Приветствую.
Не получается настроить VPN сервер на Windows, чтобы траффик с компа полностью шел по VPN
Сделал вот по этой инструкции
https://www.elastichosts.com/blog/windows-l2tpipsec-vpn-server/ (https://href.li/?https://www.elastichosts.com/blog/windows-l2tpipsec-vpn-server/)

Почти всё работает, кроме самого главного - я подключаюсь к серверу, но сам траффик через сервер не идет, в том плане, что интернет пропадает, т.е. весь траф заворачивается на сервер, но далее не идет в сам интернет.

Помогите советом, что сделать, чую какой то простой вещи не хватает .

Minor написал(а):

траф заворачивается на сервер, но далее не идет в сам интернет


а он не к тебе должен идти разве?

Либо галочку гейтвея не поставил, либо ещё что пропустил. И сервер и клиент тебе принадлежит, обе стороны настраиваешь? На openvpn не хочешь это сделать?

Den1xxx написал(а):

а он не к тебе должен идти разве?


Схема
[Мой комп][Инет][сервер с IP 81.XX.XX.XX и с одной сетевухой][Инет]

При подключении VPN - инет пропадает, пинг на внутренний IP VPN есть, а внешние адреса обрезаются.

Еще и сервер кстати виснет, пока не ребутнешь, по ходу только OpenVPN и остается. А его можно как привязать к пользователям на сервере ? чтоб на каждого акк не делать?

Minor написал(а):

Еще и сервер кстати виснет, пока не ребутнешь


Может, дело вообще именно в этом? У тебя трафик может не маршрутизироваться как раз из-за зависших серверов. Это продакшн, его нельзя переустановить? Открой лог, посмотри, почему машина зависает, я считаю, этот вопрос стоит решать в первую очередь.

OpenVPN раздаёт айпишники по сертификатам. Там есть ещё пара методов, но они не совсем легки в применении, вроде бы, есть поддержка LDAP и с AD интегрировали люди. Если делать вход по логину-паролю, придётся снизить безопасность, лучше всё-таки разобраться с ipsec, не полностью вижу твою задачу, решать самому.

Смотри логи системы, почему виснет при создании тоннеля?

Сервер виснет, почти сразу после коннекта на него клиента. Даже по VNС на него не зайти.
Приходится через панель управления ребутать.

Minor написал(а):

Сервер виснет, почти сразу после коннекта на него клиента. Даже по VNС на него не зайти.
Приходится через панель управления ребутать.


ну а в логах что?

Можешь попробовать решение от softether, там прога - бесплатный vpn-сервер в любыми типами подключения

Попробую, просто охота опираться на существующих в Винде юзеров, чтоб не генерить акки отдельно.

Minor написал(а):

Попробую, просто охота опираться на существующих в Винде юзеров, чтоб не генерить акки отдельно.


Решай проблему с зависанием, это потом мало ли во что выльется. Если больше данных дашь - больше помощи будет.

Подними сервер на tmg или kerio

На керио подымал не один раз VPN тунели. Настройка быстрая проблем в работе мною замечено не было. И заодно фаервол получите мощнейший.

http://windowsprofi.ru/win7/nastrojki-vpn-windows-7.html (https://href.li/?http://windowsprofi.ru/win7/nastrojki-vpn-windows-7.html) может кому еще нужно =)

Как хороший вариант - SoftEther VPN попробуй.

получилось что нибудь?

Minor написал(а):

Приветствую.
Не получается настроить VPN сервер на Windows, чтобы траффик с компа полностью шел по VPN
Сделал вот по этой инструкции
https://www.elastichosts.com/blog/windows-l2tpipsec-vpn-server/ (https://href.li/?https://www.elastichosts.com/blog/windows-l2tpipsec-vpn-server/)

Почти всё работает, кроме самого главного - я подключаюсь к серверу, но сам траффик через сервер не идет, в том плане, что интернет пропадает, т.е. весь траф заворачивается на сервер, но далее не идет в сам интернет.

Помогите советом, что сделать, чую какой то простой вещи не хватает .



нужно на машине которая подключается к серверу убрать галочку в:
Протокол Интернета IP4 - дополнительно - убрать галочку назначать метрику по умолчанию.

для выхода в интернет через сервер - к серверу нужно подключить 2 сетевые карты
1-я выход в интернет
2-я - для подключения локальных машин.

Хотелось бы знать зачем Вам собственно VPN сервер для каких целей??

