no nie koniecznie, Przecież pula adresów może być inna dla vpn. jako adres vpn w tej regule nat ustaw 192.168.120.x gdzie x to id sieci bo nie wiem jaką masz maskę.
Powinno wtedy działać jeśli nie, możesz ustawić by dostawały adres z sieci takiej jak ma serwer.
najlepiej by było gdybyś dał coś jak graf tej sieci
VPN, PPTP i konfiguracja bramy zdalnej
Mogę zakres dhcp zmienić na serwerze na 192.168.0.220-230. Wtedy serwer będzie w tej samej podsieci. Maska jest 255.255.255.0, więc za x rozumiem, że mam wstawić 255.
Rozumiem, że serwer 192.168.0.250 będzie bramą, ale jak to ustawić na klientach skoro one ustawienia dostają z dhcp i wtedy nie ma możliwości ręcznego podania bramy, a bramą staje się ruter 192.168.0.1.
Rozumiem, że serwer 192.168.0.250 będzie bramą, ale jak to ustawić na klientach skoro one ustawienia dostają z dhcp i wtedy nie ma możliwości ręcznego podania bramy, a bramą staje się ruter 192.168.0.1.
W tym wypadku za x podstawiasz 0.
Dostają z dhcp, czy też może od serwera vpn? Nie wiem jak to wygląda w PPTP i czy są tam komendy wymuszające bramę ale na klientach możesz zaznaczyć w ustawieniach karty sieciowej vpn (tej wirtualnej), że chcesz by brama się nadpisywała w trakcie połączenia na tą z vpn.
Dostają z dhcp, czy też może od serwera vpn? Nie wiem jak to wygląda w PPTP i czy są tam komendy wymuszające bramę ale na klientach możesz zaznaczyć w ustawieniach karty sieciowej vpn (tej wirtualnej), że chcesz by brama się nadpisywała w trakcie połączenia na tą z vpn.
Powoli zaczynam Cię rozumieć. Dostają adresy z serwera vpn w tym zakresie, który podałem.
Faktycznie, na klientach jest możliwość korzystania z bramy zdalnej lub niekorzystania z bramy zdalnej.
Kiedy korzystam z bramy zdalnej mam dostęp do zasobów sieci, ale nie mam internetu. Kiedy nie korzystam z bramy zdalnej, to mam internet, ale nie mam dostępu do sieci (a przynajmniej utrudniony znacznie).
Postaram się zrobić to według Twoich wskazówek, bo już mi trochę świta. Dam znać jak mi poszło (ale to wieczorem).
Teraz ostatnie pytanie: w połączeniu vpn klient dostaje adres serwera 192.168.0.250 i oczywiście adres IP z puli vpn, więc adres serwera, czy to jest to samo, co brama przy zwykłym połączeniu?
Faktycznie, na klientach jest możliwość korzystania z bramy zdalnej lub niekorzystania z bramy zdalnej.
Kiedy korzystam z bramy zdalnej mam dostęp do zasobów sieci, ale nie mam internetu. Kiedy nie korzystam z bramy zdalnej, to mam internet, ale nie mam dostępu do sieci (a przynajmniej utrudniony znacznie).
Postaram się zrobić to według Twoich wskazówek, bo już mi trochę świta. Dam znać jak mi poszło (ale to wieczorem).
Teraz ostatnie pytanie: w połączeniu vpn klient dostaje adres serwera 192.168.0.250 i oczywiście adres IP z puli vpn, więc adres serwera, czy to jest to samo, co brama przy zwykłym połączeniu?
Teoretycznie tak, gdyż poprzez adres serwera vpn łączysz się z siecią zdalną, więc on wtedy robi bramą dla klienta. Natomiast później pracuje jak ruter i przesyła pakiety do rutera w lokalizacji sieci by było połączenie z internetem.
Powiem ci tak, coś musisz mieć zepsute w konfiguracji, bo pomijając fakt, że możesz to zrobić tak jak ja mówię, to nie powinna mieć miejsca sytuacja gdzie masz nadpisywaną twoją bramę domyślną.
Powinieneś dostać wpis do tablicy rutingu na temat jak łączyć się z siecią zdalną i tyle.
Połączenie z internetem, powinieneś mieć normalnie, na swoim adresie i dostęp do sieci zdalnej szyfrowany. tunelem przez serwer vpn.
Zastanawia mnie, czy faktycznie ustawienie adresacji takiej samej jak sieć lan, po stronie serwera nie rozwiązałoby problemu, ale trochę to nie logiczne by było.
