PDA

Bekijk de volledige versie : Роутер + vpn + 2 офиса



Diablo-AD
15-09-2006, 08:05
возможно ли на асусе 500gp создать VPN сервер с тунелем к другому серверу(там стоит ISA2004-протоколы l2tp или pptp)?
openvpn, как я понял не поддрживает эти протоколы?
за роутером находится около 10 клиентов

Oleg
15-09-2006, 09:52
Вам нужно не Vpn сервер, а Pptp клиент. Он есть. Просто выбираете тип соединения Pptp.

Diablo-AD
18-09-2006, 19:24
Вам нужно не Vpn сервер, а Pptp клиент. Он есть. Просто выбираете тип соединения Pptp.
т.е. мне на сервере ISA включить поддержку VPN клиентов с протоколом PPTP, и все компьютеры которые будут за роутером будут видны на компьютерах, которы находятся со стороны сервера ISA?

и при этом надо только соединения с компьтерами за ISA должны идти через vpn, а остальной трафик через обычное подключение(это сделается настройкой маршрутизации?)

ЗЫ сори за возможно глупын вопросы - никогда не имел дело с vpn :)

Oleg
18-09-2006, 20:12
Видимость будет, только если Вы настроете Wins сервер или пропишите всех в ДНС. Правда есть ещё одна тонкость: двунаправленная видимость требует нормальной маршрутизации и отказа от НАТ. Т.е. соединение таки вручную прийдётся поднимать.

Oleg
18-09-2006, 20:14
ЗЫ: если опыта нет, то потренируйтесь сначала с ПК в качестве маршрутизатора, с линуксом. Потом подмените на роутер. Либо сразу покупайте роутер с поддержкой туннелирования в веб интрефейсе.

AYa
12-11-2006, 11:17
Добрый день!
Есть такая ситуация, стримовский Интернет через который надо организовать VPN соединение с офисом. ADSL стрима принимает Huawei, который стоит в режиме бриджа. За ним стоит Asus 500gP (с прошивкой Олега - 1.9.2.7-7f). Asus великолепно поднимает PPPoE. Пробую из телнета поднять PPTP, пока не очень удачно.
Для поднятия PPTP использую:

[admin@(none) root]$ vi /tmp/ppp/options.wan1
noauth refuse-eap
user 'ххх'
password 'ххх'
connect true
pty '/usr/sbin/pptp «IP VPN сервера» --nolaunchpppd'
lock
usepeerdns
defaultroute
persist
ipcp-accept-remote ipcp-accept-local noipdefault
ktune
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
lcp-echo-interval 10
lcp-echo-failure 6
unit 0
maxfail 0 require-mppe-128 mtu 1400
[admin@(none) root]$ pppd file /tmp/ppp/options.wan1
[admin@(none) root]$ route add -net VPN-сеть netmask VPN-маска gw «выданный IP»

VPN вроде поднимается (на ppp1) но после падает.

В логах видно:
Nov 12 12:59:06 pppd[135]: No response to 6 echo-requests
Nov 12 12:59:06 pppd[135]: Serial link appears to be disconnected.
Nov 12 12:59:06 pppd[135]: MPPE disabled
Nov 12 12:59:09 pppd[135]: Connection terminated.
Nov 12 12:59:09 pppd[135]: Connect time 1.2 minutes.
Nov 12 12:59:09 pppd[135]: Sent 73645710 bytes, received 102 bytes.
Nov 12 12:59:09 pptp[149]: anon warn[decaps_hdlc:pptp_gre.c:197]: short read (-1): Input/output error
Nov 12 12:59:09 pptp[149]: anon warn[decaps_hdlc:pptp_gre.c:209]: pppd may have shutdown, see pppd log
Nov 12 12:59:09 pptp[153]: anon log[callmgr_main:pptp_callmgr.c:240]: Closing connection
Nov 12 12:59:09 pptp[153]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Nov 12 12:59:11 pptp[153]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Nov 12 12:59:11 pptp[153]: anon log[pptp_conn_close:pptp_ctrl.c:433]: Closing PPTP connection
Nov 12 12:59:11 pptp[153]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 3 'Stop-Control-Connection-Request'
Nov 12 12:59:15 pptp[153]: anon log[call_callback:pptp_callmgr.c:83]: Closing connection
Nov 12 12:59:39 pptp[159]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Nov 12 12:59:39 pppd[135]: Serial connection established.
Nov 12 12:59:39 pppd[135]: Couldn't allocate PPP unit 0 as it is already in use
Nov 12 12:59:39 pppd[135]: Using interface ppp1
Nov 12 12:59:39 pppd[135]: Connect: ppp1 <--> /dev/pts/1
Nov 12 12:59:39 pptp[163]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Nov 12 12:59:39 pptp[163]: anon log[ctrlp_disp:pptp_ctrl.c:732]: Received Start Control Connection Reply
Nov 12 12:59:39 pptp[163]: anon log[ctrlp_disp:pptp_ctrl.c:766]: Client connection established.
Nov 12 12:59:40 pptp[163]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Nov 12 12:59:40 pptp[163]: anon log[ctrlp_disp:pptp_ctrl.c:851]: Received Outgoing Call Reply.
Nov 12 12:59:40 pptp[163]: anon log[ctrlp_disp:pptp_ctrl.c:890]: Outgoing call established (call ID 0, peer's call ID 367).
Nov 12 12:59:41 pppd[135]: CHAP authentication succeeded
Nov 12 12:59:41 pppd[135]: MPPE 128-bit stateful compression enabled
Nov 12 12:59:41 pppd[135]: not replacing existing default route to ppp0 [«Stream IP»]
Nov 12 12:59:41 pppd[135]: local IP address «выданный IP»
Nov 12 12:59:41 pppd[135]: remote IP address «IP VPN сервера»
Nov 12 12:59:41 pppd[135]: primary DNS address «VPN DNS»
Nov 12 13:00:50 pppd[135]: No response to 6 echo-requests
Nov 12 13:00:50 pppd[135]: Serial link appears to be disconnected.
Nov 12 13:00:50 pppd[135]: MPPE disabled
Nov 12 13:00:53 pppd[135]: Connection terminated.
Nov 12 13:00:53 pppd[135]: Connect time 1.2 minutes.
Nov 12 13:00:53 pppd[135]: Sent 74112050 bytes, received 102 bytes.
Nov 12 13:00:54 pptp[159]: anon warn[decaps_hdlc:pptp_gre.c:197]: short read (-1): Input/output error
Nov 12 13:00:54 pptp[159]: anon warn[decaps_hdlc:pptp_gre.c:209]: pppd may have shutdown, see pppd log
Nov 12 13:00:54 pptp[163]: anon log[callmgr_main:pptp_callmgr.c:240]: Closing connection
Nov 12 13:00:54 pptp[163]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Nov 12 13:00:56 pptp[163]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Nov 12 13:00:56 pptp[163]: anon log[pptp_conn_close:pptp_ctrl.c:433]: Closing PPTP connection
Nov 12 13:00:56 pptp[163]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 3 'Stop-Control-Connection-Request'
Nov 12 13:01:00 pptp[163]: anon log[call_callback:pptp_callmgr.c:83]: Closing connection

Может кто сталкивался с подобной ситуацией и подскажет куда «копать».

Заранее благодарю, Александр.

Oleg
12-11-2006, 11:18
Попробуйте добавить в этот файл nomppe-stateful

AYa
12-11-2006, 12:27
Не, не помогло :(
Как я понимаю главный его аргумент «No response to 6 echo-requests»
Правда после реконнекта есть «anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.», но это после реконнекта.
Можно ли это отследить tcpdump-ом (запрос - ответ).
P.S.
Может ли это быть связано с фаирволом?

---- Log
Nov 12 14:13:07 pppd[134]: pppd 2.4.2 started by admin, uid 0
Nov 12 14:13:07 pppd[134]: Serial connection established.
Nov 12 14:13:07 pppd[134]: Couldn't allocate PPP unit 0 as it is already in use
Nov 12 14:13:07 pppd[134]: Using interface ppp1
Nov 12 14:13:07 pppd[134]: Connect: ppp1 <--> /dev/pts/1
Nov 12 14:13:08 pptp[137]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Nov 12 14:13:08 pptp[140]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Nov 12 14:13:08 pptp[140]: anon log[ctrlp_disp:pptp_ctrl.c:732]: Received Start Control Connection Reply
Nov 12 14:13:08 pptp[140]: anon log[ctrlp_disp:pptp_ctrl.c:766]: Client connection established.
Nov 12 14:13:09 pptp[140]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Nov 12 14:13:09 pptp[140]: anon log[ctrlp_disp:pptp_ctrl.c:851]: Received Outgoing Call Reply.
Nov 12 14:13:09 pptp[140]: anon log[ctrlp_disp:pptp_ctrl.c:890]: Outgoing call established (call ID 0, peer's call ID 409).
Nov 12 14:13:09 pppd[134]: CHAP authentication succeeded
Nov 12 14:13:09 pppd[134]: MPPE 128-bit stateless compression enabled
Nov 12 14:13:10 pppd[134]: not replacing existing default route to ppp0 [«Stream IP»]
Nov 12 14:13:10 pppd[134]: local IP address «выданный IP»
Nov 12 14:13:10 pppd[134]: remote IP address «IP VPN сервера»
Nov 12 14:13:10 pppd[134]: primary DNS address «VPN DNS»
Nov 12 14:14:19 pppd[134]: No response to 6 echo-requests
Nov 12 14:14:19 pppd[134]: Serial link appears to be disconnected.
Nov 12 14:14:19 pppd[134]: MPPE disabled
Nov 12 14:14:20 pptp[140]: anon log[logecho:pptp_ctrl.c:670]: Echo Reply received.
Nov 12 14:14:22 pppd[134]: Connection terminated.
Nov 12 14:14:22 pppd[134]: Connect time 1.2 minutes.
Nov 12 14:14:22 pppd[134]: Sent 55327316 bytes, received 92 bytes.
Nov 12 14:14:22 pptp[137]: anon warn[decaps_hdlc:pptp_gre.c:197]: short read (-1): Input/output error
Nov 12 14:14:22 pptp[137]: anon warn[decaps_hdlc:pptp_gre.c:209]: pppd may have shutdown, see pppd log
Nov 12 14:14:22 pptp[140]: anon log[callmgr_main:pptp_callmgr.c:240]: Closing connection
Nov 12 14:14:22 pptp[140]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Nov 12 14:14:24 pptp[140]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 12 'Call-Clear-Request'
Nov 12 14:14:24 pptp[140]: anon log[pptp_conn_close:pptp_ctrl.c:433]: Closing PPTP connection
Nov 12 14:14:24 pptp[140]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 3 'Stop-Control-Connection-Request'
Nov 12 14:14:24 pptp[140]: anon log[ctrlp_disp:pptp_ctrl.c:922]: Call disconnect notification received (call id 409)
Nov 12 14:14:26 pptp[140]: anon log[call_callback:pptp_callmgr.c:83]: Closing connection
Nov 12 14:14:52 pptp[146]: anon log[main:pptp.c:267]: The synchronous pptp option is NOT activated
Nov 12 14:14:52 pppd[134]: Serial connection established.
Nov 12 14:14:52 pppd[134]: Couldn't allocate PPP unit 0 as it is already in use
Nov 12 14:14:52 pppd[134]: Using interface ppp1
Nov 12 14:14:52 pppd[134]: Connect: ppp1 <--> /dev/pts/1
Nov 12 14:14:52 pptp[150]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Nov 12 14:14:52 pptp[150]: anon log[ctrlp_disp:pptp_ctrl.c:732]: Received Start Control Connection Reply
Nov 12 14:14:52 pptp[150]: anon log[ctrlp_disp:pptp_ctrl.c:766]: Client connection established.
Nov 12 14:14:53 pptp[150]: anon log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Nov 12 14:14:53 pptp[150]: anon log[ctrlp_disp:pptp_ctrl.c:851]: Received Outgoing Call Reply.
Nov 12 14:14:53 pptp[150]: anon log[ctrlp_disp:pptp_ctrl.c:890]: Outgoing call established (call ID 0, peer's call ID 410).
Nov 12 14:14:54 pppd[134]: CHAP authentication succeeded
Nov 12 14:14:54 pppd[134]: MPPE 128-bit stateless compression enabled
Nov 12 14:14:54 pppd[134]: not replacing existing default route to ppp0 [«Stream IP»]
Nov 12 14:14:54 pppd[134]: local IP address «выданный IP»
Nov 12 14:14:54 pppd[134]: remote IP address «IP VPN сервера»
Nov 12 14:14:54 pppd[134]: primary DNS address «VPN DNS»

Oleg
12-11-2006, 12:37
Вам параметр defaultroute тоже надо выбросить...

Oleg
12-11-2006, 12:38
А также unit 0.

Oleg
12-11-2006, 12:38
и usepeerdns...

AYa
12-11-2006, 12:59
Состояние пациента стабильно. Connect-Disconnect-Connect-Dis….
C той стороны Cisco router, Window-ый клиент работает нормально (если клиент комп, а не asus).

С уважением, Александр.

Oleg
12-11-2006, 13:04
А без шифрования пробовали? Т.е. nomppe nomppc

AYa
12-11-2006, 20:21
Выходные убиты, цель не достигнута.
Похоже, пакеты уходят с интерфейса, но не приходят на него.

Где вы люди со «Стима» ?:)
Неужто я один во вселенной :)

P.s.
Начал разговаривать сам с собой :)

Oleg
12-11-2006, 20:29
У меня работает. Но сервер - виндоус 2000.

AYa
12-11-2006, 21:32
А можно глянуть твой конфиг для ppp1 (ppp0 – PPPoE Stream).
Заранее благодарю.
Олег, твой iptables не менялся?

Oleg
12-11-2006, 21:51
noauth refuse-eap
user oleg
password ххх
connect true
pty '/usr/sbin/pptp ххх --nolaunchpppd'
lock
ipcp-accept-remote ipcp-accept-local noipdefault
default-asyncmap nopcomp noaccomp
novj nobsdcomp nodeflate
unit 4
ipparam pptp
ip-up-script /usr/local/sbin/ip-up
ip-down-script /usr/local/sbin/ip-down

Получается ppp4.

Но я кажется догадываюсь в чём дело - маршруты. Адрес, который указывается в качестве сервера, совпадает с адресом, который показывает pppd как remote?

Если да, то нужно убить маршрут до него через поднимаемый ppp1, оставив только тот, который через ppp0 появится сам. Или использовать другой IP адрес - он наверняка есть.

AYa
12-11-2006, 22:57
Я тоже уже дошел до маршрутизации, пока пошел по пути «убить маршрут через pptp».
Коннект больше не рвется, но …
Появилась новая фишка. Пакеты уходят, я даже вижу в tcpdump-e
«00:37:57.938401 IP «выданный IP».33072 > «внутренний IP».33485: UDP, length: 10»
Ответные пакеты не получаю и в логах выху
«Nov 13 00:39:38 pppd[243]: Protocol-Reject for unsupported protocol 0xd647
Nov 13 00:39:48 pppd[243]: Protocol-Reject for unsupported protocol 0x9444»
(по моему на каждый пакет)

Или другой вариант (с настройками подобными Вашим)
«Nov 13 00:51:18 kernel: ppp: compressor dropped pkt»

Возможно секрет счастья в файлах
ip-up-script /usr/local/sbin/ip-up
ip-down-script /usr/local/sbin/ip-down

Олег, огромное спасибо !
Добавление Nat-ирования и правил iptables полностью решило ситуацию.

