Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

shatoff

Проблема с организацией 2-го VPN соединения.

Рекомендованные сообщения

Проблема: Не могу подключится к офисной (корпоративной) сети. Для доступа к ней используется VPN (AT&T Global Network Client Version 5.08.2 English https://help.attbusiness.net/index.cfm?fuse...downloads.home). При этом для доступа из сети Корбины в интернет, как известно, так же используется виндовый VPN (мая операционка W2К 5.00.2195 Service Pack 4 (Professional)). Получается что необходимо организовать один VPN тунель внутри другого (корпоративный внутри Корбиновского). Как удалось выяснить это, скорее всего, невозможно, но проблему решать как то надо.

 

Ограничения: На рабочем компе у меня нет прав администратора и посему все манипуляции с ним сильно ограничены. Взломать всё это теоретически можно, но не нужно.

 

Мучаюсь с этим давно, и делал просто, устанавливал dial up соединение с PTN и потом запускал корпоративный VPN. А когда нужен нормальный, быстрый интернет отключаюсь от dial up отключаю корпоративный VPN и пользую стандарное корбиновское подключение к инету через win2k VPN.

 

Первым делом, конечно же, задал этот вопрос своему helpdesk-у на работе. У них тысячи таких же юзеров как и я и посему они настаивают чтобы я юзал стандартные, проверенные способы. Говорят, подключайся как это делают все к ADSL ISP (в Питере всего два ADSL ISP: WPLUS и ROL который, впрочем тоже юзает wplus-овскую ADSL сеть), ADSL провайдер должен выдать тебе ADSL router из которого ты заберешь “Internet enabled Ethernet cable” и подключишь к сетевой карте своего компа.

 

Подключится к ADSL не проблема, учитывая что все расходы мне возместят. Не хочется этого делать лишь потому что лень, да и Корбина уже есть и хотелось бы окончательно убедится что тут решить это никак не удасться и потом уже подключатся к кому нибудь другому.

 

Варианты решения (в порядке приемлимости):

 

1) Купить router на котором поднять VPN. Этот роутер будет шарить корбиновский интет на домашний и рабочий комп. Я смотрю, например, вот на этот девайс D-Link DI-808HV (http://www.dlink.ru/products/prodview.php?type=15&id=451#) ну или что то аналогичное. Если девайс будет стоить сотню-другую у.е. то это не является проблемой – мне его оплатят.

 

Вопрос: Будет ли это работать в Корбиновской сети?

 

2) Организовать софтовый роутер на домашнем PC (2 сетевые карточки и т.д.) и расшарить интет на рабочий комп (ноутбук). При этом стандартный виндовый ISC отпадает, так как он требует изменения сетевых настроек на компе-клиенте, а у меня нет администраторских прав на рабочем компе. Соответсвенно на домашнем компе должен быть поднят полный набор сервисов (включая DHCP) чтобы для рабочего компа был организован совершенно прозрачный т.н. “Internet enabled Ethernet cable”.

 

Этот вариант менее приемлем, так как мне не хочится париться и разбираться с настройками экзотического для меня софта. Так же он менее надежен чем железный роутер.

 

Вопросы: Возможно ли это? И если да, то при помоши какого набора софта?

 

3) Заставить работать конфигурацию «Одна VPN внутри другой». Сдается мне что это невозможно в силу самой природы VPN. Прав ли я?

 

4) Подключатся к ADSL wplus или rol. Хотелось бы пользоваться этим вариантом в последнюю очередь. Уж очень не хочется париться с процедурой заявка-оплата-ожидание-подключение-настройка.

 

Поскажите пожалуйста возможен ли выход? Желательно через первый вариант B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня работает два VPN друг в друге. Никаких особых мер по настройке не производил.

В офисе W2k Server. Легко подключаюсь в корпоративку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3) Заставить работать конфигурацию «Одна VPN внутри другой». Сдается мне что это невозможно в силу самой природы VPN. Прав ли я?

 

Думаю, что нет. Я, хоть и не специалист в вопросах VPN, считаю так. VPN корбиновская всего лишь канал по корбиновской корпоративной сети до VPN-сервера. Так что, для внешнего сервера траффик будет самым обычным. Дело в настройках программного обеспечения. Скорее всего, оно неправильно воспринимает то, через что надо посылать пакеты. Например, пытается переслать пакеты через физический интерфейс, т.е. не vpn Корбины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня работает два VPN друг в друге. Никаких особых мер по настройке не производил.

В офисе W2k Server. Легко подключаюсь в корпоративку.

 

Т.е. ты вначале запускаешь корбиновский VPN потом еще одну VPN сессию и всё работает?

 

У меня запуск второго VPN-а вводит в ступор первый, который дышет еще минуты 3 и потом отваливается. Как я понял это как то связано с "монополией" на IPSec траффик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин, молодежь!