Если для того что бы на халяву можно было выходить в интернет Вашим соседям и т д - то VPN для этого вовсе не нужен. ))))

Если же хотите повысить безопасность рабочей сети выполняя выход через сервер.
В результате получите постоянные жалобы на подтормаживание интернета, приостановка работы предприятия в случае подвисания сетевухи сервера, медленная работа сервера и т д. по мелочах.

Лучше поднять VPN на сетевом оборудовании нежели на Windows Server 20XX.
на VPN поднятом на сетевом оборудовании можно объединить в 1 сетку более 100 локальных сетей без каких либо подвисаний.

Windows Server2003/2008 - в качестве VPN сервера у меня начал загибаться при 50+ активных пользователях.
Багнутое ПО 2003/2008 - при подключении свыше 50 пользователей начинает отрубать пользователей, при том, что со стороны пользователей VPN отображается активным, а на сервере он закрыт.

Крайне не советую юзать багнутый VPN на Windows Server 2003/2008.
VPN сервер в более новых версиях не юзал, но думаю что такой же багнутый и не стабильный.



Aleks_66_77_88 написал(а):

На керио подымал не один раз VPN тунели. Настройка быстрая проблем в работе мною замечено не было. И заодно фаервол получите мощнейший.


Можно ли с использованием Керио - объединить к примеру хотя бы 2 локальных сетки в 1 виртуальную сеть 50 + ПК??

Есть вопрос по настройке OpenVPN. Пока настраиваю только сервер. Прогу установил, мануалы в сети очень отличаются. И как по настройке батников и добавлению папок.
Версия проги - 2.4.6
При попытке создавать сертификаты (запускаю build-ca.bat) пишет, что "ssl"не является внутренней или внешней командой. В одном из советов писали, что нужно добавить Глобальную Переменную "PATCH" и указать путь к папке, где лежит екзешник openssl.exe.Не помогло. Может кто подскажет, что не так.

Alekxander написал(а):

Есть вопрос по настройке OpenVPN. Пока настраиваю только сервер. Прогу установил, мануалы в сети очень отличаются. И как по настройке батников и добавлению папок.
Версия проги - 2.4.6
При попытке создавать сертификаты (запускаю build-ca.bat) пишет, что "ssl"не является внутренней или внешней командой. В одном из советов писали, что нужно добавить Глобальную Переменную "PATCH" и указать путь к папке, где лежит екзешник openssl.exe.Не помогло. Может кто подскажет, что не так.


Вы откройте батник и посмотрите, какой файл он вызывает. Соответсвенно вам нужно этот файл(и все необходимые ему), поместить в прямое поле видения этого батника или через path указать, где ещё смотреть.

Alekxander написал(а):

Есть вопрос по настройке OpenVPN. Пока настраиваю только сервер. Прогу установил, мануалы в сети очень отличаются. И как по настройке батников и добавлению папок.
Версия проги - 2.4.6
При попытке создавать сертификаты (запускаю build-ca.bat) пишет, что "ssl"не является внутренней или внешней командой. В одном из советов писали, что нужно добавить Глобальную Переменную "PATCH" и указать путь к папке, где лежит екзешник openssl.exe.Не помогло. Может кто подскажет, что не так.


Покажите выбранный маунал, хочу глянуть. 2.4 многое переделали, она вообще больше похожа на мажорный апдейт, поэтому инструкции могут не сходиться. И почти тогда же поменяли easy-rsa со 2 на 3 версию.
Файлу ssl поменяли расширение? Так же, попробуйте делать всё сначала в каталоге c:\openvpn

zionkv написал(а):

Покажите выбранный маунал, хочу глянуть. 2.4 многое переделали, она вообще больше похожа на мажорный апдейт, поэтому инструкции могут не сходиться. И почти тогда же поменяли easy-rsa со 2 на 3 версию.
Файлу ssl поменяли расширение? Так же, попробуйте делать всё сначала в каталоге c:\openvpn


Что именно показать? Мануалы в сети находил.И да, разнятся очень сильно. В некоторых пишут , что нужно создать папку ssl.В некоторых нет такого упоминания. Вот так называется файл - openssl-1.0.0.cnf. Сам батник build-ca.bat такой. Екзешник openssl.exeнаходится по пути C:\OpenVPN\bin\

Код:



@echo off
cd %HOME%
rem build a cert authority valid for ten years, starting now
openssl req -days 3650 -nodes -new -x509 -keyout %KEY_DIR%\ca.key -out %KEY_DIR%\ca.crt -config %KEY_CONFIG%