Осталось только научиться запускать весь этот набор скриптов при старте, но это уже следующие выходные :)
(если из дома не выгонят :)

P.S. Еще раз спасибо за отличные мысли и идеи, а главное великолепную прошивку !!!

С уважением, Александр.

a1094
25-12-2006, 10:57
Собственно проблема:
Есть wl500Deluxe.
Работает в корбине, нормально работает.
На нем прошивка 1.9.2.7f. На нем же поднято static ip + vpn.
За ним есть комп wXP SP2. C него я поднимаю кучу vpn'ов до разных мест.
Так вот некоторые не поднимаются, понял какие - когда vpn сервером является гадкие TrendNet TW100-BRW204.
Однако. Как только я поднимаю vpn до корбины с wXP SP2, то второй vpn до ip где vpn сервер TrendNet TW100-BRW204 поднимается без проблем.
additional options - mtu 1400 nomppe nomppe.
с mtu игрался - не получилось. В чем может быть проблема, я даже не знаю с какой стороны копать, мужики памажите, я в полной панике, первый раз такое.
Спасибо заранее.

Oleg
25-12-2006, 20:30
А какую ошибку Вы получате при соединении?

a1094
27-12-2006, 23:53
А когда как - когда заданный узел не доступен (800), когда "запрос просрочен" (номер, к сожалению, не помню).
Второй вариант бывает очень редко и системы в возникновении ошибки второго типа нет.
Хосты до которых устанавливается соединение пингуются, телнетом открывается 1723 Tcp.
Хоть в какую сторону идти... Любая идея. Я заблудился что-то.

despair
20-03-2007, 05:39
Олег, огромное спасибо !
Добавление Nat-ирования и правил iptables полностью решило ситуацию.
Можно подробнее отсюда? (я так понял, у вас переписка в привате была)
У меня, похоже, та же проблема.

DeathMoroz
06-08-2007, 16:57
можно ли с помощью wl500gP обединить два офиса (3-5 машин в каждом)?

Если можно то как? Использовать openVPN?
или для этих целей лучше приобрести другие устройства, более производительные?(если да то какие)

Можно ли объединить с помощью wl500gP более двух сетей? (возможно появиться ещё третий маленький офис)

Yukka
24-07-2008, 11:00
Добрый день! А возможно ли сделать такую конфигурацию:

Поднимается ВПН до провайдера (не важно какой, PPPoe или другое), А затем поднимается ВПН уже в корпоративную локальную сеть. Все это, естественно, силами железки - пользователей в филиалах научить это делать руками невозможно :-) Желательно бы примерный примерчик, в частностях разберусь сам, железки как таковой на руках еще нет :-)

raw_mat
25-07-2008, 13:44
чисто технически можно, но придется многое делать ручками в никсах. не через веб-морду. я из дома коннектился в офисную сеть, правда с ноута и впн-офис клиент стоял на ноуте. но в принципе можно запустить второе подключение по ВПН к офису и внутри роутера. точных настроек не скажу, но полазив по настройкам штатного впн думаю можно скопировав и подправив их в нужных местах, подключать второй туннель.

Takeda.ru
31-10-2008, 13:55
Здравствуйте!

Сходу вопрос: поиском пользовался но не нашел. Может есть инструкция "для чайников" как настроить VPN между двумя роутерами? Имею в распоряжении asus SL-500 и asus SL-200.
Локальные сети 192.168.0.0/24 и 192.168.1.0/24 соответственно.
Внешние адреса будут ХХХ.ХХХ.ХХХ.ХХХ и YYY.YYY.YYY.YYY
Настраиваю VPN друг на друга через интернет. Теоретически вижу в статистике установленное соединение, статус "connected" а в логах

и т.д.
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg="Send Phase-2 packet to XXX.XXX.XXX.XXX, I-Cookie = < 9dd9bf2054f1cfe2 >, R-Cookie = < b86f6fb27c000001 >"
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg="Received Phase-2 packet from XXX.XXX.XXX.XXX, I-Cookie = < 9dd9bf2054f1cfe2 >, R-Cookie = < b86f6fb27c000001 >, Message_id = < b51165f1 >, 1st payload type = < 8 >"
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg="Phase-2 [responder] done bundle 2 with 2 SA's by rule 2:`ipsec ipv4_subnet(any:0,[0..7]=192.168.0.0/24)<->ipv4_subnet(any:0,[0..7]=192.168.1.0/24)(gw:ipv4(any:0,[0..3]=XXX.XXX.XXX.XXX))'"
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg="SA ESP[8c5f3e72] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [2,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=192.168.1.0/24) dst=ipv4_subnet(any:0,[0..7]=192.168.0.1/24)"
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg=" src=ipv4_subnet(any:0,[0..7]=192.168.1.0/24) dst=ipv4_subnet(any:0,[0..7]=192.168.0.1/24)"
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg=" tnsrc=ipv4(any:0,[0..3]=XXX.XXX.XXX.XXX) tndst=ipv4(any:0,[0..3]=YYY.YYY.YYY.YYY)"
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg=" life soft(3240 sec/67500 kB) hard(3600 sec/75000 kB)"
Oct 31 16:28:17 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg="SA ESP[0ef58c9d] alg [des-cbc/8]+hmac[hmac-md5-96] bundle [2,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=192.168.0.1/24) dst=ipv4_subnet(any:0,[0..7]=192.168.1.0/24)"
Oct 31 16:28:18 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg=" src=ipv4_subnet(any:0,[0..7]=192.168.0.1/24) dst=ipv4_subnet(any:0,[0..7]=192.168.1.0/24)"
Oct 31 16:28:18 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg=" tnsrc=ipv4(any:0,[0..3]=62.5.160.34) tndst=ipv4(any:0,[0..3]=ХХХ.ХХХ.ХХХ.ХХХ)"
Oct 31 16:28:18 (none) syslog: id=VPN time="2008-10-31 16:28:17" fw=SL500 pri=6 msg=" life soft(3420 sec/71250 kB) hard(3600 sec/75000 kB)"

Т.е. если я все првильно понял - соединение устанавливается.

Чувствую, что еще где-то как-то надо какие-то роутинги настроить, но не могу разобраться где и что. Соответственно, если ничего не настраивать компьютеры (да и сами роутеры) из соседних сетей друг друга не пингуют.

Подскажите пожалуйста, где грабли?

AndreyPopov
31-10-2008, 14:50
Здравствуйте!

Сходу вопрос: поиском пользовался но не нашел. Может есть инструкция "для чайников" как настроить VPN между двумя роутерами? Имею в распоряжении asus SL-500 и asus SL-200.
Локальные сети 192.168.0.0/24 и 192.168.1.0/24 соответственно.
Внешние адреса будут ХХХ.ХХХ.ХХХ.ХХХ и YYY.YYY.YYY.YYY
Настраиваю VPN друг на друга через интернет. Теоретически вижу в статистике установленное соединение, статус "connected" а в логах

Подскажите пожалуйста, где грабли?

вы какой тип подключения выбрали? роутер-роутер (IPSec) или клиент-сервер (PPTP, L2TP)?

Takeda.ru
31-10-2008, 17:02
IPSec. Вот настройки:
SL-500
http://www.smartersoft.ru/external/shot01.jpg
SL-200
http://www.smartersoft.ru/external/shot02.jpg
и
http://www.smartersoft.ru/external/shot03.jpg

AndreyPopov
31-10-2008, 17:27
IPSec. Вот настройки:

вроде все как положено, единственно это на SL-200 параметр NAT-Travsal как-то подозрительно.