Перед тем, как создавать что-то новое - смотрите старое, тем более, что было на 1 странице!

http://homenet.corbina.net/index.php?showtopic=9258 - здесь и обсуждайте сколько влезет, а эту тему - прошу закрыть!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дмитрий, прежде чем писать подобное сообщение попытайся осознать суть вопроса.

Вопросы организации и настройки двух VPN тоннелей к ЖЕЛЕЗУ не относятся.

 

Блин, молодежь!

Перед тем, как создавать что-то новое - смотрите старое, тем более, что было на 1 странице!

http://homenet.corbina.net/index.php?showtopic=9258 - здесь и обсуждайте сколько влезет, а эту тему - прошу закрыть!

 

 

Да. Именно так. Сперва запускается Корбиновский VPN. Далее в нем я уже запускаю тоннель на корпоративный сервер и вхожу во внутреннюю группу окружения.

А не установлены ли у тебя по пути свитчи с поддержкой VPN ??? Многие модели не переваривают по каким-то причинам тоннель внутри тоннеля.

 

Т.е. ты вначале запускаешь корбиновский VPN потом еще одну VPN сессию и всё работает?

 

У меня запуск второго VPN-а вводит в ступор первый, который дышет еще минуты 3 и потом отваливается. Как я понял это как то связано с "монополией" на IPSec траффик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А не установлены ли у тебя по пути свитчи с поддержкой VPN ???

 

У меня лишь есть Ethernet от Корбины, к какому свичу этот кабель подключен и какое там дальше оборудование, естественно я не знаю. Зато в корпоративном суппорте мне сказали что при запуске корпоративного VPN клиента все остальные VPN-ы отстреливаются, равно как и отстреливается всё то что по корпоративным меркам считается неправильным :huh:.

 

И еще узнал что я не один такой. Похоже что вышеупомянутый девайс и иже с ними будет работать с Корбиной, вот только пропустит ли он корректно "сквозь себя" трафик инициируемый хитрым корпоративным VPN клиентом неизвестно. Зато известно что с данным конкретным девайсом в один момент времени будет доступен либо интернет либо Корбиновская "локалка" (зато с 2-мя девайсами будет фунциклировать и то и другое). Признаться, я готов пожертвовать доступом к корбиновской сети в обмен на полноценный доступ к инету.

 

Вот ссылочки для фасилизации:

http://www.dlink.ru/phorum/viewtopic.php?t...ghlight=corbina

http://www.dlink.ru/phorum/viewtopic.php?t...ghlight=corbina

http://www.dlink.ru/phorum/viewtopic.php?t...ghlight=corbina

http://www.dlink.ru/phorum/viewtopic.php?t...ghlight=corbina

http://www.dlink.ru/phorum/viewtopic.php?t...ghlight=corbina

http://www.dlink.ru/phorum/viewtopic.php?t...ghlight=corbina

http://www.dlink.ru/phorum/viewtopic.php?t...ghlight=corbina

 

и еще штук 50 там есть аналогичных :D

 

Пишу скорее для себя а так же для тех, кто, возможно, пойдёт моими стопами.

 

Цитирую описание устройства:

-----------

Дополнительно доступны расширенные функции безопасности, включающие VPN в режиме pass-through. Эта функция позволяет клиентам внутренней сети использовать множество VPN-сессий по протоколам PPTP, L2TP и IPSec для более безопасной передачи конфиденциальной информации.

-------------

http://www.dlink.ru/products/prodview.php?type=15&id=384

 

Судя по всему это то что мне надо. Хотелось бы что нибудь от Корбиновских спецов услышать :mellow:.

 

А то куплю его, а окажется зря...

 

=========================

 

Всё, проблема решена, считаем тему закрытой. Обидно что корбиновский суппорт ни слова не написал....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Молодец. От саппорта не жди ничего. :(

Всё, проблема решена, считаем тему закрытой. Обидно что корбиновский суппорт ни слова не написал....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доступ к локалке, при настройке VPN решил хитрым способом.

Назло D-Link спецам и роутерам D-Link.

Сделал маленький ПРЯМОЙ кабель между WAN и LAN, а корбиновский интернет засунул аналогично в LAN. Роутер DI-604.

Единственный минус в том, что теперь в сети появилось два лишних устройства (WAN и LAN роутера) Да ну и хрен с ними с другой стороны.

 

Как говорится Голь на выдумки хитра.

 

А вообще мне D-LINK не шибко понравился именно из за этого большого минуса. Да и внутренняя маска на D-LINK 255.255.255.XXX - что тоже черевато для работы с корбиной.

Хотя, самое что интересное такие программы как NETLOOK и LANSCOPE пробивали дырку в сетку и при включённом VPN. Хотя не всегда все компьютеры.

 

Если побродить по инету, то можно найти некоторые типы роутеров, в которые можно загрузить альтернативные прошивки в виде UNIX среды и накрутить чёрта в ступе.