Alekxander написал(а):

Что именно показать? Мануалы в сети находил.И да, разнятся очень сильно. В некоторых пишут , что нужно создать папку ssl.В некоторых нет такого упоминания. Вот так называется файл - openssl-1.0.0.cnf. Сам батник build-ca.bat такой. Екзешник openssl.exeнаходится по пути C:\OpenVPN\bin\

Код:



@echo off
cd %HOME%
rem build a cert authority valid for ten years, starting now
openssl req -days 3650 -nodes -new -x509 -keyout %KEY_DIR%\ca.key -out %KEY_DIR%\ca.crt -config %KEY_CONFIG%


Давайте иначе попробуем. Нашёл у себя openvpn на винде, версия 2.3.14. Запаковал в архив, удалив содержимое папки ssl. Кинул туда же инсталлер (на оф сайте тоже есть), сделал скриншот своей %path%.

Нужно закинуть в C:\OpenVPN, поверх установить из прогу из дистриба, инициализировать ключи и всё взлетит. Easy-RSA тоже можно скачать с оф сайта и кинуть поверх моего, если есть сомнения.

Перед build-ca запускаете vars и clean-all?

zionkv написал(а):

Давайте иначе попробуем. Нашёл у себя openvpn на винде, версия 2.3.14. Запаковал в архив, удалив содержимое папки ssl. Кинул туда же инсталлер (на оф сайте тоже есть), сделал скриншот своей %path%.

Нужно закинуть в C:\OpenVPN, поверх установить из прогу из дистриба, инициализировать ключи и всё взлетит. Easy-RSA тоже можно скачать с оф сайта и кинуть поверх моего, если есть сомнения.


Я переменную %path% прописывал системную отдельную. Прописывал в батнике vars. Не помогало. Пытался вчера версию 2.3.18 ставить. Результат одиноковый. Тут ещё вспомнил один нюанс. Был у меня случай, когда что-то не запускалось по RDP, только консольно. Возможно из-за этого? Я всё делаю при подключении по RDP, под пользователем, но с админскими правами.


zionkv написал(а):

Перед build-ca запускаете vars и clean-all?


Это да, я в курсе.
Попробую ещё Ваш вариант. Easy-RSA на сколько я понял теперь идёт отдельно только для никсовых, а для винды всё в одном инсталлере.

В общем сервер настроил. Клиент настроил. Запускаются, подключаются. Но что-то не так с маршрутизацией. Сервер имеет доступ к клиенту по OpenVPN. Клиент не имеет доступ, даже не пингует сервер. Айпишники нормально выдаются. У сервера 10.10.10.1, у клиента 10.10.10.5.
Сервер имеет адрес в локальной сети 192.168.0.10, шлюз 192.168.0.254, маска 255.255.255.0
Клиент имеет прямой доступ в инет с белым айпишником. И второй адрес в локальной сети 192.168.1.11.
Подскажите как правильно прописать маршрутизацию.
Пока в конфиге сервера прописано так.
server 10.10.10.0 255.255.255.0
push "route 192.168.0.0 255.255.255.0"
route 192.168.1.0 255.255.255.0

Ещё нарыл. На сервере, сели включён брандмауер, нужно включить правило "Служба входа в сеть (NP-In). Клиент теперь видит сервер.
Осталось чтобы сеть была видна.

Alekxander написал(а):

Осталось чтобы сеть была видна.


Сейчас нужно, чтобы клиент видел сеть за сервером? Показывайте route print на клиенте и на сервере (белые адреса лучше затереть).
Не вижу, чтобы где-то был указан в роутах сервер, откуда клиенту знать, что в 0.0/24 сеть нужно ходить через шлюз 10.10.10.1?



Alekxander написал(а):

push "route 192.168.0.0 255.255.255.0"


исходя из маски, клиент, пытаясь попасть на любой адрес из 0.0/24 сети, будет идти на шлюз 0.1, которого у вас нет.

Вам точно нужно, чтобы сети видели друг друга? Много клиентов? Не проще везде сервис запустить?


Alekxander написал(а):

переменную %path% прописывал системную отдельную. Прописывал в батнике vars. Не помогало. Пытался вчера версию 2.3.18 ставить. Результат одиноковый. Тут ещё вспомнил один нюанс. Был у меня случай, когда что-то не запускалось по RDP, только консольно. Возможно из-за этого? Я всё делаю при подключении по RDP, под пользователем, но с админскими правами.


На это уже не нужно отвечать, получилось из RDP с моими файлами?