теперь бы еще увидеть вы ваши таблицы маршрутизации.

после поднятия VPN тунеля должен появиться новый интерфейс, вот через него и надо прописывать маршрутизацию.

Takeda.ru
31-10-2008, 17:52
В том то и дело, что интерфейс не появляется :( или я просто не знаю (не понимаю) где смотреть. На обоих роутерах в таблицу маршрутизации изменений я не вносил. Еще один момент, который может быть важен: на SL-200 уже есть какой-то туннель, который трогать не надо (я даже не знаю работает он или нет).

На SL-200:

Destination LAN IP Subnet Mask Gateway Metric Interface
0.0.0.0 0.0.0.0 172.16.13.1 0 ppp0
172.16.13.1 255.255.255.255 ХХХ.ХХХ.ХХХ.ХХХ 0 ppp0
192.168.1.0 255.255.255.0 192.168.1.0 0 eth0
192.168.45.0 255.255.255.0 192.168.85.1 0 eth1
192.168.85.0 255.255.255.0 192.168.85.0 0 eth1

На SL-500 только одна запись:

Destination IP Address Destination Netmask Gateway IP Address Type
0.0.0.0 0.0.0.0 YYY.YYY.YYY.YYY Permanent

Чую где-то здесь засада :(

AndreyPopov
31-10-2008, 18:50
В том то и дело, что интерфейс не появляется :( или я просто не знаю (не понимаю) где смотреть. На обоих роутерах в таблицу маршрутизации изменений я не вносил. Еще один момент, который может быть важен: на SL-200 уже есть какой-то туннель, который трогать не надо (я даже не знаю работает он или нет).

На SL-200:

Destination LAN IP Subnet Mask Gateway Metric Interface
0.0.0.0 0.0.0.0 172.16.13.1 0 ppp0
172.16.13.1 255.255.255.255 ХХХ.ХХХ.ХХХ.ХХХ 0 ppp0
192.168.1.0 255.255.255.0 192.168.1.0 0 eth0
192.168.45.0 255.255.255.0 192.168.85.1 0 eth1
192.168.85.0 255.255.255.0 192.168.85.0 0 eth1

На SL-500 только одна запись:

Destination IP Address Destination Netmask Gateway IP Address Type
0.0.0.0 0.0.0.0 YYY.YYY.YYY.YYY Permanent

Чую где-то здесь засада :(


а чьи это адреса 192.168.45.0 и 192.168.85.0 у вас что типа PPTP соединения к провайдеру?

но вам по-любому надо прописать на SL-200
dest 192.168.0.0/255.255.255.0 gateway 192.168.0.1 (адрес LAN SL-500) interface ppp0

SL-500
dest 192.168.1.0/255.255.255.0 gateway 192.168.1.1 (адрес LAN SL-500) interface wan (eth1)

Takeda.ru
18-11-2008, 14:31
а чьи это адреса 192.168.45.0 и 192.168.85.0 у вас что типа PPTP соединения к провайдеру?

Да. Но это же не должно мешать. Или я ошибаюсь?


но вам по-любому надо прописать на SL-200
dest 192.168.0.0/255.255.255.0 gateway 192.168.0.1 (адрес LAN SL-500) interface ppp0

SL-500
dest 192.168.1.0/255.255.255.0 gateway 192.168.1.1 (адрес LAN SL-500) interface wan (eth1)

На SL200 подобные правила установить можно (но только ограничено! Предлагается указать сеть назначения, маску и шлюз, который ее обслуживает, все!)

А на SL500 вообще подобное правило создать не удается, т.к. роутер пишет "Network is unreachable".

На SL500 фаервольные правила сконфигурированы по инструкции:
1. allow outbond from 192.168.0.0/24 to 192.168.1.0/24 without NAT VPN:Enabled.
2. allow inbond from 192.168.1.0/24 to 192.168.0.0/24 without NAT, VPN:Enabled

А вот на SL200 что-либо подобное сконфигурировать не удается, т.к. там фаервол может только запрещать исходящие соединения по портам и IP адресам, и все! Какой-либо инструкции по конфигурированию Site-to-Site VPN для SL200 я не нашел.

Симптомы: соединение вроде как установлено, если посмотреть статус в SL500, пройдены обе фазы, и IKE SA и IPSec SA. т.е. соединение фактически установлено. Вот только пакеты по прежнему не ходят :(

Если запустить пинг из одной сети в другую - пакеты пропадают, хотя на компьютерах пинг разрешен. Если запустить трассировку до шлюза по умолчанию другой сети или до комьпютера из другой сети - пакеты пропадают, как будто их блокирует firewall. Шлюзы по умолчанию (роутеры) из внешней сети пингуются, изнутри пингуются, но по внутренним адресам из соседних сетей - нет.

Где еще покопать? Ума не приложу :(

AndreyPopov
18-11-2008, 14:52
поверху PPTP тунеля накладывается еще и IPSEC тунель - это круто.

посмотрите в настройках PPTP настройки типа IPSEC passthrow
и спросите у своего провайдера - на его PPTP сервере стоят такие настройки?

Takeda.ru
18-11-2008, 15:07
Такой опции я не нашел ни у одного из роутеров :( Из созвучного есть только PFS (perfect forward security) но это же не одно и то же, правильно?

И все же: вот статистика соединения с SL500:

VPN Statistics
Global IPSec SA Statistics
AH Packets 0
ESP Packets 241
Triggers 1
Packets Dropped 0
Packets Passed 19749

IKE Statistics
IKE Phase1 Negotiations Done 7
Failed IKE Negotiations Done 0
Quick Mode Negotiations Performed 7
Number of ISAKMP SAs 1

ESP Statistics
Active Inbound ESP SAs 1
Active Outbound ESP SAs 1
Total Inbound ESP SAs 7
Total Outbound ESP SAs 7

AH Statistics
Active Inbound AH SAs 0
Active Outbound AH SAs 0
Total Inbound AH SAs 0
Total Outbound AH SAs 0

IKE SA
Local ID Remote ID Local Port Remote Port Phase1 Status Exchange Type Initiator
XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY 500 500 Done Identity Protection No

IPSec SA
SPI Protocol Source IP Destination IP
37335673 ESP XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY
980334671 ESP YYY.YYY.YYY.YYY XXX.XXX.XXX.XXX


Может passthrow уже на этом этапе роли не играет?

AndreyPopov
18-11-2008, 15:24
надо разобраться с вашим SL200 - поскольку у него PPTP к провайдеру, то тунель поднимается между ДВУМЯ РЕАЛЬНЫМИ адресами, но вот когда на SL200 приходит пакет от SL500 он просто реально НЕ знает в какую есть его посылать!

еще таблицу маршрутизации SL200 и какая сеть для чего и чья!

Takeda.ru
20-11-2008, 11:50
С роутингами все относительно просто:
172.16.13.1 255.255.255.255 ХХХ.ХХХ.ХХХ.ХХХ 0 ppp0
Этот используется для исходящего трафика, данный IP фиксируется при исходящей трассировке.

192.168.45.0 255.255.255.0 192.168.85.1 0 eth1
192.168.85.0 255.255.255.0 192.168.85.0 0 eth1
Эти используются провайдером для PPTP авторизации и для шлюза по умолчанию. Пакеты, на самом деле, ходят через написанный выше шлюз.

Не спрашивайте зачем так сделано и как там настроено :) самому не понятно, но эти роуты приходят от провайдера, и значит они нужны.

Вопрос в том, почему это не работает в принципе :(

Т.е. схема получается такая: SL-200 подключается к провайдеру через PPTP, и на нем же я пытаюсь поднять туннель. Туннель вроде как поднимается (судя по логам и статистике) но пакеты не ходят.