 

Хотя в принципе сейчас мой роутер что то в виде маленького шлюза в сети corbina, настроенного на мой компьютер. Пока работает, убого и почти беззащитно конечно, но работает. Сейчас сервер настрою и выкину это ГГГ обратно в фирму D-LINK. Буду искать что ни будь более гибкое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

.... этот ответ начал писать вчера в 2 часа ночи... но интернет приказал долго спать... megacensored! ... только сейчас появилась возможность запостить... как это типично!

 

Доступ к локалке, при настройке VPN решил хитрым способом.

Назло D-Link спецам и роутерам D-Link.

Сделал маленький ПРЯМОЙ кабель между WAN и LAN, а корбиновский интернет засунул аналогично в LAN. Роутер DI-604.

Единственный минус в том, что теперь в сети появилось два лишних устройства (WAN и LAN роутера) Да ну и хрен с ними с другой стороны.

 

У меня тоже DI-604. Его большой плюс в цене - всего $33, нормальный кулер дороже стоит.

Кстати посреди той толпы ссылок затерялась метода где предлагается использовать 2 таких вот простеньких роутера. Я чо-то на ночь глядя не могу напрячь мозг и реконструировать схемку.

 

То что ты описал конечно, годится, но ИМХО как временный вариант.

 

Если побродить по инету, то можно найти некоторые типы роутеров, в которые можно загрузить альтернативные прошивки в виде UNIX среды и накрутить чёрта в ступе.

 

Не ну так я точно делать не буду. Мне лениво разбираться со всеми этими экхотическими девайсами а тем более UNIX среды :rolleyes:

 

В принципе у меня еще пару дней есть money back и я могу этот девайсик вернуть. Но для этого надо найти альтернативу, чтоб давйс был чуток умнее в вопросах роутинга и не на порядок дороже.

 

Вот пример, как человек обошел вышеупомянутую проблему "LAN vs WAN" с немного более умным, но D-Link-овским-же роутером:

 

http://www.dlink.ru/phorum/viewtopic.php?t...orbina&start=15

 

Надо смотреть последнее сообщение. Оно от имени VladimirGusev...

 

 

А поочередно заливаю конфиги в рутер. Щас на случай таких сбоев сделаю 4 варианта конфига:

 

Internet_staticIP

Internet_DHCP

LAN_staticIP

LAN_DHCP

 

======

Корбиновцы, спасибо вам за то, что благодаря вам я начинаю разбираться в технологиях Ethernet\TCP IP! Еще чуть чуть побуду вашим клиентом и можно смело будет админом устраиваться. У вас админы много получают? (это я так, на будующее)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня тоже DI-604. Его большой плюс в цене - всего $33, нормальный кулер дороже стоит.

Кстати посреди той толпы ссылок затерялась метода где предлагается использовать 2 таких вот

простеньких роутера. Я чо-то на ночь глядя не могу напрячь мозг и реконструировать схемку.

Это очень просто. Второй девайс включён в первый вероятно два раза и даёт инет через VPN, первый девас настроен только на локалку. Итого имеем громоздкий мегатрасформер :P

 

 

В принципе у меня еще пару дней есть money back и я могу этот девайсик вернуть. Но для этого надо найти альтернативу, чтоб давйс был чуток умнее в вопросах роутинга и не на порядок дороже.

 

Уверен, что эту тему ты закрывать не будешь и напишешь сюда о своих результатах.

 

Вот пример, как человек обошел вышеупомянутую проблему "LAN vs WAN" с немного более умным, но D-Link-овским-же роутером:

 

http://www.dlink.ru/phorum/viewtopic.php?t...orbina&start=15

 

Надо смотреть последнее сообщение. Оно от имени VladimirGusev...

А поочередно заливаю конфиги в рутер. Щас на случай таких сбоев сделаю 4 варианта конфига:

 

То, что описано ниже от имени VladimirGusev... у меня не заработало.

Причина быть может кроется в том, что всё та же пресловутая внутренняя маска DI-604 = /24bit.XXX

Лень уже эксперементировать с этим роутером дальше. Достало просто.

 

Всё гораздо проще. Во всяком случае у меня работает (провайдер Corbina). Если мыслить логически, то почему мы не можем попасть в локальную сеть провайдера при подключённом интернете (PPTP)? Потому как адреса в локалке у провайдера 10.х.х.х , а маршрутизатор их честно посылает на ... . Чтобы этого избежать, делаем следующее: узнаём IP-адрес gateway для локалки провайдера. После чего вносим этот IP-адрес в Tools->Routing в качестве gateway. В качестве destination пишем 10.0.0.0, а в качестве Subnet MAsk 255.0.0.0. Hop: 1 и не забываем ставить значок Enable. Настраиваем Home->WAN на PPTP и... наслаждаемся жизнью. Во всяком случае данный процесс у меня не вызвал никаких проблем и всё работает Если у кого-то ещё получится - не поленитесь оставить здесь об этом сообщение. Если не получится - тоже.

С Уважением, Владимир

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, отзовитесь!

 

Кто-нибудь успешно настроил использование своего VPN (корпоративного) внутри VPN Корбины?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах