Пользователь |
Сообщение: kerio vpn (Тема#5873) |
киныч
подполковник
Возраст: 42
: Kiev,Ukraine
С нами с 23.01.04
Посты: 2060
|
керио 6
офис1 и офис2(мой)
клиент, подключенный к впн серверу в офисе1 сеть офиса1 видит
клиент, подключенный к впн серверу в офисе2 сеть офиса2 НЕ видит, видит только сам сервер
настройки виндовых интерфейсов одинаковые (т.е. 3 интерфейса - internal, external & kerio vpn), настройки керио: верхние правила - между клиентом и впн-сервером можно все, между интерфейсами можно все.
единственное видимое отличие - в офисе1 на закладке интерфейсов керио у впн-а значок сетевой карты (картинка), а у меня такого интерфеса в керио нет (картинка). система у меня 2000 сервер, там - 2000 проф.
создание впн туннеля между двумя серверами проходит, connected
у меня впн сервер имеет адрес 172.17.2.1, там - 172.17.1.1, маска узкая
у меня локальная подсеть 10.1.11.х
там 10.1.0.х
пинг любого хоста 10.1.0.x показывает болт. трейс идет через 10.1.11.
пинг 172.17.1.1 дает от 90 до 100% потерь пакетов, время пинга зашкаливает. трейсится в 2 шага через 172.17.2.1 (как и должен)
в свойствах интерфейса kerio vpn видно - принятых пакетов несколько тысяч, отправленных - ноль
>>А чего адреса в разных подсетях?
какие? у впн-серверов? а нельзя 2 сервера в одну подсеть..
ему задаешь подсеть в которой он работать будет и он автоматом подхватывает первый адрес под себя
если задать одинаковые сети они ловят одинаковые адреса и ессно не коннектятся
пробовали уже..
я не понимаю чего не хватает у меня чтоб подключенные через впн люди видели внутреннюю сеть. я уже вообще ничего не понимаю.
уже все отключил - и anti-spoofing, и закрытые порты. верхние правила - между клиентом и впн-сервером можно все, между интерфейсами можно все.
в логах ничего полезного. совершенно. ни errors, ни warnings.
в debug:
[31/Aug/2005 14:59:22] Service "DNS" started, bound to address 172.17.2.1
[31/Aug/2005 14:59:22] Service "DHCP" started, bound to address 172.17.2.1
[31/Aug/2005 14:59:22] Service "WebAdmin" started, bound to address 172.17.2.1
[31/Aug/2005 14:59:22] Service "HTTPProxy" started, bound to address 172.17.2.1
[31/Aug/2005 14:59:22] Service "WebAdminSSL" started, bound to address 172.17.2.1
[31/Aug/2005 14:59:22] Service "VPN" started, bound to address 172.17.2.1
что делать-то?
|
|
|
Deagle
лейтенант
: Харьков
С нами с 12.07.05
Посты: 432
|
похоже, надо добавить пару статических маршрутов на сервера впн в каждой сети.
|
|
|
WindsexRF
майор
: Kiev
С нами с 15.05.01
Посты: 1072
|
тебе нужно либо включить бриджинг на ВПН интерфейсах (тогда все клиенты будут как-бы в одной локалке) либо менять маски для 10-ых сетей и настраивать роутинг (это производительней, т.к. любой пук в локалке не будет ходить через ВПН туннель)
|
|
|
киныч
подполковник
Возраст: 42
: Kiev,Ukraine
С нами с 23.01.04
Посты: 2060
|
Code:
=========================================================================== Список интерфейсов 0x1 ........................... MS TCP Loopback interface 0x1000003 ...00 00 00 00 00 00 ...... 3Com EtherLink PCI 0x1000004 ...00 00 21 cd 4b d6 ...... Realtek RTL8029(AS) Ethernet Adapt 0x1000005 ...44 45 53 54 cd 48 ...... Kerio VPN Adapter =========================================================================== =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 212.9.xxx.1 212.9.xxx.2 1 10.0.0.0 255.0.0.0 10.1.11.7 10.1.11.7 1 10.1.11.7 255.255.255.255 127.0.0.1 127.0.0.1 1 10.255.255.255 255.255.255.255 10.1.11.7 10.1.11.7 1 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 169.254.50.0 255.255.255.0 169.254.50.213 169.254.50.213 1 169.254.50.213 255.255.255.255 127.0.0.1 127.0.0.1 1 169.254.255.255 255.255.255.255 169.254.50.213 169.254.50.213 1 172.17.1.0 255.255.255.0 172.17.2.2 169.254.50.213 1 172.17.2.0 255.255.255.0 172.17.2.1 169.254.50.213 1 172.17.2.1 255.255.255.255 127.0.0.1 127.0.0.1 1 172.17.255.255 255.255.255.255 169.254.50.213 169.254.50.213 1 212.9.xxx.0 255.255.255.252 212.9.xxx.2 212.9.xxx.2 2 212.9.xxx.2 255.255.255.255 127.0.0.1 127.0.0.1 2 212.9.xxx.255 255.255.255.255 212.9.xxx.2 212.9.xxx.2 2 224.0.0.0 224.0.0.0 10.1.11.7 10.1.11.7 1 224.0.0.0 224.0.0.0 169.254.50.213 169.254.50.213 1 224.0.0.0 224.0.0.0 212.9.xxx.2 212.9.xxx.2 2 255.255.255.255 255.255.255.255 10.1.11.7 10.1.11.7 1 Основной шлюз: 212.9.xxx.1 =========================================================================== Постоянные маршруты: Отсутствует у меня vpn network 172.17.2.0, с той стороны 172.17.1.0 там passive server, только принимает коннекты поднялся почему-то с айпи 172.17.2.2 (?), мой - 172.17.2.1 ping 172.17.2.2 не проходит.. т.е. 3 пакета прошло, после чего "превышен интервал ожидания для запроса".
|
|
|
WindsexRF
майор
: Kiev
С нами с 15.05.01
Посты: 1072
|
ipconfig /all на обоих машинах плиз.
Если яправильно понял то туннель как раз между двумя машинами устанавливается, но тогда непонятно почему разные ВПН сети у них.
172.17.1.0 255.255.255.0 172.17.2.2 169.254.50.213 1 172.17.2.0 255.255.255.0 172.17.2.1 169.254.50.213 1 172.17.2.1 255.255.255.255 127.0.0.1 127.0.0.1
И что такое 169.254.50. ??? (что-то больно знакомое...)
|
|
|
киныч
подполковник
Возраст: 42
: Kiev,Ukraine
С нами с 23.01.04
Посты: 2060
|
разные сети потому что коннект между двумя серверами руководство которым мы пользовались ipconfig мой ipconfig удаленного сервака
upd. впн клиент, подключенный к моему серверу мою сеть видит и пингует все что надо. я его не пингую...
|
|
|
WindsexRF
майор
: Kiev
С нами с 15.05.01
Посты: 1072
|
Цитата:
у меня локальная подсеть 10.1.11.х там 10.1.0.х пинг любого хоста 10.1.0.x показывает болт. трейс идет через 10.1.11. пинг 172.17.1.1 дает от 90 до 100% потерь пакетов, время пинга зашкаливает. трейсится в 2 шага через 172.17.2.1 (как и должен) в свойствах интерфейса kerio vpn видно - принятых пакетов несколько тысяч, отправленных - ноль
Как соединены между собой 2 сервера? Через какие интерфейсы.
Проблемы второго офиса скорее всего вызваны отсутствием мак-адреса на внутреннем интерфейсе Цитата:
Адаптер Ethernet Internal:
DNS суффикс этого подключения . . : eurotechservice.com.ua Описание . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI For Complete PC Management NIC (3C905C-TX) Физический адрес. . . . . . . . . : 00-00-00-00-00-00
|
|
|
Arafat
VBIOS.com
: Правый берег.
С нами с 10.01.01
Посты: 11285
|
Цитата:
Проблемы второго офиса скорее всего вызваны отсутствием мак-адреса
Если в arp он так и выглядит, то может и работать
|
|
|
WindsexRF
майор
: Kiev
С нами с 15.05.01
Посты: 1072
|
Цитата:
Цитата:
Проблемы второго офиса скорее всего вызваны отсутствием мак-адреса
Если в arp он так и выглядит, то может и работать
А может и не работать
|
|
|
Arafat
VBIOS.com
: Правый берег.
С нами с 10.01.01
Посты: 11285
|
... если в локалке найдётся ещё один такой гений
|
|
|
киныч
подполковник
Возраст: 42
: Kiev,Ukraine
С нами с 23.01.04
Посты: 2060
|
в общем работает проблемы были в интерфейсе Kerio Vpn, который пришлось начисто снести и поставить заново, после чего заработал сам канал плюс перекрывались рабочие диапазоны сетей. после разнесения их в разные подсети заработало. сетевуха с нулевым маком смотрит внутрь локалки. работает всем спасибо
|
|
|