Можно что-либо еще посмотреть или с такой конфигурацией эта схема неработоспособна в принципе и клиент скорее мертв, чем жив?

AndreyPopov
20-11-2008, 13:59
С роутингами все относительно просто:
172.16.13.1 255.255.255.255 ХХХ.ХХХ.ХХХ.ХХХ 0 ppp0
Этот используется для исходящего трафика, данный IP фиксируется при исходящей трассировке.

192.168.45.0 255.255.255.0 192.168.85.1 0 eth1
192.168.85.0 255.255.255.0 192.168.85.0 0 eth1
Эти используются провайдером для PPTP авторизации и для шлюза по умолчанию. Пакеты, на самом деле, ходят через написанный выше шлюз.

Не спрашивайте зачем так сделано и как там настроено :) самому не понятно, но эти роуты приходят от провайдера, и значит они нужны.

Вопрос в том, почему это не работает в принципе :(

Т.е. схема получается такая: SL-200 подключается к провайдеру через PPTP, и на нем же я пытаюсь поднять туннель. Туннель вроде как поднимается (судя по логам и статистике) но пакеты не ходят.

Можно что-либо еще посмотреть или с такой конфигурацией эта схема неработоспособна в принципе и клиент скорее мертв, чем жив?


кстати, вот этот маршрут у вас какой-то НЕПРАВИЛЬНЫЙ:
192.168.85.0 255.255.255.0 192.168.85.0 0 eth1

gateway НЕ может иметь адрес .0 в конце


вы сказали в настройках роутинга, что у вас есть СТАТИЧЕСКАЯ маршрутизация?

еще раз повторюсь:
SL500 должен знать, что пакеты для сети 192.168.1.0 он должен отправлять на VPN тунель.
а SL200 должен знать, что пакеты для сети 192.168.0.0 он должен отправлять тоже на VPN тунель.

это надо прописывать РУКАМИ, потому что адреса подсети 192.168 НЕмаршрутизируемые и потому правило 0.0.0.0/0.0.0.0 т.е. Default Gateway на них НЕ распространяется!

Teleporter
19-01-2009, 16:17
ЗЫ: если опыта нет, то потренируйтесь сначала с ПК в качестве маршрутизатора, с линуксом. Потом подмените на роутер. Либо сразу покупайте роутер с поддержкой туннелирования в веб интрефейсе.

подскажите, пожалуйста, названия моделей

Спасибо!

AndreyPopov
19-01-2009, 16:27
подскажите, пожалуйста, названия моделей

Спасибо!
есть у ASUS модели SL200, SL1200, SL1500 с поддержкой IPSec, но они без WiFi.

Nubsaybot
11-03-2009, 10:17
Есть Инет дома, модем бриджем, далее WL500W с прошивкой последней от Олега, PPPoE, WAN ip серый, LAN 192.168.100.*
Есть Роутер на работе, является ВПН сервером, внешний ip белый, подключаюсь к нему с домашнего компа с использованием PPTP и получаю доступ в локаль рабочую 192.168.1.*
Задача построить тунель между WL500W и офисом чтоб инет траф из дома шел (и траф от rtorrent) через PPPoE, а траф в локаль рабочую через PPTP. Чтоб имелась возможность из дома рулить компами на работе, а с работы домашними. Тунель должен быть подключен всегда, т.е. если что то падает он сам востанавливается. Да роутер на работе может еще L2TP with IPSec принимать. Куда копать? Это будет типа vlan + новый маршрут до локалки рабочей?

vitaca
16-03-2009, 20:41
Уважаеме форумчане! Уже меся бьюсь с одной проблемой и ни как не дается. Вот суть проблемы. Имеется два роутера: первый: asus wl-500w в Калининграде, на котором создана сетка из трёх компов, ip 192.168.1.1, второй: asus wl-500g premium в Москве, на нём тоже разведена локалка ip: 192.168.1.1 ЗАДАЧА! Создать VPN соединение между роутерами, чтобы пользователи одной сетки могли ходить в другую и наоборот. Прошу расписать подробно, так как настраиваю такие роутеры впервые и всех тонкостей не знаю. Очень буду благодарен если откликнитесь на мою просьбу. Зарание благодарен, Vitaca. P.S. да еще забыл, поднял samba, винт расшаренный виден в сетевом окружении, но при попытке чего-либо записать пишед read only? чего нужно мне сделать?:confused:

FiTLeSS
17-03-2009, 09:11
с чего вы двум роутерам соединиться то? у них разве есть впн сервер???

vitaca
17-03-2009, 18:46
При монтировании Fat используйте опцию -t vfat , в этом случае длинные имена будут нормальными.

Добрый день уважаемый Олег! У нас с другом большая проблема (по крайней мере нам) Словом есть два роутера: asus wl-500w в Калининграде и asus wl-500g premium в Москве. Задача: создать vpn соединение между двумя роутерами, чтобы клиенты с первого роутера могли ходить в сетку на втором и наоборот. Очень буду благодарен! С уважением, vitaca

al37919
17-03-2009, 18:59
не стоит постить один и тот же вопрос в разные темы, достаточно одной.
По существу могу посоветовать изучить следующую тему:
http://www.wl500g.info/showthread.php?t=8880
и вообще поискать по слову openvpn

vitaca
17-03-2009, 19:58
не стоит постить один и тот же вопрос в разные темы, достаточно одной.
По существу могу посоветовать изучить следующую тему:
http://www.wl500g.info/showthread.php?t=8880
и вообще поискать по слову openvpn

Понял, больше не буду в разные темы постить. Просто уже "любимся" с этой проблемой 3 месяца и ничего... Прочитал твою ссылку, нормально, но в нашем случае не подходит, так как мой друг такую операцию провернуть не сможет. Можно ли между двумя роутерами Asus wl-500w и asus wl-500g premium в принципе настроить vpn? Они же оба поддерживают? Лучше если через web интерфейс... Очень надо...

al37919
17-03-2009, 21:09
через веб интерфейс поднять vpn между двумя роутерами не выйдет.

ИМХО, openvpn для этой задачи подходит --- надо установить его на обоих роутерах и настроить один клиентом, другой сервером. Настроить оба роутера можно удаленно через ssh.

Вот только: "Прошу расписать подробно, так как настраиваю такие роутеры впервые и всех тонкостей не знаю." --- с этим проблема, ибо... спасение утопающих, как известно, есть дело рук самих утопающих.

vitaca
28-03-2009, 11:56
Товарищи форумчане, так и не удалось мне получить подробную инструкцию, как всё же связать в vpn соединение два роутера - asus wl-500w (г.Калининград) и asus wl-500g premium (г.Москва)? Есть подробные инструкции от Олега, Vectorma по настройке девайсов с нуля, но решение частной задачи по моему вопросу мне не встречалось. Еще раз прошу помогите кто может!!!!!!!!!! С уважением, Vitaca!

Wolfgun
28-03-2009, 12:14
Сети ты не свяжешь
Если хочешь связать копай сам IPSec там будет тебе счастье
http://www.opennet.ru/docs/RUS/vpn_ipsec/index.html

Less
28-03-2009, 12:40
Сети ты не свяжешь
Если хочешь связать копай сам IPSec там будет тебе счастье
http://www.opennet.ru/docs/RUS/vpn_ipsec/index.html

По теме подымался вопрос, а конкретней openswan, но результат к сожалению не известен (а так хотелось :( ).

