflate;<br />
pfs_group 2;<br />
}<br />
---------------------------- смотрим на алгоритмы шифрования и если включен лог файл то его<br />
mpd.conf /usr/local/etc/mpd5/ и mpd.secret с паролями dв строчку имя пароль в кавычках<br />
-----</p>
<p>common:<br />
# Enable multilink protocol<br />
set link enable multilink<br />
# Set bundle template to use<br />
set link action bundle B<br />
# Allow peer to authenticate us<br />
set link disable chap pap<br />
set link accept chap pap<br />
set auth authname r2<br />
# Set inifinite redial attempts<br />
set link max-redial 0<br />
set modem var $DialPrefix "DT"<br />
set modem var $Telephone "1-415-555-1212"<br />
set modem script DialPeer</p>
<p>l2tp_server:<br />
# Создаем диапазон присваиваемых IP адрессов.<br />
# Define dynamic IP address pool.<br />
set ippool add pool1 192.168.3.55 192.168.3.75</p>
<p># Create clonable bundle template named B<br />
create bundle template B<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
# set ipcp yes vjcomp # сжатие tcp заголовков<br />
# Specify IP address pool for dynamic assigment.<br />
set ipcp ranges 192.168.3.0/24 ippool pool1<br />
set ipcp dns 8.8.8.8<br />
# The five lines below enable Microsoft Point-to-Point encryption<br />
# (MPPE) using the ng_mppc(8) netgraph node type.<br />
# set bundle enable compression<br />
set ccp yes mppc<br />
set mppc yes e40<br />
set mppc yes e128<br />
set mppc yes stateless<br />
# Create clonable link template named L<br />
create link template L l2tp<br />
# Set bundle template to use<br />
set link action bundle B<br />
# Multilink adds some overhead, but gives full 1500 MTU.<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
# set link no pap chap<br />
set link enable chap<br />
set link keep-alive 10 60<br />
# We reducing link mtu to avoid GRE packet fragmentation<br />
set link mtu 1460<br />
# Configure l2tp<br />
# IP адресс нашего VPN сервера. (Собственно адресс машины с фряхой)<br />
# set l2tp self 192.168.3.211<br />
set l2tp self 0.0.0.0<br />
# Allow to accept calls<br />
set link enable incoming</p>
<p>pptp_server:<br />
# пул адресов<br />
set ippool add pool2 192.168.3.76 192.168.3.86<br />
create bundle template B1<br />
set iface enable proxy-arp<br />
set iface idle 1800<br />
set iface enable tcpmssfix<br />
# указываем mpd-сервер и назначаем для подсети пул<br />
set ipcp ranges 192.168.3.0/24 ippool pool2<br />
# указываем dns провайдера или свой<br />
# Create clonable link template named P<br />
create link template PPTP pptp<br />
# Set bundle template to use<br />
set link action bundle B1<br />
# Multilink adds some overhead, but gives full 1500 MTU.<br />
set link enable multilink<br />
set link yes acfcomp protocomp<br />
set link no pap chap eap<br />
set link enable chap<br />
# We can use use RADIUS authentication/accounting by including<br />
# another config section with label 'radius'.<br />
# load radius<br />
set link keep-alive 10 60<br />
set ipcp dns 8.8.8.8<br />
# если нет WINS, то комментируем<br />
#set ipcp nbns 192.168.1.4<br />
# We reducing link mtu to avoid GRE packet fragmentation.<br />
set link mtu 1460<br />
# принимать PPTP подключения на всех интерфейсах или указываем конкретный<br />
# Configure PPTP<br />
# set pptp self 192.168.3.211<br />
set pptp self 0.0.0.0<br />
set link enable incoming<br />
--------------------<br />
pptp похоже не поднимается (не надо) может ошибка где то или адреса надо разнести в еще одну подсеть?</p>
<p>

——————

поиск в google тоннельный синдром (   я не нашел но можно найти статью странице на 40-й) archive.is смотрим через tor
site to site vpn
информацию проверять на ложь бо с этим связаны деньги и гроши великие.

 

Сохранить

Troubleshooting common VPN related errors


Hello Customers,

If you are seeing errors while establishing VPN connection using Windows in-built VPN client,  you have reached the right place. This article will help you to easily troubleshoot some of the common VPN related errors.

1) Error Code: 800

Error Description: The remote connection was not made because the attempted VPN tunnels failed. The VPN server might be unreachable. If this connection is attempting to use an L2TP/IPsec tunnel, the security parameters required for IPsec negotiation might not be configured properly.

Possible Cause: This error comes when the VPN tunnel type is ‘Automatic’ and the connection establishment fails for all the VPN tunnels.

Possible Solutions:

a> If you know which tunnel should actually be used for your deployment, try to set the ‘Type of VPN’ to that particular tunnel type on the VPN client side. [This can be set by clicking the ‘Network Connections’ icon on the bottom right of the task bar, Select your Connection, Right Click -> Properties -> Securities Tab -> Under ‘Type of VPN’ select the interested VPN tunnel type ]

By making VPN connection with a particular tunnel type, your connection will still fail but it will give a more tunnel specific error (for example: GRE blocked for PPTP, Certificate error for L2TP, SSL negotiation errors for SSTP, etc.)

b> This error usually comes when the VPN server is not reachable or the tunnel establishment fails.

i. Make sure the VPN server is reachable (try to PING the server).

ii. If interested in PPTP, make sure PPTP port (TCP 1723) or GRE Port (47) is not blocked on in between firewalls.

iii. If interested in L2TP, make sure

1. Correct pre-shared key or machine certificate are present both on client and server.

2. L2TP port (UDP 1701) is not blocked on any of the firewalls.

iv. If interested in IKEv2 based VPN tunnel, make sure

1. IKE port (UDP port 500, UDP port 4500) is not blocked.

2. Correct machine certificate for IKE are present both on client and server.

v. If interested in SSTP, make sure correct machine certificate is installed on the server and correct trusted root certificate is installed on the client machine.

2) Error Code: 609, 633

Error Description:

609: A device type was specified that does not exist.

633: The modem (or other connecting device) is already in use or is not configured properly.

Possible Cause: This error usually comes when the connecting VPN device (aka miniport) is not configured properly.

To confirm the issue: From the elevated command prompt, type the following command to confirm the presence of miniport: -

netcfg.exe –q <miniport name>

Following is the Miniport Device name for different tunnels:

PPTP Tunnel: MS_PPTP

L2TP Tunnel: MS_L2TP

SSTP Tunnel: MS_SSTP

VPN Reconnect (IKEv2) Tunnel: MS_AGILEVPN

Possible Solution:

1. In Windows 7, a built-in diagnostic with repair is provided for the ‘miniport missing’ issue for locally created VPN connections. A ‘Diagnostic’ button is shown on the Error page of the VPN connection. By clicking this button, it will give a ‘repair’ option if it finds the issue to be miniport missing which if clicked will automatically try to fix the issue.

clip_image002

2. On Vista or below OS, if the miniport device is missing, you can run the following command from ‘elevated’ command prompt:

a> netcfg.exe -e -c p -i <miniport name>

Details of the <miniport name> is given above.

b> Stop and Start ‘rasman’ (‘Remote Access Connection Manager’) service.

3) Error Code: 732, 734, 812

Error Description:

732: Your computer and the remote computer could not agree on PPP control protocols.

734: The PPP link control protocol was terminated.

812: The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.

Possible Causes: One of the prime causes for the above error  is: when the *only* allowed authentication protocol configured on VPN server (or Radius server) is MS-CHAP and the VPN client is Vista or above OS platform (like Windows7). Note: due to security reasons MS-CHAP was removed from Vista and above OS platform and hence the connection fails.

Error 812 comes when Authentication protocol is set via NPS (Network Policy and Access Services) otherwise Error 732/734.

Event log 20276 is logged to the event viewer when RRAS based VPN server authentication protocol setting mismatches which that of the VPN client machine.

Possible Solution: Configure a more secured authentication protocol like MS-CHAPv2 or EAP based authentication on the server – which matches the settings on the client side.

4) Error Code: 806

Error Description:  806: The VPN connection between your computer and the VPN server could not be completed. The most common cause for this failure is that at least one Internet device (for example, a firewall or a router) between your computer and the VPN server is not configured to allow Generic Routing Encapsulation (GRE) protocol packets. If the problem persists, contact your network administrator or Internet Service Provider.

Possible Cause: PPTP uses GRE (Generic Route Encapsulation) protocol to encapsulate the VPN payload in a secure manner.This error generally comes when some firewall in path between client and server blocks GRE Protocol (i.e. IP protocol number 47).

Possible Solution: Allow both outgoing and incoming Protocol 47 (GRE) on any in between firewalls. If that is not possible, deploy SSTP based VPN tunnel on both VPN server and VPN client – that allows VPN connection across firewalls, web proxies and NAT.

5) Error Code: 789, 835

Error Description:

789: The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.

835: The L2TP connection attempt failed because the security layer could not authenticate the remote computer. This could be because one or more fields of the certificate presented by the remote server could not be validated as belonging to the target destination.

Possible Causes: This is a generic error which is thrown when the IPSec negotiation fails for L2TP/IPSec connections.

Possible causes for this issue could be:

a> L2TP based VPN client (or VPN server) is behind NAT.

b> Wrong certificate or pre-shared key is set on the VPN server or client

c> Machine certificate or trusted root machine certificate is not present on the VPN server.

d> Machine Certificate on VPN Server does not have 'Server Authentication' as the EKU

Possible Solution: Make sure correct certificate is used both on client and server side – for further details refer to this blog. In case Pre Shared Key (PSK) is used, make sure the same PSK is configured on the client and the VPN server machine.

6) Error Code: 766

Error Description:  766: A certificate could not be found. Connections that use the L2TP protocol over IPSec require the installation of a machine certificate, also known as a computer certificate.

Possible Cause: This error usually comes when their is no valid machine certificate on your client machine.

Possible Solution: Make sure the correct machine certificate for L2TP validation is installed on your client machine - for further details refer to this blog.

7) Error Code: 691

Error Description: 691: The remote connection was denied because the user name and password combination you provided is not recognized, or the selected authentication protocol is not permitted on the remote access server.

Possible Cause: This error is given when the authentication phase erred out because of wrong credentials being passed.

Possible Solution:

a> Make sure correct username and password is typed.

b> Make sure ‘Caps Lock’ is not turned ON while typing credentials.

c> Make sure the authentication protocol as selected on the client is permitted on the server.

8) Error Code: 809

Error Description: 809: The network connection between your computer and the VPN server could not be established because the remote server is not responding. This could be because one of the network devices (e.g, firewalls, NAT, routers, etc) between your computer and the remote server is not configured to allow VPN connections. Please contact your Administrator or your service provider to determine which device may be causing the problem.

Possible Cause: This error usually comes when some firewall between client and server is blocking the ports used by VPN tunnel

a> PPTP port (TCP port 1723) is blocked by a firewall/router. [Applicable to tunnel type = PPTP]

b> L2TP or IKEv2 port (UDP port 500, UDP port 4500) is blocked by a firewall/router. [Applicable to tunnel type = L2TP or IKEv2]

Possible Solution: Enable the port (as mentioned above) on firewall/router. If that is not possible, deploy SSTP based VPN tunnel on both VPN server and VPN client – that allows VPN connection across firewalls, web proxies and NAT.

9) Error Code: 13806

Error Description: 13806: IKE failed to find valid machine certificate. Contact your Network Security Administrator about installing a valid certificate in the appropriate Certificate Store.

Possible Cause: This usually happens when there is no machine certificate or no root machine certificate present on the VPN Server.

Possible Solution: Please contact your VPN server administrator to verify and fix the issue - for further details refer to this blog.

10) Error Code: 13801

Error Description: 13801: IKE authentication credentials are unacceptable.

Possible Causes: This error usually comes in one of the following cases:

  1. The machine certificate used for IKEv2 validation on RAS Server does not have 'Server Authentication' as the EKU (Enhanced Key Usage).
  2. The machine certificate on RAS server has expired.
  3. The root certificate to validate the RAS server certificate is not present on the client.
  4. VPN Server Name as given on client doesn’t match with the subjectName of the server certificate.

Possible Solution: Please contact your VPN server administrator to verify and fix the above issue - for further details refer to this blog.

11) Error Code: 0x800704C9

Error Description:

Possible Cause: This issue may occur if no SSTP ports are available on the server.

