Настроить VPN между компами. Нужен совет.

Описание: Обсуждаем все что связано с модемами, радиомодемами, маршрутизаторами, сетевыми картами, а также администрирование сетей и сетевых протоколов.
Правила раздела: http://pc-forums.ru/topic1880.html
Модератор: Junior

#1 Солярис » 02.12.2014, 22:02

Привет, форумчане, спецы и любители. Хороший знакомый задаёт вопрос, прошу - скиньтесь знаниями, кто что слышал/умеет творить с vpn-ом.
Вопрос:
1. есть сервер с 1-й сетевой картой, подключенной к интернету через роутер. (192.168.1.1-роутер, 192.168.1.2-сервер, 192.168.1.3/255 - другие компы (клиенты) в локальной сети сервера). Система Win Server 2008R2.
2. Настроена Роль "Маршрутизация и удаленный доступ" для VPN-сети. Пул адресов для VPN-выдается из списка адресов 192.168.2.1/255 (192.168.2.1 - это ВПН-сервер, остальные клиенты)
3. Установлена служба WINS (для сопоставления имен компьютеров с их IP-адресами)
4. Имеются ещё клиенты извне (дир на работе, бух дома, Ваня в N-ске и т.д)

В целом - VPN-сеть работает, клиенты (все) подключаются к серверу по его адресу 192.168.2.1. В проводнике если набрать \\192.168.2.1\ - происходит подключение к серверу от любого клиента, но если набрать \\SERVER\ - то подключения нет. Т.е. - я, дир, сидя на работе, не вижу компьютеры в локальной сети сервера, а вижу только свои компьютеры в локальной сети на работе. А сидя дома, в локальной сети сервера, не вижу компьютеры, которые находятся в офисе.

Пинги по всем IP-адресам ВПН-сети проходят в обоих направлениях, а вот обращения по именам компьютеров нет!!! так же как и не видны компьютеры разных локальных сетей...

Конечно без этого работать можно (обращаться к серверу по IP-адресу), но я хотел ещё и настроить сеть, чтобы удаленно можно было заходить на сервер в папки (сохранять документы для работника, Вани из Энска, Маши из Пристоличья). Для этого удобно видеть компьютеры в Сетевом окружении. А вот этого и не видно...


От себя добавлю:
Для перебросить пару файлов между директором и бухгалтером есть скайп, так и решают вопрос.
Для сохранить результаты работы бухгалтера есть папка на сервере, в которую она и сохраняет, работая бух.программами удалённого доступа.
Для посмотреть своими руками, что именно не ладится у бухгалтера, директор, разумеется, заходит на её комп тимвьюером, это тоже можно.
Но как настроить список пользователей, которые будут иметь доступ к серверу, как обеспечить им вход в сервер?
Солярис
Автор темы, Старший Советник
Старший Советник
Аватара
Репутация: 544
Лояльность: 202 (+218/−16)
Сообщения: 4277
Темы: 23
Зарегистрирован: 14.11.2011
С нами: 5 лет

Настроить VPN между компами. Нужен совет.

 

#2 docker » 03.12.2014, 16:43

Солярис
А DNS поднята на сервере?
docker M
Поддержка
Поддержка
Аватара
Репутация: 125
Лояльность: 0 (+0/−0)
Сообщения: 2004
Зарегистрирован: 25.09.2014
С нами: 2 года 2 месяца

 

#3 Sanix » 03.12.2014, 16:48

Солярис писал(а):Пинги по всем IP-адресам ВПН-сети проходят в обоих направлениях, а вот обращения по именам компьютеров нет!!! так же как и не видны компьютеры разных локальных сетей...
Машины все виндовые? Машины в AD включены? Сервак один только на 2008? WINS поднят, настроен? Проблема в том, что ip не резольвится. Копать в сторону NetBios'a + WINS.

docker писал(а):А DNS поднята на сервере?
Да что Вы говорите :biggrin: С DNS'ом там все ОК :wink:
Sanix M
Поддержка
Поддержка
Аватара
Возраст: 33
Откуда: /home
Репутация: 138
Лояльность: 22 (+22/−0)
Сообщения: 1479
Темы: 28
Зарегистрирован: 31.10.2013
С нами: 3 года 1 месяц

