МГТС, VPN - суслика нет... #787990

МСК, VUNC, GPON работало несколько лет, все ок. в пятницу утром "внезапно" из дома не смог законнектиться виндявым штатнымм VPN-ом в офис. Коннект вроде идет, но стопорится на проверке пользователя/пароля, долбится, долбится и вываливается с ошибкой 800. Пообщался с техподдержкой мгтс, да, сказали есть такое..., надо вам статичный ИП брать. А это 250 руб/мес добавочно. не, меня эти 200 руб/меся не жмутт (пока) но, блин, "обидно". То есть работало-работало а сейчас нате вам... Итого: никак не обойти сию ситуацияю, чтобы по прежнему коннектится на офис через впн?

Врут. Нагло. Вчера не было ограничения, сегодня появилось?

Я из-за такой фигни отказался от МГТС...

Переходите на openvpn, ему белый адрес на обоих сторонах не обязателен

Вчера давали белые адреса, а теперь они кончились и начали давать серые.. у нашего ростелекома то же самое. С вероятностью 30% могут дать серый адрес.

так очень трудно давать советы. Надо понимать, какой протокол используется для VPN, что в качестве сервера - железка, программа... Вообще современные VPNы для удаленщиков в большинстве случаев позволяют работать с кривым IP на стороне клиента, но иногда встречаются настолько забубенно настроенные NATы, что добиться нормального прохождения шифрованных пакетов нельзя. Уродуют они их. Тогда только другой провайдер, ну или докидывать денех чтобы пускали напрямую.

винды, сервер 2003. впн стандартный виндявый

а почему нет. Есть такое понятие - "хорошо, пока хорошо". А с какого-то момента все становится плохо. Например, пул белых IP кончается из-за роста клиентской базы, а взять негде.

PPTP?

Если да, то с большой долей вероятности ничего не получится. Не предназначен он для прохождения через NAT. Смотрите либо в сторону IPSec L2TP со включенным NAT-T, либо в сторону .

а это где посмотреть надо?

в свойствах ярлыка, которым осуществляется соединение с сетью предприятия.

не получается..., такие вот настройки есть, (вин7) и сертификат просит (где его брать/генерить)..?

А что именно не получается? "В лоб" поменять протокол и не получится, потому что сначала надо настроить сервер. Настройка IPSec на Win2003 дело довольно нетривиальное, поэтому лучше купить какую-нибудь железочку вроде Mikrotik и сделать на нем. Если же нет желания ничего докупать в контору, то можно настроить OpenVPN, как посоветовал . Руководств по настройке в сети довольно много.

Что за бред? Как можно сделать VPN при отсутствии белого IP?

При наличии внешнего сервера?

узнай, может они кроме ipv4 еще и ipv6 раздают. Через ipv6 нормально все работать должно.

С PPTP возникают проблемы из-за блокирования GRE. Переходи на другой протокол, и нет проблем. Непонятно чего они там вам навешали насчет статичного.

ну так белый на внешнем все рано есть

При наличии любого сервера имеющего белый IP - возможно. Без такового - невозможно.

Сейчас я так понимаю у вас белый динамический адрес не сервере?

Трафик к статике не проходит через nat, режущий gre. Менять ради одного пользуна настройки железок пула адресов никто не будет.

Сервак в офисе с белым статичным айпиДома мгтс

GRE протокол идёт отдельно, и там адрес отправителя и адрес получателя - те, которые были при установке соединения. Если NAT его не преобразует, то имеем проблему. Вполне вероятно, что народ готовится к новому году и включил торрент-клиенты - они через uPNP забирают себе все порты, а портов всего 65 тыс. - кому-то не хватает. P.S. можно попробовать вписать в Vpn получение реального Ip через uPNP, если оно у провайдера работает - иногда - чудеса случаются и в хорошую сторону.

Тогда понятно. С вашей стороны режется GRE, такое обычно у мобильных провайдеров, но встречается и у обычных. Можете купить белый адрес домой, чтобы избавиться от ната провайдера. Хотя если он вам дома больше ни для чего не нужен, особого смысла нет. Можете поднять в офисе другой сервер VPN которому пофиг на GRE, тот же OpenVpn или что лучше более "родной" l2tp

наверное попробуем, может сисадмин сподобится поднять иной ВПН. ну, на крайняк куплю статичный ИП - привык я без проблем из дому в офис коннектится...

в выходные настраивал впн дома для жены на ее работу. ппц. не соединяется и точка. долго висит.. Причем мои коннекты впн работают .. отключил файрволл др веба.. заработало. что, где как. х.з.

>а портов всего 65 тыс. - кому-то не хватает. А еще из-за таких как они интернет скоро кончится - весь выкачают.

Ну работающий торрент у одного клиента спокойно может 500портов занять.

И что? nat, он не только статичный, как на ваших домашних роутерах бывает.

Не совсем понял смысл фразы. Что такое статичный нат? И разговор вроде про провайдера, а не про домашний роутер.

Сисадмин покопался малость, сказал хрен там, у провайдера зарублено/ненастроено, четотам (GRE?) не проходит. сказал попробует/поэкспериментирует ОпенВПН поднять. тут еще надо понять будет ли опенвпн работать и не мешать штатному виндявому впн

пока в обход хожу, далеко, неудобно, гопники всякие

Ну что GRE это однозначно, я об этом в и говорил. ОпенВПН поможет и мешать никому не будет, GRE используется только в PPTP, хотя я вот не понимаю зачем опенвпн корячить на сервер, когда есть штатный L2TP.

хз, я в этом не силен. сисадмин вроде и L2TP смотрел - тоже не идет...

на всякий случай отписал ему это твое замечание

под l2tp в качестве транспорта надо поднимать IPSec, а я, сказать честно, ещё не видел героя который сделал бы это на w2003 сервере.

Если есть железка типа микротика или ещё какого подобного шлюза - тогда другое дело. Но вот на винде... не знаю.

> надо вам статичный ИП брать. А это 250 руб/мес добавочно выбери тариф по-дороже -- у тебя будет реальный IP

Галку сними с пароля CHAP. Собстна, l2tp использует только TCPIP. Если перестал работать и смена типа пароля непомогает - знает провайдет прикрылся чемто ворде сквида, так что покупать белый ип только

PPTP, как я понимаю, в основном и выбирают в качестве VPN, потому что практически ничего кроме виндового сервака и белого ип не надо, а настроить можно за час по мурзилке, скачанной с нета. Это его единственные достоинства. Со всем остальным голову прикладывать гораздо сильнее приходится, и допоборудование может потребоваться.

С чего бы?

Сомневаюсь. По крайней мере не видел такого. Есть провайдеры которые всем дают белый адрес вне зависимости от тарифа, есть провайдеры которые дают белый адрес по запросу. Но вот привязывать наличие белого адреса к цене тарифа - с таким не сталкивался.

подключал друга к мгтс и задал все вопросы На тарифе в 300р -- серый ip, дороже - реальный, но динамический

а следующий после 300 - скольо?

что с чего? С чего поднимать или с чего не видел?

достаточно часто такое бывает у дешевых провайдеров. За двести рублев дают дерьмоинтернет с серым ип чисто для сёрфинга, где кроме оного почти ничего нельзя. А хочешь зауми типа випиэнов или чего подобного - плати минимум 400 и все будет.

повезло, у меня изначально не взлетел после того как коробочку около двери повесили

да вот злит что кучу лет все работало нормально, а тут на тебе! ну не верю я что зхорошо, а потому х..к! плохо! по собственному опыту это когда либо неспецов набирают на участик либо всем похрен

у мну нормально. по кабелю вообще класс, апо вифи момех от соседей много - но скорсоти вполне хватает...

убрали судя по описанию

все может быть. Дело в том что белые ипы становятся дорогим ресурсом, переезжать под v6 не хочется, вот и изобретают сегментацию рынка - нескольких Васей с браузерами не серый ип через нат и один айпи, а более требовательным белый и цену задрать.

* на серый

В l2tp нет шифрования трафика вообще. Если в pptp худо-бедно что-то встроенное есть, в l2tp предполагается, что этим вопросом озаботится тот кто поднимает соединение. Поэтому все промышленные решения vpn на базе l2tp используют IPSec в качестве транспорта. Со своей отдельной авторизацией по сертификатам или по shared key. Посмотрите микротик тот же, там как раз так и делается.

я короче жду когда админ что-то подымет. сказал опенвпн попробует. сейчас прокинул свистком мимо шлюза. в принципе работает но неудобно, приходится на свой рабочий комп, а скомпа уже на сервер... да и скорость поменьше, чувствуется

Была такая же ситуация на ADSL. Неделю они разбирались, потом 2 часа доказывал их администраторам что проблема не на моей стороне. Потом они со скрипом признались что для VPN нужен белый IP. Сейчас GPON(с белым IP), проблем нет

Я в курсе как работает связка l2tp + IPSec. Вопрос в другом. Почему  для работы l2tp нужен IPSec, если он и без него прекрасно работает?

Ну у меня Ростелеком. На любом тарифе - реальный динамический, хочешь статику доплачиваешь 50руб. В другом городе, тот же Ростелеком - у всех серый адрес, доплачивашь 50рублей получаешь белый статический. В любом случае пока не попросишь белый статический тебе его не дадут. А тарифы только скорость регулируют. Пофиг 10мегабит у тебя или 200мегабит.

Наоборот у дорогих.

я не говорил что ipsec нужен для работы l2tp. Я сказал что поднять ipsec надо. Почему надо - потому что vpn, в которым конторский трафик ходит открытым текстом, вряд ли кому-то нужен.

Заблокирован gre = смена протокола или провайдера. И всё, нефиг раздувать.

ну, это с какой стороны посмотреть. "Дешевыми" провайдерами я обычно называю тех, кто лепит по подъездам листовки "интернет за 200 р". Я в свое время сам так попал с Сумтелом - подключился за 250 р, а у меня IPSec даже через NAT-T начал работать через раз и рваться. Звоню - они говорят - все нормально, так и надо. Доплачивайте 150 и все будет работать. Так и получилось.

Ну как правило VPN делают для создания тоннеля, иного бывает что и шифрование требуется.

Ну дешевые это те у кого интернет дешевый. Вроде того же Ростелекома. Т.е дешевые это крупные провайдеры как правило с развитой инфраструктурой. А всякая серая мелочь, что лепить листовки в подъездах это дорогие провайдеры.

я бы сказал, что оно не требуется только тогда, когда подключение происходит к общедоступному шлюзу, о котором знают тысячи людей, и достаточно авторизации. Типичный пример - интернет-провайдеры. Шифрование не их забота, а авторизация нужна для биллинга и отсева "зайцев". Но вот если VPN делается именно для доступа в локалку частной конторы, то я как-то с трудом себе представляю, как это можно делать без шифрования.

Если по этому VPN-у потом HTTPS идёт, то двойное шифрование не так уж и надо.

а что мешает взять хостинг С VDS и поднять на нем VPN для сети если у совсем прижало то можно заюзать зараза из серии поднимет VPN даже по DNS протоколу :) гы гы

Да им любой TCP тунель подойдёт, просто, стандартные Vpn они немного через другие протоколы работают, и режутся на раз. А при желании, Vpn можно и поверх Http-запросов сделать - только нужно ли ?

Конечно, в этом случае вообще можно прокидкой/открытием портов на фаере обойтись. Но ведь VPN как раз обычно и создают тогда, когда требуются все возможности локальной сети и может быть заранее неизвестно, какой трафик пойдет в будущем. В теории возможен любой.

Это я писал к тому, что можно сначала прокинуть Vpn без шифрования, который через кривые NAT-ы пролезет, а потом, поверх него Vpn с шифрованием и протоколом GRE, он-то пройдёт через первый кривой Vpn. Я, конечно, понимаю, что яйцо в утке, а утка в зайце - не наш метод, но, если будет работать, по, почему бы и нет.

Нет особого смысла, мне кажется. Все уже придумано до нас, в том числе и протоколы VPN, которые проходят через NAT.