VPN и RRAS
Up.
Очевидно же - смени операционку.
Где именно и на какую?
На нормальную *NIX систему, вполне очевидно.
Твое мнения я услышал, спасибо. Что скажет ?
правильно меня понял - *nix.
Если идёт речь о сетевых извращениях - *nix лучшй вариант.
А если конкретней, то ту, которую лучше знаешь или которую лучше знает ближайший гуру.
Если идёт речь о сетевых извращениях - *nix лучшй вариант.
А если конкретней, то ту, которую лучше знаешь или которую лучше знает ближайший гуру.
Я ни одной не знаю на приемлемом уровне. Ближайший гуру знает AIX 6.1.
The route addition failed: The parameter is incorrect.Выложи что-ли ipconfig /all и route print при включенном RRAS и при выключенном.
Подключаюсь успешно, появляется новый адаптер с адресом 10.100.10.1. Далее пытаюсь добавить маршрут в сетку 192.168.30.хПодожди, ты через OpenVPN подключаешься? Это же можно (и нужно) настроить в конфиге подключения, а не вручную добавлять.
И почему у тебя гейтвей не лежит в диапазоне той подсети, куда ты пытаешься подключиться?
Я ни одной не знаю на приемлемом уровне. Ближайший гуру знает AIX 6.1.И здесь кэп на страже очевидностей: речь о *nix, для x86 и гуру надо искать именно такого.
Даже Solaris и тот формально подошёл бы, но скорее всего отпал бы по другим причинам.
А AIX гуру здесь не при делах совсем - у тебя же не PPC, так что переставай косить под дурачка.
Нет других гуру. Какие еще будут советы?
>Выложи что-ли ipconfig /all и route print при включенном RRAS и при выключенном.
Совпадают, кроме маршрутов на 192.168.30.0.
>Подожди, ты через OpenVPN подключаешься? Это же можно (и нужно) настроить в конфиге подключения, а не вручную добавлять.
Не, виндовый VPN я запускаю со своей машины, которая же и является OpenVPN-сервером.
>И почему у тебя гейтвей не лежит в диапазоне той подсети, куда ты пытаешься подключиться?
Гейтвеем является моя машина, 10.100.10.1 — это адрес VPN-интерфейса.
Совпадают, кроме маршрутов на 192.168.30.0.
>Подожди, ты через OpenVPN подключаешься? Это же можно (и нужно) настроить в конфиге подключения, а не вручную добавлять.
Не, виндовый VPN я запускаю со своей машины, которая же и является OpenVPN-сервером.
>И почему у тебя гейтвей не лежит в диапазоне той подсети, куда ты пытаешься подключиться?
Гейтвеем является моя машина, 10.100.10.1 — это адрес VPN-интерфейса.
>Выложи что-ли ipconfig /all и route print при включенном RRAS и при выключенном.Я уже запутался =) Смотри: route add 192.168.30.0 mask 255.255.255.0 10.100.10.1 означает, что к айпишникам, лежашим в диапазоне 192.168.30.0 - 192.168.30.255 надо обращаться через гейтвей 10.100.10.1, который (очевидно) в этот диапазон не попадает, поэтому тебе винда даёт ошибку. IpConfig и роуты я просил выложить для того, чтобы разобраться, что у тебя есть и что ты хочешь получить. Пока что кто-то из нас явно чего-то не понимает. Зачем ты добавляешь этот маршрут, кому принадлежит какая подсеть, и что ты хочешь получить в итоге? Что у тебя перестаёт работать, когда ты подключаешься по впн? Зачем ты прописываешь этот маршрут (он бредов с моей точки зрения)?
Совпадают, кроме маршрутов на 192.168.30.0.
>Подожди, ты через OpenVPN подключаешься?
Это же можно (и нужно) настроить в конфиге подключения, а не вручную добавлять.
Не, виндовый VPN я запускаю со своей машины, которая же и является OpenVPN-сервером.
>И почему у тебя гейтвей не лежит в диапазоне той подсети, куда ты пытаешься подключиться?