#4 Солярис » 03.12.2014, 23:06

Уточняю задачу (с его слов):
Объединить несколько компьютеров, территориально расположенных в разных местах (дом, офис, N-ск) в одну сеть (виртуальную сеть VPN), чтобы любой из них, зайдя в Сетевое окружение своего компа, видел там другие компьютеры сети (как минимум сервер с его папками). Грубо, что бы я (дир) зашел через сетевое окружение на сервер, сохранил там сканы документов для тебя (бух) в определенную папку, к которой имеем доступ я и ты (а менеджер не имеет).
Можно конечно сделать ярлык на рабочем столе и не париться. Но суть вопроса в том, что эти ярлыки мне нужно сделать на каждом компьютере (а, например, у второго предприятия их 4, включая дом и офис, и возможность заходить на сервер нужно иметь с любого). У меня их тоже на работе 2. Причем на каждом по 3 юзера. Каждому настраивать эти ярлыки. А при малейшей перенастройке сервера (смена IP или ещё что-то) - заново переделывать у всех на компьютерах эти настройки. В идеале нужно сделать так, что бы сервер был доступен всем, кто подключен по VPN, из сетевого окружения.

Sanix писал(а):Машины все виндовые?
Виндовые.
Гуглил я как-то хамачи... сеть для нескольких игрунов в виде впн-а. Но там есть ряд ограничений. Таких, знаете, не для предприятия явно.
Ещё, мне кажется, можно использовать обычный, встроенный в семёрку способ - "создать впн-подключение", указать в нём адрес сервера, после настройки ярлык этого подключения на рабочий стол... ну а в вин-сервер есть возможность создания впн-сети.
Сам ещё не пробовал, надеюсь, он прочитает. Может внесёт какие коррективы.
Более двадцати лет на Россию никто не нападал, но войны шли одна за другой, последняя-нынешняя - самая подлая и кровавая. Русский мир...
Солярис
Автор темы, Старший Советник
Старший Советник
Аватара
Репутация: 544
Лояльность: 202 (+218/−16)
Сообщения: 4277
Темы: 23
Зарегистрирован: 14.11.2011
С нами: 5 лет

 

#5 Sanix » 03.12.2014, 23:27

Солярис писал(а):Грубо, что бы я (дир) зашел через сетевое окружение на сервер, сохранил там сканы документов для тебя (бух) в определенную папку, к которой имеем доступ я и ты (а менеджер не имеет).

Такс...
1) Поднимаем AD, тулим туда всех пользователей разбиваем на группы и выдаем привилегии, т.е. права. Кто на какие ресурсы может лазать, кто он есть на локальном компе и в сети/сервере.
2) Поднимаем vpn, можно и на этом же виндовом серваке, добавить ему роль сервера vpn. Для этого везде должна быть статика, или юзаем DDNS.
3) Желательно докрутить сюда керберос.

З.Ы. По поводу того, что машины видятся только по ip я уже писал выше.
Sanix M
Поддержка
Поддержка
Аватара
Возраст: 33
Откуда: /home
Репутация: 138
Лояльность: 22 (+22/−0)
Сообщения: 1479
Темы: 28
Зарегистрирован: 31.10.2013
С нами: 3 года 1 месяц

#6 Sugrob » 11.12.2014, 17:46

Всем доброго дня! Я собственно и есть тот автор вопроса, по просьбе которого задал здесь его от моего имени Солярис (за что ему огромное спасибо!). Решил сам зарегистрироваться, дабы лично ответить на уточняющие вопросы, т.к. проблема так и не решена. Сразу говорю - в компах разбираюсь (читать изучать умею), но не настолько что бы "ругаться" на языке профессионалов (до сисадмина мне далеко), так что иногда не могу понять местный сленг. По возможности отвечайте на языке обычного юзера :)

Итак, по порядку отвечаю:
docker писал(а):А DNS поднята на сервере?
Нет... а нужно?