Wolfgun
28-03-2009, 13:13
Мне не интересно его копать, т.к. нет таких задач
Less
Если интересно вот см. http://packages.debian.org/ru/sid/mipsel/openswan

Romann
16-06-2009, 19:58
Собственно ситуация такая есть Роутер Asus WL-520GC есть провайдер Корбина, На роутере поднято Vpn соудинение с провайдером, есть еще vpn соединение с сервером на работе оно поднимается с домашнего компьютера (средствами винды), само соединение поднимается, пинги на компьютеры в сети на работе проходят но попытка достучаться до какого либо порта оканчиваетсмя неудачей.
Пробывал прокидывать порты vpy на роуторе до локального компьютера, включал DMZ не помогает.
Если Vpn соединение с корбиной поднимать сразу на компе (убирая ротутер из схемы) а потом VPN с работой то все работает.
Может кто подскажет реально заставить работать VPN с работой за роуторем?

vectorm
17-06-2009, 15:52
Собственно ситуация такая есть Роутер Asus WL-520GC есть провайдер Корбина, На роутере поднято Vpn соудинение с провайдером, есть еще vpn соединение с сервером на работе оно поднимается с домашнего компьютера (средствами винды), само соединение поднимается, пинги на компьютеры в сети на работе проходят но попытка достучаться до какого либо порта оканчиваетсмя неудачей.
Пробывал прокидывать порты vpy на роуторе до локального компьютера, включал DMZ не помогает.
Если Vpn соединение с корбиной поднимать сразу на компе (убирая ротутер из схемы) а потом VPN с работой то все работает.
Может кто подскажет реально заставить работать VPN с работой за роуторем?
Надо маршруты статические на компьютере прописать в рабочую сетку.

Romann
18-06-2009, 08:09
Надо маршруты статические на компьютере прописать в рабочую сетку.

Если не затруднит подскажи как они должны выглядить?

vectorm
18-06-2009, 09:06
Если не затруднит подскажи как они должны выглядить?
А я похож на телепата? ;)
Если у Вашего провайдера используются статические маршруты, то они либо выдаются по DHCP, либо на их сайте есть ссылка, чтобы скачать файлик.
А для своего маршрута надо писать команду:
route add с параметрами.

Romann
18-06-2009, 09:14
А я похож на телепата? ;)
Если у Вашего провайдера используются статические маршруты, то они либо выдаются по DHCP, либо на их сайте есть ссылка, чтобы скачать файлик.

Нет тут дело не в статических маршрутах провайдера. сам Vpn до провайдера поднимается и до работы Vpn Через Vpn провайдера который уже поднят на роутере тоже поднимается, но никакие запросы на порты компов с работы не проходят.
Вы наверно невнимательно мой первый пост прочли.

vectorm
18-06-2009, 11:34
Нет тут дело не в статических маршрутах провайдера. сам Vpn до провайдера поднимается и до работы Vpn Через Vpn провайдера который уже поднят на роутере тоже поднимается, но никакие запросы на порты компов с работы не проходят.
Вы наверно невнимательно мой первый пост прочли.
Я внимательно прочитал.
Проблема наверняка в том, что адресация LAN провайдера и у Вас на работе пересекается.
Для доступа в Вашу рабочую сетку нужно прописать статические маршруты в диапазон IP Вашей рабочей сетки, используя гейтвеем Ваш провайдерский VPN интерфейс.
Сам так пользуюсь.

Romann
18-06-2009, 12:04
Я внимательно прочитал.
Проблема наверняка в том, что адресация LAN провайдера и у Вас на работе пересекается.
Для доступа в Вашу рабочую сетку нужно прописать статические маршруты в диапазон IP Вашей рабочей сетки, используя гейтвеем Ваш провайдерский VPN интерфейс.
Сам так пользуюсь.

диапазон LAN провайдера 10.х.х.х на работе 192.168.1.х
на моем домашнм подсеть 192.168.2.х
и потом пинги до компов на работе ведь ходют :-) .
да и как видно сети не пересекается.
Да я ведь и трасировку делал до компов на работе она идет в 1-н шаг :-) тоесть сразу конечный узел.

vectorm
18-06-2009, 14:03
диапазон LAN провайдера 10.х.х.х на работе 192.168.1.х
на моем домашнм подсеть 192.168.2.х
и потом пинги до компов на работе ведь ходют :-) .
да и как видно сети не пересекается.
Да я ведь и трасировку делал до компов на работе она идет в 1-н шаг :-) тоесть сразу конечный узел.
Тогда ловить пакеты на той стороне и смотреть как они идут, больше не подскажу.

yura2002
25-11-2009, 15:42
Можно ли создать VPN туннель между двумя роутерами WL-500 на Yota.
Ведь Yota не дает статический ip. А с динамическим его каждый день прописывать это не есть гуд.
PS. Поиском пользовался ничего не нашел
Ps. Готов оплатить работу (г. Москва):
1. Настроить и объяснить Vpn между двумя роутерами WL500 интернет Yota.
2. Настроить роутер WL500 интернет yota, чтобы я мог через интернет заходить на видеорегистратор (Я думаю проблема с перенаправлением портов на роутере)

Pablo Escobar
25-11-2009, 15:43
Можно ли создать VPN туннель между двумя роутерами WL-500 на Yota.
Ведь Yota не дает статический ip. А с динамическим его каждый день прописывать это не есть гуд.
PS. Поиском пользовался ничего не нашел
Ps. Готов оплатить работу (г. Москва):
1. Настроить и объяснить Vpn между двумя роутерами WL500 интернет Yota.
2. Настроить роутер WL500 интернет yota, чтобы я мог через интернет заходить на видеорегистратор (Я думаю проблема с перенаправлением портов на роутере)

dydns - не?

Warcan
26-11-2009, 17:44
dydns - не?

А разве Yota даёт не серый адрес?
И ещё Pablo Escobar ошибся dyNdns. И если Yota выдаёт всёже интернетовский адрес тогда дальше в поиск по словам openvpn, poptop. На одном роутере ставим что нравится, на втором если poptop то можно не устанавливая нечего настроить, если openvpn то то настраиваем клиента. У меня немного не так, но на роутере работает openvpn сервер к нему коннектятся компы и%

chaosmage
05-12-2009, 00:07
Господа ! Доброго всем времени суток !
Ковыряю который день гугл и поиск по форуму, не могу решить проблему:
- есть роутер Asus WL-500GPv2 (прошивка 1.9.2.7), настроен белый айпишник
- есть машина с DHCP адресом 192.168.192.3
- на ней установлена виртуалка с домен контроллером (192.168.192.5) и настроенным VPN сервером на входящие подключения
- с любого компа сети 192.168.192.Х VPN клиент работает и коннектится
В общем не могу с внешки установить VPN соединение с домен контроллером
пробовал настраивать проброс по портам в Virtual Server:
1723 192.168.192.5 1723 TCP
500 192.168.192.5 500 UDP
47 192.168.192.5 47 BOTH (где то вычитал, но это кажись GRE и я туплю)

пишет : ошибка 800, VPN не доступен или парметры безопасности неправильно настроены.
Параметры дефолтные , ничего не менял, вбиваю свой белый IP и логин пасс.

помогите плз может кто то сталкивался

заранее спасибо!

vectorm
05-12-2009, 11:53
Господа ! Доброго всем времени суток !
Ковыряю который день гугл и поиск по форуму, не могу решить проблему:
- есть роутер Asus WL-500GPv2 (прошивка 1.9.2.7), настроен белый айпишник
- есть машина с DHCP адресом 192.168.192.3
- на ней установлена виртуалка с домен контроллером (192.168.192.5) и настроенным VPN сервером на входящие подключения
- с любого компа сети 192.168.192.Х VPN клиент работает и коннектится
В общем не могу с внешки установить VPN соединение с домен контроллером
пробовал настраивать проброс по портам в Virtual Server:
1723 192.168.192.5 1723 TCP
500 192.168.192.5 500 UDP
47 192.168.192.5 47 BOTH (где то вычитал, но это кажись GRE и я туплю)

пишет : ошибка 800, VPN не доступен или парметры безопасности неправильно настроены.
Параметры дефолтные , ничего не менял, вбиваю свой белый IP и логин пасс.

помогите плз может кто то сталкивался

заранее спасибо!
1. Прошивок 1.9.2.7 немерянная куча, какая конкретно стоит?
2. BOTH, это TCP + UDP, а не GRE.
3. В веб морде есть пункт VPN pass throw - поставьте там точку.

Basile
05-12-2009, 12:07
пробовал настраивать проброс по портам в Virtual Server:
1723 192.168.192.5 1723 TCP
500 192.168.192.5 500 UDP
47 192.168.192.5 47 BOTHЗнаете, 47 - это не номер порта, это "Protocol No." - номер протокола. На сколько я помню, всегда для VPN PPTP было достаточно пробросить через роутер TCP порт 1723.
Вопрос, у вас виртуальная машина видит Интернет?

Я бы пока не стал грузиться с VPN, а попробовал пробросить внутрь что-нибудь попроще, например, HTTP или RDP. Просто либо ваш хост неправильно редиректит входящий запрос на гостевую машину, либо роутер "не понимает", где находится гостевая машина


3. В веб морде есть пункт VPN pass through - поставьте там точку.Где? В олеговской прошивке такого нет

chaosmage
05-12-2009, 20:20
1. Прошивок 1.9.2.7 немерянная куча, какая конкретно стоит?

Не указал , ухх. Стоит - 1.9.2.7-d-r740


Знаете, 47 - это не номер порта, это "Protocol No." - номер протокола. На сколько я помню, всегда для VPN PPTP было достаточно пробросить через роутер TCP порт 1723.
Вопрос, у вас виртуальная машина видит Интернет?

Я бы пока не стал грузиться с VPN, а попробовал пробросить внутрь что-нибудь попроще, например, HTTP или RDP.

Спасибо!
На виртуалке включил ИИС и пробросил 80 порт, безуспешно пытался залезть. Уж думал что чего то не то в железе , как вспомнил что с реальной машиной (.3) устанавливал с работы соединение через Радмин (4899 порт) и он работает.
Оказалось что все блокировал фаервол на .3 машине не пуская траффик на свои виртуалки. Выключил, через 80 порт все пошло.

Пробую VPN с внешки - коннектится, проверяет логин и пароль, тормозит на регистрации компьютера в сети и выкидывает ошибку:
""TCP/IP протокол сообщает об ошибке 733. Не удается подключиться к удаленному компьютеру. Возможно необходимо согласовать протоколы управление данного компьютера.." и т.п.

Майкрософтовская статья советует включить TCP IP на серваке и дхцп. Гугл - включить проброс 1723 и 47 гре ...
все проверил, все есть + с локалки vpn пашет


У меня было что то подобное на Asus 520gc, я его перепрошил на последнюю офф прошивку и VPN заработал.

vectorm
05-12-2009, 21:42
Где? В олеговской прошивке такого нет
Есть, он слегка по другому называется. Вроде на странице настройки WAN (у меня роутера нет, посмотреть негде).

chaosmage
05-12-2009, 21:59
я там нашел "Heart-Beat or PPTP/L2TP (VPN) Server:" , на всякий случай вбил IP VPN сервера, попробовал - та же ошибка.

Интересно как можно 47 гре протокол проверить?

Basile
05-12-2009, 22:10
Есть, он слегка по другому называется. Вроде на странице настройки WAN (у меня роутера нет, посмотреть негде).Там есть галка "Enable PPPoE Relay?", но она служит только для исходящих (из LAN наружу) соединений


я там нашел "Heart-Beat or PPTP/L2TP (VPN) Server:" , на всякий случай вбил IP VPN сервера, попробовал - та же ошибка.

Интересно как можно 47 гре протокол проверить?Еще раз повторю, попробуйте пробросить 80, 443 или 3389 порт(ы) на на контролер домена!!! От результата зависят последующие шаги

chaosmage
05-12-2009, 22:59
Там есть галка "Enable PPPoE Relay?", но она служит только для исходящих (из LAN наружу) соединений

Еще раз повторю, попробуйте пробросить 80, 443 или 3389 порт(ы) на на контролер домена!!! От результата зависят последующие шаги

Настроил на контроллере домена (.5) IIS и SSL для 80 и 443 портов, на рутере сделал проброс к .5, с внешки бил телнетом по портам
80, 443 и 3389, все ок!

Нашел в Windows 2000 Resource Kit Tools утилиту PPTP Ping (http://www.dynawell.com/download/reskit/microsoft/win2000/pptp_ping.zip) , установил и запустил через cmd серверную часть на домен контроллере .5, она стала висеть в ожидании пакетов через 47 гре.
На внешке установил клиентскую часть и стал бить свой белый IP. На клиенте все отослалось, на сервере ноль реакций фиг эмоций.
На компе в локалке поставил клиентскую часть, пробил домен контроллер, пакеты ушли. Проверил сервер, пакеты пришли.
Делаю вывод что GRE 47 не проходит :(

Basile, что еще попробовать ?

theMIROn
05-12-2009, 23:25
Делаю вывод что GRE 47 не проходит :(
Basile, что еще попробовать ?
gre это протокол №47, а не 47 порт.
чтобы работал проброс, нужно добавить в virtual server list:


Port Range Local IP Local Port Protocol Protocol No. Description
1723 192.168.x.x 1723 TCP PPTP Control
192.168.x.x OTHER 47 PPTP Data

chaosmage
05-12-2009, 23:48
gre это протокол №47, а не 47 порт.
чтобы работал проброс, нужно добавить в virtual server list:


Добавил :
http://s58.radikal.ru/i160/0912/fd/34b50bb39419.jpg

Протестил соединением и утилитой , по 1723 коннект есть, по GRE нет. Сервер только слушает ...

Прошивку может обновить? Вроде как моя не свежая, есть 1.9.2.7-9

theMIROn
06-12-2009, 00:19
Добавил :
Ну и каша... 47 порт удаляйте, 1701 точно нужен? тем более оно udp должно быть - для l2tp/ipsec, нет такого - удаляйте


Протестил соединением и утилитой , по 1723 коннект есть, по GRE нет. Сервер только слушает ...
канал gre открывается при установке соединения, коннект не проходит?


Прошивку может обновить? Вроде как моя не свежая, есть 1.9.2.7-9
стоит обновить, conntrack гораздо более новый

Basile
06-12-2009, 00:36
ну, что же... движемся дальше и методом исключения пытаемся решить вашу проблему. Возможные причины, почему не работает VPN:
Проблема в роутере (или в настройках).
Давайте возьмем машину (реальную, а не виртуальную), поднимем на ней VPN-сервер и попытаемся законнектиться
Может все-таки где-то установлен файерволл?
Даже антивирусы сейчас снабжены таким средством.
Виртуальная машина не умеет пробрасывать протокол GRE внутрь виртуальной машины :)
Не на одном же VMWare свет клином сошелся!

Другие решения:
На VPN тоже свет клином не сошелся.
Может стоит попробовать OpenVPN? А может переключиться в режим L2TP?
Может вам не нужен VPN именно до контроллера домена?
Если нет, то можно поднять VPN-сервер/OpenVPN-сервер прямо на роутере, можно создать SSH-тоннель до роутера, а дальше уже в локальной сети хозяйничать

P.S. А почему вы именно tenet'ом проверяли открытость портов? Не хочу сказать, что это неправильно, но надо было попробовать подключиться к удаленному рабочему столу. Вы уверены, что к нужной машине зателнетились? :D

chaosmage
06-12-2009, 13:25
----
Пошел по шагам:
1. Удалил старые пробросы до домен контроллера (.5), создал VPN сервер на реальной машине (.3) и создал проброс 1723 порта и 47 гре как советовал theMIROn до .3. Попробовал с внешки - та же ошибка. Не в виртуалке это дело, я месяц назад на 520gc настраивал VPN до нее.
2. Антивирусы и фаерволы (виндовский сервис) прибил, точно.
3. Мучаю связку с VMWare как наиболее удобную, потом если ничего не выйдет можно и на уступки идти.
4. OpenVPN это как белый флаг, сдался. Можно ж и хамачи поставить. Хотелось бы виндовскими стандартными средствами обойтись.
5. Basile, тут можно поподробнее ? Как это можно сделать?
6. Ремоут попробовал, все хорошо ))


Ну и каша... 47 порт удаляйте, 1701 точно нужен? тем более оно udp должно быть - для l2tp/ipsec, нет такого - удаляйте

Не судите строго плиз )
Пока идет режим тестирования и отладки, каша неизбежна =)

Вот так утилита висит:
http://s54.radikal.ru/i146/0912/cb/e71c8c864089.jpg

Если из локалки клиентом коннектится к серверу , то он получает тестовые ГРЕ пакеты и пишет "Success".

Попробую еще прошивку поменять!

theMIROn
06-12-2009, 13:35
Могу еще посоветовать включить логгирование пакетов и глядеть в syslog, какие пакеты дропаются

Basile
06-12-2009, 15:03
5. Basile, тут можно поподробнее ? Как это можно сделать?Ну, смотря чего хочется:

SSH - cамый простой способ, не требующий установки дополнительного софта, но имеющий некоторые ограничения: Использование ssh-тунелей для безопасного доступа к ресурсам LAN (http://wl500g.info/showthread.php?t=12833)
OpenVPN - прост в установке, решает почти все задачи, но вам не понравился: Установка openvpn в основную память для НОВИЧКОВ (http://wl500g.info/showthread.php?t=8880)
VPN (PopTop) - почти, что то, что вам нужно, но придется погеморроиться: POPTOP INSTALL (Установка в основную память) (http://wl500g.info/showthread.php?t=19022)

Я думаю, по каждому решению существует не один топик (приведенный здесь)

chaosmage
08-12-2009, 22:45
Ну, смотря чего хочется:

SSH - cамый простой способ, не требующий установки дополнительного софта, но имеющий некоторые ограничения: Использование ssh-тунелей для безопасного доступа к ресурсам LAN (http://wl500g.info/showthread.php?t=12833)
OpenVPN - прост в установке, решает почти все задачи, но вам не понравился: Установка openvpn в основную память для НОВИЧКОВ (http://wl500g.info/showthread.php?t=8880)
VPN (PopTop) - почти, что то, что вам нужно, но придется погеморроиться: POPTOP INSTALL (Установка в основную память) (http://wl500g.info/showthread.php?t=19022)

Я думаю, по каждому решению существует не один топик (приведенный здесь)

Господа vectorm, Basile, theMIROn
Почет Вам и уважение, спасибо за помощь и желание помочь.

PoPToP я не осилил , зато нашел там ссылку на прошивки DD-WRT. Решил попробовать, чем черт не шутит.
Саму прошивку взял тут (http://www.dd-wrt.com/site/support/router-database) подставив модель роутера.
Гайд по инсталляции написан тут (http://www.dd-wrt.com/wiki/index.php/Installation) и там же пониже (http://www.dd-wrt.com/wiki/index.php/Installation#All_Asus_WL-500xx_series_routers) на 500 серию Асусов.
Прописал порт форвардинг и все работает через описанную ниже схему.

Ура!

Wolfgun
09-12-2009, 21:21
.

PoPToP я не осилил , зато нашел там ссылку на прошивки DD-WRT. Решил попробовать, чем черт не шутит.



Ну с DD Вы еще помучаетесь :)

В Ваше варианте надо было сделать


iptables -t nat -I PREROUTING -d 192.168.1.5 -p tcp --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -d 192.168.1.5 -p 47 -j ACCEPT

И все

А осиливать PopTop не надо он простой как ................ (побавить по своему разумению)

Basile
16-12-2009, 16:53
У меня получилось пробросить одной командой:

iptables -t nat -A VSERVER -p tcp -m tcp --dport 1723 -j DNAT --to-destination 192.ЛОКАЛЬНЫЙ.IP.АДРЕС:1723
Правда за роутером была не Windows 2003, а Poptop :)

mkisel
14-01-2010, 19:50
У меня есть роутер D-Link DI-804UP. На нём есть VPN сервер, наличие которого просто необходимо, но в нём всего 30 строк роутинга и всего один WAN порт. Планирую купить ASUS WL500G Premium и поставить прошивку от Олега.

Думаю, что поставить PPTP Server можно теоретически, но я не нашёл, делал ли кто это. Внимание вопрос - это возможно? Если возможно, дайте, пожалуйста, инструкции.

al37919
14-01-2010, 20:02
http://wl500g.info/showthread.php?t=19022

Dr_Zlo
20-01-2010, 10:51
Доброго времени суток! Возможен ли сей сабж на какой-нибудь прошивке? У меня с провайдером подключение как pptp возможно, так и l2tp. Второе подключение (pptp или l2tp) нужно для получения белого ip через прокси russianproxy.ru. На винде все работает.

Murzilka153
08-02-2010, 23:34
VPN сервак с моим роутером о одной подсети :(

Jan 1 00:00:27 l2tpd[93]: Too many retransmissions on tunnel (2846/0); closing down
Jan 1 00:01:20 l2tpd[93]: Too many retransmissions on tunnel (64300/0); closing down

Вот что выдает....
Если ставить PPP то выдает ошибку роутинга

А как только пихаешь роутер в другую подсеть, то инет стабильно начинает работать :(

vectorm
09-02-2010, 14:37
А теперь без эмоций, и детально.

Parkinstein
21-07-2010, 22:24
C этим понятно. Есть другая проблема, бьюсь уже месяц. Олег, если есть возможность прошу подробно ответить (роутер asus wl-500w только залил твою прошивку 10). Имеется два роутера: один asus wl500w в Калининграде и второй asus wl500g premium в Москве (оба с твоими прошивками. ip у всех роутеров 198.162.1.1, требуется создать между роутерами VPN соединение, чтобы сетки могли ходить друг к другу. Прошу помочь с настройками. ОЧЕНЬ!!!!!!!! Задолбался делать сам....:confused:


с чего вы двум роутерам соединиться то? у них разве есть впн сервер???

Читать тут (http://www.wl500g.info/showthread.php?t=19022) и тут (http://www.wl500g.info/showthread.php?t=8880)

CyberMuesli
20-08-2013, 12:02
Asus RT-N16 Версия микропрограммы:3.0.0.4.260 (последняя)

На даче собрана следующая схема:
9683

На ноутбуке Win7 HB имеется настроенное VPN-подключение по протоколу PPTP, которое выдает ошибку 806 внутри этой схемы, но прекрасно работает вне её (например, при подключении непосредственно к телефону, в офисе и т.д.)

В настройках Asus, раздел Интернет, закладка NAT Passtrough поясняется: Включите NAT Passthrough для разрешения пакетам (VPN) проходить через роутер к сетевым клиентам, включены все опции (PPTP, L2TP, IPSec, RTSP, Включить ретрансляцию PPPoE).

Какие есть пути решения проблемы?

theMIROn
20-08-2013, 12:38
Asus RT-N16 Версия микропрограммы:3.0.0.4.260 (последняя)
последняя, когда смотрели полгода назад?


Какие есть пути решения проблемы?
подключить Win7 HB к WinXP+ICS и проверить.