Гейтвеем является моя машина, 10.100.10.1 — это адрес VPN-интерфейса.
к айпишникам, лежашим в диапазоне 192.168.30.0 - 192.168.30.255 надо обращаться через гейтвей 10.100.10.1, который (очевидно) в этот диапазон не попадаетА он и не обязан никому попадать в этот диапазон. Зачем?
Какие еще будут советы?я в этом ничего не понимаю, но на технете есть статья, где рекомендуют при использовании RRAS маршруты добавлять через него же
Какие еще будут советы?Я б посоветовал с каждого интерфейса попинговать другие, при включенном RRAS и при выключенном. с пингов начинают искать проблемы... и смотреть команды ипкофиг и роутпринт.
,
route add 192.168.30.0 mask 255.255.255.0 10.100.10.1 говорит, что все, что относится к 192.168.30.0 нужно кидать на 10.100.10.1. Пакеты от 10.100.10.1 идут на 10.100.10.2, который является VPN-сервером и роутит их в подсеть 192.168.30.0. Я всегда при подключении маршруты прописывал, чтобы в туннель заворачивался только нужный трафик. По умолчанию при создании подключения весь трафик в туннель идет, а отвечает за это опция
,
Ага, я ее тоже читал. Подстава в том, что нельзя добавить маршрут на VPN-интерфейс, его просто нет в списке:
,
А как с одного интерфейса пинговать другие? И главное, зачем? Фишка в том, что я не могу добавить нужный маршрут, но не знаю, почему.
route add 192.168.30.0 mask 255.255.255.0 10.100.10.1 говорит, что все, что относится к 192.168.30.0 нужно кидать на 10.100.10.1. Пакеты от 10.100.10.1 идут на 10.100.10.2, который является VPN-сервером и роутит их в подсеть 192.168.30.0. Я всегда при подключении маршруты прописывал, чтобы в туннель заворачивался только нужный трафик. По умолчанию при создании подключения весь трафик в туннель идет, а отвечает за это опция
,
Ага, я ее тоже читал. Подстава в том, что нельзя добавить маршрут на VPN-интерфейс, его просто нет в списке:
,
А как с одного интерфейса пинговать другие? И главное, зачем? Фишка в том, что я не могу добавить нужный маршрут, но не знаю, почему.
10.100.10.1Вот это чей интерфейс? Того впн-подключения, которое ты создаёшь виндовым способом? Если да, то этот роут по-хорошему должен прописывать ВПН-сервер. Он тоже у тебя стоит, или это сторонний провайдер?
Подстава в том, что нельзя добавить маршрут на VPN-интерфейс, его просто нет в списке:в этом наверное и проблема
может в RRAS как-то по-особенному надо добавлять dial-up интерфейсы?
UPD: тут намекают что таки да
http://social.technet.microsoft.com/Forums/ru-RU/windowsserv...
Если да, то этот роут по-хорошему должен прописывать ВПН-сервер.Там обычный PPP, насколько я помню нет в нём такой фичи.
Нет других гуру. Какие еще будут советы?Продолжай грызть кактус!
,
10.100.10.1 — это адрес VPN-адаптера на моей машине, то есть на клиенте.
,
Большое спасибо за наводку. Я решил проблему, завтра еще немного потестирую и напишу, в чем было дело.
,
Мда, ты бесполезен.
10.100.10.1 — это адрес VPN-адаптера на моей машине, то есть на клиенте.
,
Большое спасибо за наводку. Я решил проблему, завтра еще немного потестирую и напишу, в чем было дело.
,
Мда, ты бесполезен.
Мда, ты бесполезен.гугл полезен, мог бы и без доброфорумчан там поискать
гугл полезенПеред тем как спросить на доброфоруме, я и гуглил, и экспериментировал. Более того, я вспомнил, что уже пытался создавать VPN-подключение в самом RRAS. А сейчас проблема решилась вот так:
1) Создал VPN-подключение в самом RRAS. Для этого пришлось переключить вот эту опцию:
.2) Настроить VPN-подключение так, чтобы оно подключалось, я не смог. В логе была вот такая фигня:
A Demand Dial connection to the remote interface Remote on port VPN3-4 was successfully initiated but failed to complete successfully because of the following error: A connection to the remote computer could not be established. You might need to change the network settings for this connection.3) Провозившись какое-то время с RRAS'ом, я просто попробовал включить VPN из-под своего аккаунта и добавить роуты по старинке. И это сработало!
4) Экспериментальным путем выяснил, что если включена опция из 1 то route add прекрасно отрабатывает, не ругаясь, что «The parameter is incorrect».
1) Создал VPN-подключение в самом RRAS. Для этого пришлось переключить вот эту опцию:Да!
Дружественная к пользователю операционая система настривается только тычками пальцем в небо, смысл которых никому всё равно не ясен!
Так держать!
может им циска отстёгивает, чтоб они софт для роутеров нормальный не делали
может им циска отстёгивает, чтоб они софт для роутеровСкорее так.нормальныйне делали
циска тоже не подарок, можно было бы в плане удобства много чего улучшить, конкуренция от MS за корпоративный сегмент могла бы быть серьёзной мне кажется
циска тоже не подарок, можно было бы в плане удобства много чего улучшить, конкуренция от MS за корпоративный сегмент могла бы быть серьёзной мне кажетсяНу Циска да, не идеальна. Но MS... всё же не стоит.
Да и потом у них же есть конкуренты.
Ну Циска да, не идеальна. Но MS... всё же не стоит.Почему не надо, типа опасаешься что 90% твоей работы будет делать обычный эникейщик?
Да и потом у них же есть конкуренты.Не с таким громким именем.
не раньше, чем MS починят (сделают) неломающийся source-based routing в своей серверной линейке. В 2003м он у них разломан.
а он был? 
всегда думал, что это отдельным софтом делают
вот может сломали по той же причине
всегда думал, что это отдельным софтом делают
вот может сломали по той же причине
он там как бы есть - 2 одинаковых маршрута на разные интерфейсы.
почему ты думаешь, что это source based?
Почему не надо, типа опасаешься что 90% твоей работы будет делать обычный эникейщик?Нет, потому что работа сети в их операционках, ISA — это полный пиздец. Впрочем как и многие их поделия. Думаю, что эникейщика базовым навыкам можно так же обучить 90% моей работы. Ведь базовые сетевые знания всё равно нужны будут.
Да ладно, разве циска прям единственный сетевой производитель с именем?Да и потом у них же есть конкуренты.Не с таким громким именем.
Нет, потому что работа сети в их операционках, ISA — это полный пиздец. Впрочем как и многие их поделия.Ну если в конторе всё равно всё на виндовых серверах, то, мне кажется, и роутеры на винде купили бы с радостью - больше единообразия. Правда, L2-коммутаторы всё равно нужны, но их и через веб-интерфейс настраивать нормально и вообще нету того ореола таинственности, так как есть мыльницы по условно 500р и работают же.
Ну если в конторе всё равно всё на виндовых серверах, то, мне кажется, и роутеры на винде купили бы с радостью - больше единообразия.Так ведь PC-роутеры можно сделать же.
> Так ведь PC-роутеры можно сделать же
на красноглазом линупсе или ещё какой фре? это не энтерпрайзно
в то время как винда - это глобально и надёжно, как и циска
на красноглазом линупсе или ещё какой фре? это не энтерпрайзно
в то время как винда - это глобально и надёжно, как и циска
на красноглазом линупсе или ещё какой фре? это не энтерпрайзноНадеюсь это сарказм?
в то время как винда - это глобально и надёжно, как и циска
надеюсь понятно, чем для компании (причём не телеком-специализации) решения от именитого вендора лучше наколеночных поделок?
и почему лучше, когда вендоров поменьше?
и почему лучше, когда вендоров поменьше?
Ты это серьёзно думаешь, что в Ынтерпрайзе будут использовать мастдаи на роутерах вместо специализированных железок?
Только в малых офисах такое встречается. Что-то чуть покрупней или заводят железку или админа, который ставить linux/bsd.
И не забудь redhat, novell, oracle и canonical рассказать, что их поделия наколенные - пусть посмеются.
Только в малых офисах такое встречается. Что-то чуть покрупней или заводят железку или админа, который ставить linux/bsd.
И не забудь redhat, novell, oracle и canonical рассказать, что их поделия наколенные - пусть посмеются.
> Так ведь PC-роутеры можно сделать жеТак я же венду имел в виду.
на красноглазом линупсе или ещё какой фре? это не энтерпрайзно
в то время как винда - это глобально и надёжно, как и циска
Можно из неё ынтерпрайзный роутер сделать.
Потому что это есть его частный случай.
Ты это серьёзно думаешь, что в Ынтерпрайзе будут использовать мастдаи на роутерах вместо специализированных железок?Если будет такой официально позиционируемый под роутер продукт, то будут. Используют же файлсервера на мастдае вместо специализированных NAS.
И не забудь redhat, novell, oracle и canonical рассказать, что их поделия наколенные - пусть посмеются.Они не готовы роутить "искаропки". Пока сделаешь нормальный роутер, глаза сильно покраснеют и коленки устанут. Потом тебе нельзя будет толком в отпуск уйти, потому что никто другой в этом поделии не разберётся, если с ним что-то не так пойдёт.
Вспомнил бы лучше Vyatta и Mikrotik. Но это существенно менее громкие имена, большинство контор побоятся связываться.
Если будет такой официально позиционируемый под роутер продукт, то будут. Используют же файлсервера на мастдае вместо специализированных NAS.Так а чем та же венда с RRAS и ISA (хз как там это всё называется) не роутер? И вроде даже юзают её некоторые для этих целей. Или ты про другое речь ведёшь, бордер и подбные?
Так а чем та же венда с RRAS и ISA (хз как там это всё называется) не роутер?Ну типа тред начался с того, что она как будто специально сделана неудобной.
Ну типа тред начался с того, что она как будто специально сделана неудобной.Ты намекаешь, что MS просто не хотели её сделать удобной. А если бы захотели, то всё было бы заебись?
Ты намекаешь, что MS просто не хотели её сделать удобной. А если бы захотели, то всё было бы заебись?Пока я вижу, что мс умеет делать ПО только для манагеров, чтобы те выбрали его, но не для специалистов, которым с ней работать (в корпоративном сегменте).
Они не готовы роутить "искаропки". Пока сделаешь нормальный роутер, глаза сильно покраснеют и коленки устанут.
Я настраиваю на FreeBSD - начиная с установки железа и заканчивая готовностью хватает 8чч растянутых на дня на 2, максимум 3. Это самая пессимистичная оценка.
Оптимистичная - 4 чч за 4 часа.
Потом тебе нельзя будет толком в отпуск уйти, потому что никто другой в этом поделии не разберётся, если с ним что-то не так пойдёт.А что с той же циской не так и любой младший помощник сисадмина сможет что-то сделать самостоятельно?
Да и с мастдаём тоже самое. Везде нужен специалист, когда что-то пойдёт не так.
Я настраиваю на FreeBSD - начиная с установки железа и заканчивая готовностью хватает 8чч растянутых на дня на 2, максимум 3.это потому что ты уже красноглаз
и в общем-то это много времени
и в общем-то это много времениЛюбим выдерать из контекста. Ты прочитай следующие 2 предложения.
Не поверю, что на установку и настройку мастдая уйдёт меньше времени.
Только установка системы, дров и основного ПО займёт 4 часа чистого времени. А дальше ибаццо с настроками.
А туже фрю чтобы начать роутить нужно установить - минут 20-30 максимум, прописать ip, включить роутинг между интерфейсами и даже включить нат - это ещё 5 мин.
В итоге меньше часа для дефолтной ностройки роутера.
В мои 8 чч и 2-3 дня входит апдейт системы до RELENG_N_M, пересборка мира и ядра под железо, установка служебного софта, а так же кастомные конфиги роутинга и ната.
А что с той же циской не так и любой младший помощник сисадмина сможет что-то сделать самостоятельно?Любой цисковод сможет что-то сделать, потому что там один конфиг, где всё написано.
Любой цисковод сможет что-то сделать, потому что там один конфиг, где всё написано.Где ты наберёшь столько цисководов? Админов linux/bsd существенно проще найти, да и инфа по ним гуглится куда проще.
ну во фре это тоже вообще говоря 1, максимум 2 конфига - если считать rc.conf (3 в извращенных случаях - любители ipfw могут хотеть юзать altq). Ну если болееменее почеловечески все сконфигано.
Если он так сильно акцентировал на количество конфигов, то да - во фре, касающихся роутинга конфигов, действительно мало. И это точно не проблема, что кто-то в них запутается.
Где ты наберёшь столько цисководов? Админов linux/bsd существенно проще найти, да и инфа по ним гуглится куда проще.С этого места ты уже категорически не прав. Цисководов в России ровно столько сколько выдано сертификатов, и искать их соответственно легко. А админов опенсорца очень сложно оценить, кто из них красноглаз, а кто специалист. Девочке (или тёте) из HR это точно не под силу.
ну во фре это тоже вообще говоря 1, максимум 2 конфига - если считать rc.confа если динамическая маршрутизация?
а если vpn?
а если кто-то изменения внёс в рабочую кофигурацию, а в конфиг-файл не добавил - как это узнать? а младший помощник сисадмина скорее всего так и сделает - как за ним почистить?
А админов опенсорца очень сложно оценить, кто из них красноглаз, а кто специалист.Причём далеко не факт, что просто нормальный админ знает специфику роутеров.
а если динамическая маршрутизация?А для этого нет каких-нибудь специальных дистрибутивов для домохозяек.
а если vpn?
а если кто-то изменения внёс в рабочую кофигурацию, а в конфиг-файл не добавил - как это узнать? а младший помощник сисадмина скорее всего так и сделает - как за ним почистить?
Есть специальные дистрибутивы для роутеров, но у них недостаточно громкие имена - не годятся для энтерпрайза.
Только установка системы, дров и основного ПО займёт 4 часа чистого времени. А дальше ибаццо с настроками.Типа можно же купить сервак с предустановленной виндой.
А туже фрю чтобы начать роутить нужно установить - минут 20-30 максимум, прописать ip, включить роутинг между интерфейсами и даже включить нат - это ещё 5 мин.Ну на винде это сильно сложнее разве?
А вот у чела vpn разных видов - тут-то ты и потрахаешься с фрёй. Там хотя бы метрики у маршрутов сделали уже? В винде есть, и vpn-клиент этим пользуется.
Пока я вижу, что мс умеет делать ПО только для манагеров, чтобы те выбрали его, но не для специалистов, которым с ней работать (в корпоративном сегменте).В данном случае почему-то не очень получилось, ну по крайней мере по твоим же словам.
Оставить комментарий
saveliev_a
Привет.Подскажите, плз, как решить проблему.
Есть комп с 2003 виндой, на котором поднят OpenVPN и Routing and Remote Access, чтобы можно было выходить через свой комп, например, при незапароленном WiFi.
Сейчас есть необходимость с этого компа подключаться к VPN. В параметрах VPN-соединения указано, что весь трафик заворачиваться в VPN не будет. Подключаюсь успешно, появляется новый адаптер с адресом 10.100.10.1. Далее пытаюсь добавить маршрут в сетку 192.168.30.х
и получаю ошибку
Если выключаю Routing and Remote Access, то маршрут добавляется корректно.
В итоге нужно сделать, чтобы работал и OpenVPN, и RRAS, и VPN.
Upd. Перенесите, плз, в ХнС.