Кстати, юзайте тимвью, эммиадмин или подобное, если сомневаетесь в правильном поведении RDP. Они именно выводят изображение экрана.

zionkv написал(а):

Сейчас нужно, чтобы клиент видел сеть за сервером? Показывайте route print на клиенте и на сервере (белые адреса лучше затереть).
Не вижу, чтобы где-то был указан в роутах сервер, откуда клиенту знать, что в 0.0/24 сеть нужно ходить через шлюз 10.10.10.1?




Скрытое содержимое доступно для зарегистрированных пользователей!


Список интерфейсов
2...40 8d 5c 82 5c 7d ......Realtek PCIe GBE Family Controller #2
16...00 ff f6 7d fe 0f ......TAP-Windows Adapter V9
1...........................Software Loopback Interface 1
8...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
3...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
================================================== =========================

IPv4 таблица маршрута
================================================== =========================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.254 192.168.0.13 291
10.10.10.0 255.255.255.0 10.10.10.2 10.10.10.1 36
10.10.10.0 255.255.255.252 On-link 10.10.10.1 291
10.10.10.1 255.255.255.255 On-link 10.10.10.1 291
10.10.10.3 255.255.255.255 On-link 10.10.10.1 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.255.0 On-link 192.168.0.13 291
192.168.0.13 255.255.255.255 On-link 192.168.0.13 291
192.168.0.255 255.255.255.255 On-link 192.168.0.13 291
192.168.1.0 255.255.255.0 10.10.10.2 10.10.10.1 36
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.10.10.1 291
224.0.0.0 240.0.0.0 On-link 192.168.0.13 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.10.10.1 291
255.255.255.255 255.255.255.255 On-link 192.168.0.13 291
================================================== =========================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.0.254 По умолчанию
================================================== =========================

IPv6 таблица маршрута
================================================== =========================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 331 ::1/128 On-link
16 291 fe80::/64 On-link
2 291 fe80::/64 On-link
16 291 fe80::8d2d:d08:5bb3:3a01/128
On-link
2 291 fe80::988f:3b48:3c77:495/128
On-link
1 331 ff00::/8 On-link
16 291 ff00::/8 On-link
2 291 ff00::/8 On-link
================================================== =========================
Постоянные маршруты:
Отсутствует



zionkv написал(а):

исходя из маски, клиент, пытаясь попасть на любой адрес из 0.0/24 сети, будет идти на шлюз 0.1, которого у вас нет.


Вот я как бы это понимаю. Как Василий Иванович в анекдоте про математику. )))))))))))))))
Как бы это правильно прописать???


zionkv написал(а):

Вам точно нужно, чтобы сети видели друг друга? Много клиентов? Не проще везде сервис запустить?


Клиент планируется один подключаться к серверу. А вот в сети сервера к клиенту будет несколько подключений. В основном будет подключение к расшаренному принтеру.
Клиент - это будет удалённый склад, с которым нужна связь.
Кстати сервер OpenVPN переставил на другой комп, чтобы можно было отключить брандмауэр. Пока только сервер и клиент видят друг друга.
И ещё. В конфиге сервера есть указание на конфиг клиента. Там указано.
ifconfig-push 10.10.10.5 10.10.10.6

iroute 192.168.1.0 255.255.255.0

# disable
Большое спасибо за помощь.
П.С. Все интерфейсы с клиента пингуются. Шары на сервере открываются как по айпи ВПН, так по внутреннему локальному айпи.
С сервера пинг не идёт только на внутренний интерфейс клиента. Но мне не критично, так как пока за клиентом не планируется доступ в локалку. Пока с этим разобраться бы.

http://sys-team-admin.ru/stati/bezo...nenie-dlya-windows-nastrojka-vpn-servera.html (https://href.li/?http://sys-team-admin.ru/stati/bezopasnost/155-chto-delaet-vpn-kak-nastroit-vpn-soedinenie-dlya-windows-nastrojka-vpn-servera.html) отличная статейка

Если хотите без гемороя, советую просто через браузер.
Выход идет на весь поток интернета.

1. покупаете IpV4 (цена в среднем 70 рублей)
2. Заходите в настройки Google Chrome, внизу нажимаете "Показать дополнительные настройки"
3. нажимаете "настройки прокси сервера"
4. выбираете вкладку "дополнительно", "настройки сети"
5. нажимаете пункт "использование прокси сервера"
6. там вводите купленный IP
7. сохраняете
8. наслаждаетесь!!!