Sanix писал(а):Машины все виндовые? Машины в AD включены? Сервак один только на 2008? WINS поднят, настроен?
- Клиенты все виндовые, в основном Win7 SP1, но парочку есть XP SP3.
- AD - не установлен
- Сервак один 2008R2 Standard SP1
- WINS на сервере установлен, но смущает вопрос "настроен?" там настроек собственно и нет.

Sanix писал(а):Проблема в том, что ip не резольвится. Копать в сторону NetBios'a + WINS.
Про WINS написал выше, а в остальном не совсем понял что делать и куда копать-то...

Солярис писал(а):Гуглил я как-то хамачи...
Почитал, многое знакомо. Hamachi использовал в свое время, но немного для других нужд. Вариант с ним не совсем удачен, т.к. есть ограничение по количеству компов сети. Иначе - плати. По остальным ссылкам тоже прошелся. Собственно примерно так и настроил сервер (хотя пробовал разные варианты настройки)

Sanix писал(а):1) Поднимаем AD, тулим туда всех пользователей разбиваем на группы и выдаем привилегии, т.е. права. Кто на какие ресурсы может лазать, кто он есть на локальном компе и в сети/сервере.
Я изначально хотел AD поставить, но почитав советы множества умных людей, понял что ставить AD для 3-4 пользователей не оправдано и бросил эту затею, решив ограничиться обычной VPN-сетью. Причем некоторые пользователи бывает подключаются с "левых" компов (разовые сеансы), и заставить их настроить вход в домен на каждом компе - не представляется возможным... Тем более не всегда им это могут позволить сделать.

Sanix писал(а):2) Поднимаем vpn, можно и на этом же виндовом серваке, добавить ему роль сервера vpn.
Роль VPN на сервере стоит, настроена. Один нюанс - клиентам выдается каждый раз новый IP для VPN-сети (у сервера он постоянный). Настроить VPN-подключение на клиенте с жестко прописанным IP на клиенте не получается. При подключении на клиенте вываливается "Ошибка 720". Проблему пытался решить методами, описанными в инете (например тут (вариант 1)) - не помогло

Sanix писал(а):Для этого везде должна быть статика, или юзаем DDNS.
Где везде? Сервер выходит в инет через роутер, на роутере внешняя статика. На сервере локально тоже IP-статический. Порты роутера (1732, 1701, 500 и 443) проброшены на сервер. А вот VPN-клиенты чаще не имеют внешнего статического IP. Для клиентов важно иметь статику???

Sanix писал(а):3) Желательно докрутить сюда керберос.
Не знаю что это, но поможет ли это решить саму суть проблемы?


В двух словах снова озвучу задачу:
Сервер VPN настроен, подключение к серверу с клиента проходит, компьютеры пингуются по IP. Но разные компьютеры находятся территориально в разных местах (даже в разных городах). Например в локальной сети сервера - 2 компа. В другом городе (офисе) - в локалке ещё 2 компа, в 3-м городе - просто 1 комп, в 4-м городе есть офис с 3-мя компами + отдельно 2 компа стоящих в разных местах и т.д... Это не значит что за всеми компами сидят по 1 юзеру, просто один и тот же человек (например в 4-м городе) может прийти в офис (и сесть за любой из компов), а может прийти домой и ему там нужна сеть VPN сеть с доступом к другим компам (не зная их IP)...

Задача: Для удобства пользователя, он должен сесть за комп, зайти в Сетевое окружение и там видеть помимо компов своей личной локальной сети (если она есть) - ещё и как минимум сервер, а как максимум и другие компы, подключенные к этой VPN-сети. Т.е. придя домой - видеть в сети компы, находящиеся в офисе и работать с документами, хранящимися на этих компах и наоборот. Ну а главное - везде, где бы он ни был - видеть в Сетевом окружении сам сервер.

