Windows rras site to site vpn
Вопрос
Возможно ли организовать стабильное site to site VPN на WINDOWS Server 2012. Если да то как?
Ответы
- Предложено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 20 августа 2013 г. 10:39
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:11
Да, такая организация возможна с помощью RRAS. Посмотрите статью по ссылке внизу:
Надеюсь был полезен.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.
- Предложено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 20 августа 2013 г. 10:37
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:11
- Снята пометка об ответе Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:54
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:54
- Снята пометка об ответе Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 7:17
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 7:17
Все ответы
Переношу Ваш вопрос в более подходящий раздел, на форум Technet — Windows Server 2012.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий.
- Предложено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 20 августа 2013 г. 10:39
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:11
Да, такая организация возможна с помощью RRAS. Посмотрите статью по ссылке внизу:
Надеюсь был полезен.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.
- Предложено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 20 августа 2013 г. 10:37
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:11
- Снята пометка об ответе Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:54
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 6:54
- Снята пометка об ответе Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 7:17
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 21 августа 2013 г. 7:17
Спасибо за ответы. Заинтересовала Site-to-site IKEv2 IPsec tunnel mode VPN. Может подскажите где найти мануал по настройке Windows Server 2012 в этом ключе т.к. я ни где не нашел.
Не за что. К сожалению, так как Сервер 2012 все еще сравнительно новый продукт, не успел найти мануал по настройке Site-to-site IKEv2 IPsec tunnel mode VPN.
Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.
Windows rras site to site vpn
L2TP VPN между сетями на базе Windows Server 2016 и PSK.
Имеется сеть из семи узлов. По три узла в каждой сети и маршрутизатора между ними. Примерная схема изображена ниже. На всех хостах установлен Windows Server 2016. Для VPN будет использоваться по одному хосту с одним сетевым интерфейсом. Данная схема имитирует ситуацию, когда нет возможности настроить VPN на шлюзе.
Для работы L2TP VPN необходимо пробросить три UDP порта: 1701, 500, 4500. Так это делается в RRAS , который подключён к вашему Интернет Провайдеру.
Если у вас используется Cisco в роли маршрутизатора, то там порты пробрасываются так, где Dialer0 — внешний интерфейс, 10.254.1.8 — IP адрес VPN сервера:
Для каждого порта так же должно быть разрешающее правило на фаейрволе VPN севрвера. Для IKE (500, 4500) правила создаются вручную.
Также не забываем правку реестра (на VPN сервере). Без этго L2TP не будет работать за NAT:
Настраиваем RAS на работу с соединениями по вызову.
Даная сеть будет использовать общий ключ PSK (может позже напишу про сетификаты, но в принципе, оно не отличается от уже имеющейся статьи).
Создаём соединение по требованию (на каждом VPN сервере). Я даю название на основании того, куда сервер будет подключаться. В данном случае сервер RAS1 будет подключаться к серверу RAS2 (192.168.100.254):
Далее задаётся удалённая локальная сеть, а также сеть, которая будет использоваться для создания туннеля. При отсутствии DHCP это — 169.254.0.0/16.
Задаём учётные данные для входящего (будет создана локальная учётная запись) и исходящего подключения:
Вот тут я добавил сеть, использующуюся для постороения туннеля. Если в филиалах есть и другие сети, к которым необходим доступ, то все эти сети должны быть перечислены в «статические маршруты»:
В свойствах подключения вводим PSK:
Готово. Данное подключение будет включаться при обращении в удалённую сеть. Можно настроить, чтобы подколючение было постоянным.
Чтобы клиенты находили удалённые сети, они должны знать маршрут в эти сети. Для этого необходимо добавить статический маршрут на шлюзе:
Или в 121 опции в DHCP (внимание, 121 опция не рекомендована при наличии в сети современных Linux (наример, после Debian 7) машин с динамическими адресами. При наличии 121 опции Linux машины потеряют шлюз по умолчанию. Это лечится добавлением ещё одного шлюза по умолчанию в 121 опцию).
Windows rras site to site vpn
Вопрос
Добрый день!
уже неделю играюсь с проблемой организации Site to Site IpSec VPN между Windows Server 2012 R2 (RRAS) и Mikrotik.
Маршрутизатор Hyperv-VM WinServ2012R2 + RRAS
Задача: сшить тоннелем две подсети так, что хосты из одной могли работать с второй.
Подключений типа «Офис1» может быть несколько. ( филиалы )
Заранее спасибо за помощь!
Ответы
Все ответы
День добрый! я бы сказал — не получается реализовать задачу.
Если спускаться до настроек — вариантов пробовал великое множество. потому и описывать все нет смысла.
Из того, что работает на практике : связка RRAS-CiscoRV042 ( тут есть ман: http://dzuba.windowsfaq.ru/?p=100)
попытался сконфигурировать Mikrotik с настройками Cisco ( как в мануале ) — канал не поднимается.
Поигрался с типами авторизации\шифрования — удалось пройти все фазы авторизации, но тоннель не поднимается. Где в такой, как в мане, ситуации увидеть логи на стороне Win Server — ума не приложу.
Прошу прощения, что вклиниваюсь, но тоже пытаюсь срастить две сети.
Настроил PPTP-сервер, L2TP IPSec в планах. Сервер имеет две сетевые, одна смотрит наружу, вторая в локальную сеть (192.168.1.2)
Снаружи к серверу подключаются, без проблем, как системы на Windows так и Android смартфоны. В локальной сети к серверу по адресу 192.168.1.2 прекрасно подключаются Windows клиенты. Правила Firewall на сервере правильно обрабатывают запросы. Теперь хочу поставить сервер за ZyWall USG40. В USG40 настроил NAT-правило, которое приходящие PPTP запросы на WAN-порт перенаправляет на внутренний (192.168.1.2:1723). В настройках политики безопасности USG40 настроен пропуск портов GRE, PPTP. В логах USG40 отображаются приходящие пакеты с мобильного телефона (213.87.132.14:59059) которые перенаправляются на 192.168.1.2:1723
В логах Firewall Windows Server 2012 пакеты не принимаются — правило их делает DROP — как так.
2016-12-12 17:33:26 DROP TCP 213.87.132.14 192.168.1.2 59059 1723 0 — 0 0 0 — — — RECEIVE
Создал новое правило для входящих подключений на порт 1723 от 213.87.132.14 — бесполезно, пишет DROP
Как заставить систему пропускать перенаправленные подключения?
Кстати, настроенный L2TP IPSec VPN сервер на железке USG40 не принимает подключения от Windows 2008r2. Проходит обе фазы авторизации, но потом винда отваливается с ошибкой 720 (на что все советуют сделать reset winsock2, а на сервере это ОЧЕНЬ нежелательно). Поэтому делаю простой PPTP но буду фильтровать вхождения по IP.