Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Ещё раз про RRAS (Windows Server 2000/2003)  (Прочитано 7387 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Dimka
Деятель
Команда клуба

ru
Offline Offline
Пол: Мужской

« : 31-05-2009 18:17 » 

Сетевая конфигурация машины:
Windows Server 2003 (думаю, в 2000 было бы так же), поднята служба RRAS.
- 1 сетевая карта ведёт в локальную сеть (192.160.20.х/24) - интерфейс 1.
- 1 сетевая карта (Wi-Fi) выходит в локальную сеть провайдера, где через NAT имеет выход в Интернет - интерфейс 2;
- 1 сетевая карта имеет выделенный внешний (Интернет) IP (один, по маске 32 бита) - интерфейс 3;

Настроен VPN-доступ по PPTP для внешних пользователей (подключения, естественно, интерфейсу 3). Этим юзерам выдаются IP в диапазоне от 192.168.20.193 и до конца подсети - т.е. в той же сети, где сидят локальные пользователи.

Проблема:
Внешние пользователи подключаются, но видят только сервер подключения, а маршрутизация в локальную сеть не идёт.

Проблема временно решается, если в NAT/Basic Firewall добавлять или удалять интерфейс Internal (используемый RRAS для обслуживания VPN-юзеров) как private (в документации сказано, что private-сети маршрутизируются свободно). Работает это до переподключения удалённого юзера, потом надо повторять это бессмысленное на вид действие. Естественно, это не дело. Причём маршрутизация, бывает, включается как при наличии, так и при отсуствии Internal-интерфейса в NAT/Basic Firewall.

Что ещё характерно, что на сервере в таблице маршрутизации маршрут 192.168.20.0/24 на интерфейс 1 - прописан. А вот у подключенного юзера маршрут выглядит странно. Допустим, удалённый юзер получил IP 192.168.20.200, тогда у него есть маршрут:
192.168.20.0   mask 255.255.255.0   gw 192.168.20.200
Есть подозрение, что затык в этом.

Ещё есть одна любопытная настройка, тайный смысл которой я не очень понимаю. У того юзера на сервере, от имени которого устанавливаются VPN-соединения, в свойствах на вкладке Dial-In есть галка Apply Static Routes (в самом низу). Она была установлена, и там по кнопке в окне было прописано:
192.168.20.0   mask 255.255.255.0   metric 1
Меня смущает в этих маршрутах отсутствие gw, но я подозреваю, что это список маршрутов, которые добавляются у клиента при включении VPN. Сейчас я эту галку в свойствах юзера снял, и пока что маршрутизация в локальную сеть работает (даже после многих переподключений). Но не уверен, что это правильное решение, и что завтра она не перестанет работать.

Может кто-нибудь объяснить, в чём, собственно, дело, а также что это за маршруты в свойствах юзера, и правильно ли, что у юзера маршруты ведут на его собственный IP-адрес?



Записан

Программировать - значит понимать (К. Нюгард)
Невывернутое лучше, чем вправленное (М. Аврелий)
Многие готовы скорее умереть, чем подумать (Б. Рассел)
Dimka
Деятель
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #1 : 02-06-2009 09:45 » 

Кажется, последнее действие - убирание Apply Static Routes у VPN-юзера - было правильным. Пока работает стабильно.
Записан

Программировать - значит понимать (К. Нюгард)
Невывернутое лучше, чем вправленное (М. Аврелий)
Многие готовы скорее умереть, чем подумать (Б. Рассел)
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #2 : 02-06-2009 18:00 » new

192.168.20.0   mask 255.255.255.0   gw 192.168.20.200

Вполне логичный маршрут! В локальную сеть сеть юзер смотрит через VPN, что есть PtP и пакеты для локалки кидает туда.

А вот что за чудо параметр... Может кто экспериментировал? Т.к. PPP не передает маршрутные таблицы, то логично предположить, что этот маршрут должен прописаться на сервере при подключении данного юзера. Думаю, что указывать маршрут будет на VPN в сторону юзера. Типа поддержки удаленных локальных сетей, которые сами инициируют соединение.
« Последнее редактирование: 02-06-2009 18:02 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines