Velcom+VPN?

Хочу узнать пропускает ли велком GRE-пакеты или надо юзать OpenVPN?

http://forum.onliner.by/viewforum.php?fkeyw=vpn&f=8

Casper:

OpenVPN

Не только. L2TP адаптированный для работы через NAT тоже работает.

Доброго вечера (утра, дня, ночи) господа!!

Недавно освободился от работы, кстати говоря по теме топика (простите за тавтологию).

Итак, уже неоднократно обсуждалось, что настройка VPN у нашего любимого оператора дело весьма и весьма геморройное, ибо GRE трафик через нашего оператора не ходит (NAT, батенька, и FreeBSD, безопасность, все дела). Ввиду острой необходимости в организации VPN через GPRS пришлось немало потрудиться. Однако, как ни странно, времени на это ушло совсем немного. И что самое главное - получилось.

Итак, начнем.

Для работы нам понадобится:

1. Интернет.

2. Компьютер или сервер с установленной системой Windows Server 2003, подключенный к п. 1.

3. Установочный диск Windows Server 2003, если п. 2 выполняется неполностью.

4. Тестовая машина с операционной системой, поддерживающей L2TP.

Итак, устанавливаем серверную операционную систему, и начинаем ее настройку. Заходим в "Маршрутизацию и удаленный доступ", настраиваем сервер удаленного доступа. Добавляем порты L2TP, устанавливаем пул адресов для выдачи клиентам удаленного доступа. Далее заходим в свойства маршрутизатора, устанавливаем ПРЕДВАРИТЕЛЬНЫЙ КЛЮЧ для IPSec. Это нужно для того, чтобы не устанавливать сертификаты на сервер удаленного доступа и клиентские машины. Если сертификаты уже установлены, этот пункт можно опустить.

Затем создаем подключение по требованию, добавляем его в диспетчер маршрутизации, включаем на нем NAT. Словом, делаем все, как будто хотим настроить Интернет для кучи пользователей (как обычно и делается на предприятиях). Теперь заходим в свойства NAT для интерфейса вызова по требованию или другого подключения к Интернет, и ставим там портмаппинг на адрес сервера удаленного доступа (кстати, у меня сервер удаленного доступа и шлюз в Интернет территориально разнесены ) следующие порты: IKE, IKE NAT, L2TP, PPTP).

Все, сервер удаленного доступа и маршрутизатор готовы. Осталось выполнить несколько заключительных этапов.

В оснастке "Пользователи и компьютеры" или "Active Directory" создаем учетные записи с правами удаленного доступа.

Теперь самое магическое. На клиентской машине, которая будет подключаться к серверу удаленного доступа, необходимо прописать следующий параметр в реестре:

HKLM\SYSTEM\CurrentControlSet\Services\IPSec AssumeUDPEncapsulationContextOnSendRule DWORD 2

Все, теперь L2TP трафик может ходить через NAT!!

Схема проверена на наладоннике HP2200 iPAQ и обычной клиентской машине.

2MODs: Считаю, что тему можно перенести в FAQ и закрыть.Доброго вечера (утра, дня, ночи) господа!!

Недавно освободился от работы, кстати говоря по теме топика (простите за тавтологию).

Итак, уже неоднократно обсуждалось, что настройка VPN у нашего любимого оператора дело весьма и весьма геморройное, ибо GRE трафик через нашего оператора не ходит (NAT, батенька, и FreeBSD, безопасность, все дела). Ввиду острой необходимости в организации VPN через GPRS пришлось немало потрудиться. Однако, как ни странно, времени на это ушло совсем немного. И что самое главное - получилось.

Итак, начнем.

Для работы нам понадобится:

1. Интернет.

2. Компьютер или сервер с установленной системой Windows Server 2003, подключенный к п. 1.

3. Установочный диск Windows Server 2003, если п. 2 выполняется неполностью.

4. Тестовая машина с операционной системой, поддерживающей L2TP.

Итак, устанавливаем серверную операционную систему, и начинаем ее настройку. Заходим в "Маршрутизацию и удаленный доступ", настраиваем сервер удаленного доступа. Добавляем порты L2TP, устанавливаем пул адресов для выдачи клиентам удаленного доступа. Далее заходим в свойства маршрутизатора, устанавливаем ПРЕДВАРИТЕЛЬНЫЙ КЛЮЧ для IPSec. Это нужно для того, чтобы не устанавливать сертификаты на сервер удаленного доступа и клиентские машины. Если сертификаты уже установлены, этот пункт можно опустить.

Затем создаем подключение по требованию, добавляем его в диспетчер маршрутизации, включаем на нем NAT. Словом, делаем все, как будто хотим настроить Интернет для кучи пользователей (как обычно и делается на предприятиях). Теперь заходим в свойства NAT для интерфейса вызова по требованию или другого подключения к Интернет, и ставим там портмаппинг на адрес сервера удаленного доступа (кстати, у меня сервер удаленного доступа и шлюз в Интернет территориально разнесены ) следующие порты: IKE, IKE NAT, L2TP, PPTP).

Все, сервер удаленного доступа и маршрутизатор готовы. Осталось выполнить несколько заключительных этапов.

В оснастке "Пользователи и компьютеры" или "Active Directory" создаем учетные записи с правами удаленного доступа.

Теперь самое магическое. На клиентской машине, которая будет подключаться к серверу удаленного доступа, необходимо прописать следующий параметр в реестре:

HKLM\SYSTEM\CurrentControlSet\Services\IPSec AssumeUDPEncapsulationContextOnSendRule DWORD 2

Перезагрузка обязательна!!

Затем создаем подключение L2TP, вводим IP сервера (глобальный IP, разумеется ), имя пользователя, пароль, домен (если имеется), а также предварительный ключ IPSec.

Все, теперь L2TP трафик может ходить через NAT!!

Схема проверена на наладоннике HP2200 iPAQ и обычной клиентской машине.

2MODs: Считаю, что тему можно перенести в FAQ и закрыть.

присоединяюсь

PPTP не работает. GRE не ходит. Вопрос закрыт.

Для этого существует обратная связь. Письма, обращения. Пользовать другие протоколы инкапсулирующие религия не позволяет?

EXEMOK, выбор есть всегда. Либо VELCOM, либо МТС. Какие проблемы? А еще есть выбор пользоваться или нет.

Слухи слухами, а где реально работающие услуги?

Варианты решения проблемы:

1. Переехать туда, где пахнет МТС-ом.

2. Отказаться либо от GPRS/EDGE, либо от VPN, либо от обоих услуг/протоколов.

3. Использовать другие услуги и протоколы, отличные от PPTP.

4. Проспонсировать МТС, чтобы им запахло там, где нужен GPRS/EDGE и VPN одновременно.

Реально, Andre, ты хочешь электросчетчики подрубить?

Andre:

Vintozver, А чем моё решение - пинать Велком, чтобы заработал ВПН, хуже предложенных?

Почему-то мне кажется что в данном конкретном случае запинать МТС чтобы он появился там где надо получится быстрей. Кстати у них же официально покрытие уже больше Велкомовского, поэтому странно что их нет там где есть Велком.