Проблема: В сетевом окружении не видны компьютеры VPN-сети (включая сервер), хотя при вводе адреса вручную (например \\192.168.2.1\ - это адрес сервера внутри VPN-сети) - обозреватель показывает расшаренные диски сервера (и других подключенных компов тоже). А вот обращение по \\SERVER\ - не работает. Т.е. клиенты не могут обращаться к другим компам VPN-сети по его имени. А поскольку внутри VPN сети IP-адреса постоянно меняются, нет возможности знать у какого компа какой адрес в данный момент.
Sugrob M
Прохожий
Прохожий
Возраст: 40
Репутация: 0
Лояльность: 0 (+0/−0)
Сообщения: 1
Зарегистрирован: 11.12.2014
С нами: 1 год 11 месяцев

 

#7 Sanix » 11.12.2014, 18:27

Sugrob писал(а):Я изначально хотел AD поставить, но почитав советы множества умных людей, понял что ставить AD для 3-4 пользователей не оправдано и бросил эту затею,
А зря, ведь Солярис ставил задачу:
Солярис писал(а):Объединить несколько компьютеров, территориально расположенных в разных местах (дом, офис, N-ск) в одну сеть (виртуальную сеть VPN), чтобы любой из них, зайдя в Сетевое окружение своего компа, видел там другие компьютеры сети (как минимум сервер с его папками). Грубо, что бы я (дир) зашел через сетевое окружение на сервер, сохранил там сканы документов для тебя (бух) в определенную папку, к которой имеем доступ я и ты (а менеджер не имеет).
Так вот имеет доступ или не имеет, здесь было бы правильнее поднять AD, пользователей разбить по группам: бух, юзер, админ и т.д. Далее под каждую группу создать правила и наделить соотв-но ими эти группы. В таком варианте вышепоставленная задача получится. Да и если появится новый пользователь, то проблем не будет. Заводим ему учетку в AD, тулим его в группу и все готово, минимум телодвижений.

Sugrob писал(а):заставить их настроить вход в домен на каждом компе - не представляется возможным...
Для этого создается конференция в скайпе и проводится маленький ликбез по настройки компьютера. Пользователь тоже должен быть хотя бы минимум образован. Или купить пользователю какой-нить маршрутизатор с поддержкой vpn(там где стоит 4 компа он бы не помешал).
З.Ы. Так к слову, работал я в страховой компании крупного масштаба. Так вот, у нас даже девушки(под 60 лет) спокойно справлялись с линуксом (OpenSUSE). Т.е знали что куда нажать(в gui), чем лучше редактировать doc документ, чем odt. Это я так к слову.


Sugrob писал(а):Роль VPN на сервере стоит, настроена. Один нюанс - клиентам выдается каждый раз новый IP для VPN-сети (у сервера он постоянный). Настроить VPN-подключение на клиенте с жестко прописанным IP на клиенте не получается.
Есть 2 варианта.
1) на сервере(win2008) поднять роль DHCP, а у клиентов ставить автоматическое получение.
2) ставим статику у клиентов. Все получается.
3) как уже писал выше купить маршрутизатор с vpn

Sugrob писал(а):Где везде? Сервер выходит в инет через роутер, на роутере внешняя статика. На сервере локально тоже IP-статический. Порты роутера (1732, 1701, 500 и 443) проброшены на сервер. А вот VPN-клиенты чаще не имеют внешнего статического IP. Для клиентов важно иметь статику???
DDNS нужен, если у сервера внешний динамический ip. Больше информации вы можете прочитать в инете. Для клиента важно получить настройки сети, которые им отдаст vpn. Естес-но для клиента не важна статика, важен диапазон ip vpn сети. Например, в домашней сети у него ip 192.168.1.2/24. А при поднятом vpn он у него будет например: 172.10.55.20/24. Т.е. это говорит о том, что subnet mask 255.255.255.0(простая сеть С класса), а значит диапазон ip адресов от Х.Х.Х.1 до Х.Х.Х.254 (0 адрес - это имя сети, 255 - это служебный адрес для broadcast'a(по которому работает вещание в сеть) и т.д.)

Kerberos
Sanix M
Поддержка
Поддержка
Аватара
Возраст: 33
Откуда: /home
Репутация: 138
Лояльность: 22 (+22/−0)
Сообщения: 1479
Темы: 28
Зарегистрирован: 31.10.2013
С нами: 3 года 1 месяц


  • Понравилась тема? Поделись с друзьями!

Вернуться в Сетевое оборудование и технологии

 


  • Похожие темы
    Ответы
    Просмотры
    Последнее сообщение