Powiem ci tak, coś musisz mieć zepsute w konfiguracji, bo pomijając fakt, że możesz to zrobić tak jak ja mówię, to nie powinna mieć miejsca sytuacja gdzie masz nadpisywaną twoją bramę domyślną.
Powinieneś dostać wpis do tablicy rutingu na temat jak łączyć się z siecią zdalną i tyle.
Połączenie z internetem, powinieneś mieć normalnie, na swoim adresie i dostęp do sieci zdalnej szyfrowany. tunelem przez serwer vpn.
Zastanawia mnie, czy faktycznie ustawienie adresacji takiej samej jak sieć lan, po stronie serwera nie rozwiązałoby problemu, ale trochę to nie logiczne by było.
Zrobiłem według Twoich zaleceń i troszkę się poprawiło.
Ruter 192.168.0.1
Serwer ma stały IP 192.168.0.250 i chodzi jako brama dla klientów VPN
DHCP na routerze od 100 do 199
DHCP na serwerze 192.168.0.220-230
Maskarada zrobiona wg. Twoich zaleceń:
W tej chwili, przy odznaczonej bramie zdalnej mam dostęp do wszystkiego w sieci zdalnej i dostęp do internetu. Niestety wychodzę z adresu zewnętrznego sieci swojej, a nie tej, w której jest serwer z vpn. Przy włączonej na kliencie bramie zdalnej mam dostęp do wszystkich komputerów w sieci zdalnej, ale niestety połączenia z internetem brak.
Normalnie dostaję szału. Wydaje mi się, że coś jest nie tak z rutingiem, ale nie mogę ogarnąć co? Jakoś trzeba by chyba przekierować adres wewnętrzny serwera 192.168.0.250 jako bramy na faktyczną bramę, którą jest ruter 192.168.0.1. Ale jak to zrobić, to ja już naprawdę nie mam bladego pojęcia i potrzebuję mądrzejszych ode mnie. Proszę o pomoc.
Ruter 192.168.0.1
Serwer ma stały IP 192.168.0.250 i chodzi jako brama dla klientów VPN
DHCP na routerze od 100 do 199
DHCP na serwerze 192.168.0.220-230
Maskarada zrobiona wg. Twoich zaleceń:
Kod: Zaznacz cały
iptables -t nat -I POSTROUTING -s 192.168.0.0 -o eth0 -j MASQUERADEW tej chwili, przy odznaczonej bramie zdalnej mam dostęp do wszystkiego w sieci zdalnej i dostęp do internetu. Niestety wychodzę z adresu zewnętrznego sieci swojej, a nie tej, w której jest serwer z vpn. Przy włączonej na kliencie bramie zdalnej mam dostęp do wszystkich komputerów w sieci zdalnej, ale niestety połączenia z internetem brak.
Normalnie dostaję szału. Wydaje mi się, że coś jest nie tak z rutingiem, ale nie mogę ogarnąć co? Jakoś trzeba by chyba przekierować adres wewnętrzny serwera 192.168.0.250 jako bramy na faktyczną bramę, którą jest ruter 192.168.0.1. Ale jak to zrobić, to ja już naprawdę nie mam bladego pojęcia i potrzebuję mądrzejszych ode mnie. Proszę o pomoc.
Po pierwsze, proszę o schemat (rysunek) twojej sieci, bo zaczynam się gubić w twoich opisach. Narysuj jak wygląda schemat twojej sieci i zdalnej. Jakie adresy itd., jakich urządzeń itd.?
Problemem jest tutaj, według mnie, to (o ile dobrze rozumiem twoją sieć z twoich słów), że i po stronie zdalnej i po stronie swojej sieci masz adres 192.168.0.0.
Jeśli tak jest to komputer zaczyna szaleć gdyż posiada dwie różne bramy do "tej" samej sieci teoretycznie. On nie wie, że to są dwie różne sieci.
Proponuję, byś po stronie zdalnej, czyli serwera vpn zmienił adresację podsieci np. na 192.168.1.0.
Po takim zabiegu, jeśli włączysz na klientach by uzyskiwały bramę domyślną ze zdalnej lokalizacji (serwer vpn) to wtedy powinno to działać, tylko wtedy musisz zmienić w regule NAT na -s 192.168.1.0.
Problemem jest tutaj, według mnie, to (o ile dobrze rozumiem twoją sieć z twoich słów), że i po stronie zdalnej i po stronie swojej sieci masz adres 192.168.0.0.
Jeśli tak jest to komputer zaczyna szaleć gdyż posiada dwie różne bramy do "tej" samej sieci teoretycznie. On nie wie, że to są dwie różne sieci.
Proponuję, byś po stronie zdalnej, czyli serwera vpn zmienił adresację podsieci np. na 192.168.1.0.
Po takim zabiegu, jeśli włączysz na klientach by uzyskiwały bramę domyślną ze zdalnej lokalizacji (serwer vpn) to wtedy powinno to działać, tylko wtedy musisz zmienić w regule NAT na -s 192.168.1.0.
Tak na szybko narysowałem schemat sieci - może nie jest profesjonalny, ale chyba wszystko przedstawia. Jak zechcesz się pośmiać z tego schematu, to masz pełne moje przyzwolenie.
A i jeszcze ważna (tak myślę) informacja. Adres serwera 192.168.0.250 jest na ruterze ustawiony w DMZ, więc ruter teoretycznie jest przezroczysty.
Ja mam dziwne wrażenie, że serwer nie staje się bramą i dlatego po włączeniu "używaj bramy zdalnej" kończy się połączenie z internetem i działa tylko tunel do sieci z serwerem.
Jest jeszcze mały problem z adresacją w sieciach, z których się łączą klienci. Tak jak na adresację w sieci, z której ja się łączę mam wpływ i wiem, że zawsze będę miał 192.168.5.14, tak na adresację w sieciach, z których łączą się inni użytkownicy nie mam wpływu i może się zdarzyć, że któraś sieć również będzie pracowała w podsieci 0. Najważniejsze jest to, że ja mam na pewno inną podsieć i powinno to u mnie działać.
A i jeszcze ważna (tak myślę) informacja. Adres serwera 192.168.0.250 jest na ruterze ustawiony w DMZ, więc ruter teoretycznie jest przezroczysty.
Ja mam dziwne wrażenie, że serwer nie staje się bramą i dlatego po włączeniu "używaj bramy zdalnej" kończy się połączenie z internetem i działa tylko tunel do sieci z serwerem.
Jest jeszcze mały problem z adresacją w sieciach, z których się łączą klienci. Tak jak na adresację w sieci, z której ja się łączę mam wpływ i wiem, że zawsze będę miał 192.168.5.14, tak na adresację w sieciach, z których łączą się inni użytkownicy nie mam wpływu i może się zdarzyć, że któraś sieć również będzie pracowała w podsieci 0. Najważniejsze jest to, że ja mam na pewno inną podsieć i powinno to u mnie działać.
- Załączniki
-
Sprawdź na komputerze po połączeniu jaką masz domyślną bramę i jaki adres prowadzi do sieci zdalnej. Jak coś to polecenie:
w linii poleceń Windows.
Jak już to zrobisz to przedstaw tutaj informację.
Upewnij się też poleceniem ping po adresach ip dokąd dochodzisz. Czyli najpierw sprawdź adres serwera później rutera, a później 8.8.8.8.
I daj znać, w którym miejscu się zatrzymałeś.
Myślę, czy by tu jeszcze nie wyłączyć DMZ i zrobić zwykłe przekierowanie ale to dopiero jak zrobisz wszystko to co napisałem.
Kod: Zaznacz cały
route printfJak już to zrobisz to przedstaw tutaj informację.
Upewnij się też poleceniem ping po adresach ip dokąd dochodzisz. Czyli najpierw sprawdź adres serwera później rutera, a później 8.8.8.8.
I daj znać, w którym miejscu się zatrzymałeś.
Myślę, czy by tu jeszcze nie wyłączyć DMZ i zrobić zwykłe przekierowanie ale to dopiero jak zrobisz wszystko to co napisałem.