Possible Solution: To troubleshoot this issue, verify that the RAS server has sufficient ports configured for remote access. To do this, follow these steps:

  1. Start the Routing and Remote Access MMC snap-in.
  2. Expand the server, right-click Ports, and then click Properties.
  3. In the Name list, click WAN Miniport (SSTP), and then click Configure.
  4. Modify the number that appears in the Maximum ports list, as appropriate for your requirements, and then click OK.
    Note By default, 128 ports are available for this device.
  5. In the Port Properties dialog box, click OK

12) Error Code: 0x80070040

Error Description:

Possible Cause: This issue may occur if a server authentication certificate is not installed on the RAS server.

Possible Solution: Make sure the machine certificate used by RAS server for SSL has ‘Server Authentication’ as one of the certificate usage entries. For further details refer to this blog. For changing the SSTP machine certificate, please refer to this blog if on VPN server is running Windows server 2008 R2, else refer to this blog

13) Error Code: 0x800B0101

Error Description: 0x800B0101: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

Possible Cause: This issue may occur if a server authentication certificate is not installed on the Routing and Remote Access server.

Possible Solution: Make sure the machine certificate used by RAS server for SSL has ‘Server Authentication’ as one of the certificate usage entries and the certificate is not expired. For further details refer to this blog. For changing the SSTP machine certificate, please refer to this blog if on VPN server is running Windows server 2008 R2, else refer to this blog

14) Error Code: 0x800B0109

Error Description: 0x800B0109: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.

Possible Cause: This issue may occur if the appropriate trusted root certification authority (CA) certificate is not installed in the Trusted Root Certification Authorities store on the client computer.

Note: Generally the VPN client machine is joined to the active directory based domain and if you use domain credentials to log on to the VPN server, the certificate is automatically installed in the Trusted Root Certification Authorities store. However, if the computer is not joined to the domain or if you use an alternative certificate chain, you may experience this issue.

Possible Solution: Make sure root certificate is installed on the client machine in the Trusted Root Certification Authorities store.

15) Error Code: 0x800B010F

Error Description: 0x800B010F: The certificate's CN name does not match the passed value.

Possible Cause: This issue may occur if the host name of the server that is specified in the VPN connection does not match the subject name that is specified on the SSL certificate that the server submits to the client computer.

Possible Solution: Verify that the certificate which RAS server uses for SSL has the correct subject name. For example, if the VPN client is configured to use FQDN name to connect to the VPN server, the certificate used by VPN server must have FQDN in the subject name. Same thing if the client is configured to use IP address (IPv4 or IPv6) of VPN server.  If the appropriately-named certificate is not present on the RAS server, you must obtain a new certificate for the RAS server.

For changing the SSTP machine certificate, please refer to this blog if on VPN server is running Windows server 2008 R2, else refer to this blog

16) Error Code: 0x80092013

Error Description: 0x80092013: The revocation function was unable to check revocation because the revocation server was offline.

Possible Cause: This issue may occur if the client computer fails the certificate revocation check for the SSL certificate that the client computer obtained from the VPN server.

Possible Solution: To troubleshoot this issue, verify that the server that hosts the Certificate Revocation List (CRL) is available to the client – before VPN tunnel is established. This means that the CRL server is available to the client over the Internet because the client computer runs the CRL check during the establishment of the SSL connection and the CRL check query is sent directly to the CRL server.

17) Error Code: 0x800704D4

Error Description: 0x800704D4: The network connection was aborted by the local system

Possible Cause: This error comes when the hostname of the VPN server is not resolved by the forward proxy in-front of the VPN client.

Possible Solution: Check your proxy settings inside the Internet explorer. If the settings are correct, please ensure you are able to access other web sites (e.g. www.microsoft.com) using the browser. If that also works through, try accessing the URI which SSTP uses internally i.e. https://vpn_server_name/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/  -  please replace vpn_server_name with actual VPN server name. If you see error “the website cannot be found” inside your browser, that validates the hostname resolution failure. If you know the IP address of VPN server, try connecting with that. Else contact your network administrator (who is responsible for managing the web proxy – most probably your ISP) – giving them the details of the problem (i.e. hostname resolution is failing for that particular hostname).

18) Error Code: 0x80072746

Error Description: 0x80072746: An existing connection was forcibly closed by the remote host.

Possible Cause: This error comes when the server machine certificate binding to HTTPS is not done on the VPN server OR the server machine certificate is not installed on the VPN server.

Possible Solution: Please contact your VPN server administrator – to check whether relevant machine certificate is installed  on the VPN server. If installed correctly, check the HTTPS binding by running following command at the VPN server command prompt - “netsh http show ssl”. For further details, please refer to this blog.

Further References:

Troubleshooting articles @ RRAS blog site

How to troubleshoot SSTP based connection failure in Windows

Please send in your feedback via email, in case we are missing some errors that you encounter most commonly in your deployment.

Cheers,

Dinesh Agarwal

Amit Kumar (WINDOWS)

Windows Networking

[This posting is provided "AS IS" with no warranties, and confers no rights.]

Comments (2)

  1. Anonymous says:

    Pingback from ?????????????????????????? ???? VPN ???????????? ?? Windows XP |

  2. Anonymous says:

    ———- windows.azure.com 1. Create new Windows Server VM using "Quick Create" 2. The DNS name, username

    рабочая схема соединения – (магазин склад офис) 1 2 3

    1->2 2->1 3->1 2->3 . Все подсети разные . ..1.0 ..2.0 ..0.0 . Автоматом настраиваются маршруты на сервере 2012 и 2016 – если открыть из консоли просмотр таблицы маршрутов. Если делать схему треугольником и 6 соединений то это приводит роутер к падению при добавлении автоматом маршрута, логика слетает с катушек и уезжает вместе с крышей. Либо падает если рвется соединение. Установлен 30 секунд таймер на разрыв соединения и пинги по 2 запроса за 5 секунд по 32 байта. Маршрутов прописано на сервере по 2 и из локалки на местный роутер (стоимость то есть метрика 30) там же, но логика выбирает тот где меньше метрика то есть если 3 то он идет в первую очередь, можно посмотреть таблицу как и чего добавляется , на 2016 сервере там расписано подробно. Metric 2 настраивать не надо. Фазы и шифрование по умолчанию, в политиках тоже ничего нет.

    По openvpn еще будет настройка. .. пока винда надежнее.

    еще одна сттатья К иевского программиста и и я поигрался с PFSENSE -та же фряха специально пакеты для роутера. (да еще проще вариант – подключите Акадо если столицы – и там на новом модеме есть туннель впн)

    Фряха она же FreeBSD может как роутер работать и не только как роутер, еще и сервер для виндовых компов , еще веб сайты.

    вот 0

    Andrew BLOG

    Полезные заметки сисадмина

    Деревня

    Соединяем 2 офиса через VPN на FreeBSD 11. VPN через IPsec.

    Пример конкретного подключения. Используется FreeBSD 11.0 Release.

    Обращаемся к началу начала. Документация здесь VPN через IPsec

    Ну и пробуем.

    Исходные данные:

    • Существует две сети 192.168.146.0/24 и 192.168.147.0/24
    • Обе сети соединены через интернет через шлюз, работающий на FreeBSD 11.0 Release
    • У шлюза каждой из сетей есть один публичный IP адрес A.B.C.D и W.X.Y.Z
    • Внутренние IP адреса двух сетей приватные. На шлюзе работает NAT.

    Короче документация похоже устарело, по ней ничего не вышло.

    Нашел на английском, здесь более свежее похоже: https://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ipsec.html

    Нашел на форуме http://www.opennet.ru/openforum/vsluhforumID1/95477.html?n=yokon следующее:
    Ядро должно содержать строки:

     options         IPSEC
     device          crypto

    Собираем ядро.

    config kernel_name &&
    cd ../compile/kernel_name
    make cleandepend && make depend && make && make install
    

    Я не пересобирал ядро, так как в ядре по умолчанию эти опции были уже включены.

    Можно посмотреть, что у вас в ядре по умолчанию  /usr/src/sys/i386/conf GENERIC

    uname -a

    посмотреть какое у вас ядро

    /etc/rc.conf
    cloned_interfaces=»gif0″
    ifconfig_gif0=»inet A.A.A.A B.B.B.B netmask 255.255.255.252 tunnel C.C.C.C D.D.D.D»
    (A и B адреса концов туннеля) и строится он между C и D

    A.A.A.A = 192.168.141.254
    B.B.B.B = 192.168.141.254

    C.C.C.C = внешний IP сети A.A.A.A
    D.D.D.D = внешний IP сети B.B.B.B

    ipsec_enable="YES"              # Set to YES to run setkey on ipsec_file
    ipsec_file="/etc/ipsec.conf"    # Name of config file for setkey

    Создаем фал ipsec.conf

    flush;
     spdflush;
     spdadd A.A.A.A/30 B.B.B.B/30 any -P out  ipsec esp/tunnel/C.C.C.C-D.D.D.D/require;
     spdadd B.B.B.B/30 A.A.A.A/30 any -P in ipsec esp/tunnel/D.D.D.D-C.C.C.C/require;

    Далее идем устанавливаем racoon
    cd /usr/ports/security/ipsec-tools/
    make && make install && make clean

    Я ставил через portmaster, сути не меняет просто по факту было так:

    # portmaster /usr/ports/security/ipsec-tools/

    в итоге:

    Installing ipsec-tools-0.8.2_1...
    ===> SECURITY REPORT:
     This port has installed the following files which may act as network
     servers and may therefore pose a remote security risk to the system.
    /usr/local/sbin/racoon
    
    This port has installed the following startup scripts which may cause
     these network services to be started at boot time.
    /usr/local/etc/rc.d/racoon
    
    If there are vulnerabilities in these programs there may be a security
     risk to the system. FreeBSD makes no guarantee about the security of
     ports included in the Ports Collection. Please type 'make deinstall'
     to deinstall the port if this is a concern.
    
    For more information, and contact details about the security
     status of this software, see the following webpage:
    http://ipsec-tools.sourceforge.net/
    
    ===>>> Installation of security/ipsec-tools (ipsec-tools-0.8.2_1) complete

    После установки rc.conf добавляем

    racoon_enable="YES"

    И создаем его конфигурационный файл /usr/local/etc/racoon/racoon.conf:

    path include "/usr/local/etc/racoon" ;
     path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
     log notify;
    
    padding
     {
     maximum_length 20;      # maximum padding length.
     randomize off;          # enable randomize length.
     strict_check off;       # enable strict check.
     exclusive_tail off;     # extract last one octet.
     }
    
    # if no listen directive is specified, racoon will listen to all
     # available interface addresses.
     listen
     {
     #isakmp ::1 [7000];
     isakmp  C.C.C.C [500];
     #admin [7002];          # administrative's port by kmpstat.
     #strict_address;        # required all addresses must be bound.
     }
    
    # Specification of default various timer.
     timer
     {
     # These value can be changed per remote node.
     counter 5;              # maximum trying count to send.
     interval 20 sec;        # maximum interval to resend.
     persend 1;              # the number of packets per a send.
    
    # timer for waiting to complete each phase.
     phase1 60 sec;
     phase2 30 sec;
     }
     remote anonymous
     {
     exchange_mode main,aggressive;
     doi ipsec_doi;
     situation identity_only;
    
    nonce_size 16;
     lifetime time 240 min;   # sec,min,hour
     initial_contact on;
     #        support_mip6 on;
     support_proxy on;
     proposal_check obey;    # obey, strict or claim
    
    proposal {
     encryption_algorithm 3des;
     hash_algorithm md5;
     authentication_method pre_shared_key ;
     dh_group 5 ;
     }
     }
    
    sainfo anonymous
     {
     pfs_group 5;
     lifetime time 24 hour;
     encryption_algorithm 3des,des,cast128,blowfish;
     authentication_algorithm hmac_sha1,hmac_md5;
     compression_algorithm deflate ;
     }

    Создаем файл с паролями psk.txt

    D.D.D.D    password_for_remote_host

    Не забываем сделать его доступным только для чтения.
    chmod 600 psk.txt

    Перезагружаемся и все работает.

    Не все так просто, пинги не пошли, ищу причину.

    На 1-ом шлюзе, что касается gif

    Посмотреть таблицу маршрутизации

    netstat -rn
    Routing tables
    
    Internet:
    Destination Gateway Flags Netif Expire
    192.168.141.254 link#5 UH gif0
    
    

    На 2-ом шлюзе

    192.168.146.254 link#4 UH gif0

    ————————-

    http://wiki.dieg.info/ipsec

    # /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log

    Выложить рабочие скрипты…Опубликовано 23.11.2016Автор: AndrewВ рубрике FreeBSD

    Навигация по записям

    Предыдущая записьFreeBSD: Мониторинг RAID из командной строки (CLI) MPTUTILСледующая записьFreeBSD 11.0 Release. Настройка TFTP-сервера tftpd-hpa.

    Нужен сисадмин конечно. Это у нас директор все делает..