Połączenie bez włączonej bramy zdalnej:
Połączenie z włączoną bramą zdalną. I tu chyba jest jakiś ból, bo wskazuje jako bramę adres IP nadany klientowi przez serwer VPN:
Sygnały ping dochodzą, przy włączonej i wyłączonej bramie zdalnej, ale są jakieś długie:
Kod: Zaznacz cały
Lista interfejsów:
0x1 ........................... MS TCP Loopback interface
0x2 ...fc 75 16 61 3b 3b ...... D-Link DGE-528T Gigabit Ethernet Adapter - Sterownik miniport Harmonogramu pakietów
0xb0004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci Maska sieci Brama Interfejs Metryka
0.0.0.0 0.0.0.0 192.168.5.254 192.168.5.16 10
91.221.145.49 255.255.255.255 192.168.5.254 192.168.5.16 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.220 192.168.0.220 1
192.168.0.220 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.220 192.168.0.220 50
192.168.5.0 255.255.255.0 192.168.5.16 192.168.5.16 10
192.168.5.16 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.5.255 255.255.255.255 192.168.5.16 192.168.5.16 10
224.0.0.0 240.0.0.0 192.168.0.220 192.168.0.220 50
224.0.0.0 240.0.0.0 192.168.5.16 192.168.5.16 10
255.255.255.255 255.255.255.255 192.168.0.220 192.168.0.220 1
255.255.255.255 255.255.255.255 192.168.5.16 192.168.5.16 1
Domyślna brama: 192.168.5.254.
===========================================================================
Trasy trwałe:
BrakPołączenie z włączoną bramą zdalną. I tu chyba jest jakiś ból, bo wskazuje jako bramę adres IP nadany klientowi przez serwer VPN:
Kod: Zaznacz cały
Lista interfejsów
0x1 ........................... MS TCP Loopback interface
0x2 ...fc 75 16 61 3b 3b ...... D-Link DGE-528T Gigabit Ethernet Adapter - Stero
wnik miniport Harmonogramu pakietˇw
0xd0004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Aktywne trasy:
Miejsce docelowe w sieci Maska sieci Brama Interfejs Metryka
0.0.0.0 0.0.0.0 192.168.0.220 192.168.0.220 1
0.0.0.0 0.0.0.0 192.168.5.254 192.168.5.16 11
91.221.145.49 255.255.255.255 192.168.5.254 192.168.5.16 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.220 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.220 192.168.0.220 50
192.168.5.0 255.255.255.0 192.168.5.16 192.168.5.16 10
192.168.5.16 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.5.255 255.255.255.255 192.168.5.16 192.168.5.16 10
224.0.0.0 240.0.0.0 192.168.5.16 192.168.5.16 10
224.0.0.0 240.0.0.0 192.168.0.220 192.168.0.220 1
255.255.255.255 255.255.255.255 192.168.0.220 192.168.0.220 1
255.255.255.255 255.255.255.255 192.168.5.16 192.168.5.16 1
Domyślna brama: 192.168.0.220.
===========================================================================
Trasy trwałe:
Brak
Sygnały ping dochodzą, przy włączonej i wyłączonej bramie zdalnej, ale są jakieś długie:
Kod: Zaznacz cały
C:\Documents and Settings\Administrator>ping 192.168.0.250
Badanie 192.168.0.250 z użyciem 32 bajtów danych:
Odpowiedź z 192.168.0.250: bajtów=32 czas=18ms TTL=64
Odpowiedź z 192.168.0.250: bajtów=32 czas=17ms TTL=64
Odpowiedź z 192.168.0.250: bajtów=32 czas=20ms TTL=64
Odpowiedź z 192.168.0.250: bajtów=32 czas=16ms TTL=64
Statystyka badania ping dla 192.168.0.250:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 16 ms, Maksimum = 20 ms, Czas średni = 17 ms
C:\Documents and Settings\Administrator>ping 192.168.0.1
Badanie 192.168.0.1 z użyciem 32 bajtów danych:
Odpowiedź z 192.168.0.1: bajtów=32 czas=20ms TTL=63
Odpowiedź z 192.168.0.1: bajtów=32 czas=20ms TTL=63
Odpowiedź z 192.168.0.1: bajtów=32 czas=20ms TTL=63
Odpowiedź z 192.168.0.1: bajtów=32 czas=18ms TTL=63
Statystyka badania ping dla 192.168.0.1:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 18 ms, Maksimum = 20 ms, Czas średni = 19 ms
C:\Documents and Settings\Administrator>ping 8.8.8.8
Badanie 8.8.8.8 z użyciem 32 bajtów danych:
Odpowiedź z 8.8.8.8: bajtów=32 czas=42ms TTL=46
Odpowiedź z 8.8.8.8: bajtów=32 czas=43ms TTL=46
Odpowiedź z 8.8.8.8: bajtów=32 czas=55ms TTL=46
Odpowiedź z 8.8.8.8: bajtów=32 czas=40ms TTL=46
Statystyka badania ping dla 8.8.8.8:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% straty),
Szacunkowy czas błądzenia pakietów w millisekundach:
Minimum = 40 ms, Maksimum = 55 ms, Czas średni = 45 ms