Lurifaksen Skrevet 11. november 2006 Del Skrevet 11. november 2006 (endret) Har ikke satt meg så voldsomt inn i VPN enda, men kunne noen svart meg på følgende: Dersom jeg i Windows mapper X:\ til \\server\katalog\. Vil denne nettverksdisken også kunne være tilgjengelig via internett dersom jeg setter opp VPN på serveren? Prosjektet er at "My documents" katalogen er plassert på en server, og begge klientene mine har satt "My documents" til å peke til katalogen på serveren. Dette fungerer strålende... ...men naturligvis kun så lenge jeg befinner meg innenfor LAN'et Jeg ønsker altså å smertefritt kunne ha tilgang My documents (alias \\server\katalog\) selv utenfor kontoret - uten å drive med offline/synkroniseringsbaserte løsninger. PS: Sikkerhet er ikke så veldig viktig da det ikke er sensitiv data i sving i my documents katalogen. Endret 11. november 2006 av Lurifaksen Lenke til kommentar
lohelle Skrevet 11. november 2006 Del Skrevet 11. november 2006 Har ikke satt meg så voldsomt inn i VPN enda, men kunne noen svart meg på følgende: Dersom jeg i Windows mapper X:\ til \\server\katalog\. Vil denne nettverksdisken også kunne være tilgjengelig via internett dersom jeg setter opp VPN på serveren? Prosjektet er at "My documents" katalogen er plassert på en server, og begge klientene mine har satt "My documents" til å peke til katalogen på serveren. Dette fungerer strålende... ...men naturligvis kun så lenge jeg befinner meg innenfor LAN'et Jeg ønsker altså å smertefritt kunne ha tilgang My documents (alias \\server\katalog\) selv utenfor kontoret - uten å drive med offline/synkroniseringsbaserte løsninger. PS: Sikkerhet er ikke så veldig viktig da det ikke er sensitiv data i sving i my documents katalogen. 7262084[/snapback] dette burde ikke være noe problem. Så lenge kommunikasjonen mot nettverksdisken er oppe når du er utenfor kontoret, så skal dette fungere. Det som er viktig å vite (der de fleste "feiler" tror jeg) er at broadcast ikke går over en vanlig vpn link. Dvs at du normalt sett ikke kan skrive \\server og få opp denne.. dette kan du gjøre: - jobbe mot en dns-server som oversetter \\server til \\"ip-adresse" - bruke \\"ip-adresse" i steden for \\server når du mapper opp x: - legge til "server" i hosts-fil, normalt sett c:\windows\system32\drivers\etc åpne denne i notepad (for eks) og legg til linjen: "ip-adresse" server (for eks 192.168.0.50 server) da bør dette fungere så fremt kommunikasjon er oppe mot server. Lenke til kommentar
Lurifaksen Skrevet 11. november 2006 Forfatter Del Skrevet 11. november 2006 (endret) Takk for svar. Har installert VPN på serveren nå, og forsøker å koble meg til fra klienten (WinXP), men har litt trøbbel - angivelig med brannmur. Den får kontakt med serveren, men den stopper opp på "Godkjenner brukernavn og passord" før jeg får Error 721, som betyr at serveren ikke svarer. Dette er nok et brannmur relatert problem, noe denne artikkelen bekrefter, men så vidt jeg kan se er routeren satt opp riktig. Er en D-link 4300 - under "special applications" er PPTP på. Port 1723 er åpen. Har prøvd å åpne diverse andre porter også uten resultat (47, 50, 51, 500) Noen som har noen tips? Endret 11. november 2006 av Lurifaksen Lenke til kommentar
lohelle Skrevet 11. november 2006 Del Skrevet 11. november 2006 Takk for svar. Har installert VPN på serveren nå, og forsøker å koble meg til fra klienten (WinXP), men har litt trøbbel - angivelig med brannmur. Den får kontakt med serveren, men den stopper opp på "Godkjenner brukernavn og passord" før jeg får Error 721, som betyr at serveren ikke svarer. Dette er nok et brannmur relatert problem, noe denne artikkelen bekrefter, men så vidt jeg kan se er routeren satt opp riktig. Er en D-link 4300 - under "special applications" er PPTP på. Port 1723 er åpen. Har prøvd å åpne diverse andre porter også uten resultat (47, 50, 51, 500) Noen som har noen tips? 7266282[/snapback] 47,50 og 50 er protokoller, ikke porter. protokoll 47 er GRE. Det er den som må tillates for at "vanlig windows vpn" (dvs pptp vpn) skal fungere. det er PPTP-trafikk du skal åpne for. Ser ut som at du finner innstillingen under "application level gateway configuration" under special applications/virtual servers eller noe lignende.. (har ikke den routeren.. så litt i manualen) Lenke til kommentar
Lurifaksen Skrevet 11. november 2006 Forfatter Del Skrevet 11. november 2006 Ser ut som at du finner innstillingen under "application level gateway configuration" under special applications/virtual servers eller noe lignende..(har ikke den routeren.. så litt i manualen) 7266686[/snapback] Som sagt, PPTP er allerede på - det er det som er så rart (Testet med den av også uten at det hjalp.) Event vieweren sier jo ganske klart i fra at det er ruteren: A connection between the VPN server and the VPN client xxxxx has been established, but the VPN connection cannot be completed. The most common cause for this is that a firewall or router between the VPN server and the VPN client is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47). Verify that the firewalls and routers between your VPN server and the Internet allow GRE packets. Make sure the firewalls and routers on the user's network are also configured to allow GRE packets. If the problem persists, have the user contact the Internet service provider (ISP) to determine whether the ISP might be blocking GRE packets. Lenke til kommentar
lohelle Skrevet 12. november 2006 Del Skrevet 12. november 2006 Ser ut som at du finner innstillingen under "application level gateway configuration" under special applications/virtual servers eller noe lignende..(har ikke den routeren.. så litt i manualen) 7266686[/snapback] Som sagt, PPTP er allerede på - det er det som er så rart (Testet med den av også uten at det hjalp.) Event vieweren sier jo ganske klart i fra at det er ruteren: A connection between the VPN server and the VPN client xxxxx has been established, but the VPN connection cannot be completed. The most common cause for this is that a firewall or router between the VPN server and the VPN client is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47). Verify that the firewalls and routers between your VPN server and the Internet allow GRE packets. Make sure the firewalls and routers on the user's network are also configured to allow GRE packets. If the problem persists, have the user contact the Internet service provider (ISP) to determine whether the ISP might be blocking GRE packets. 7266876[/snapback] ligger det noe fremfor denne? (annet enn dsl modem) ? er det noe valg som heter pptp passthrough? Lenke til kommentar
Lurifaksen Skrevet 12. november 2006 Forfatter Del Skrevet 12. november 2006 ligger det noe fremfor denne? (annet enn dsl modem) ? er det noe valg som heter pptp passthrough? 7268101[/snapback] Nei, kun adsl-modem, som i følge ISP ikke har noen begrensninger. Har lett gjennom alt av instillinger til ruteren, og det er ingen andre PPTP/VPN relaterte instillinger, annet enn PPTP checkboxen, som allerede er aktivert. Skal se om jeg får testet med den gamle ruteren, for å evt. få bekreftet at det er der problemet ligger. Lenke til kommentar
lohelle Skrevet 12. november 2006 Del Skrevet 12. november 2006 ligger det noe fremfor denne? (annet enn dsl modem) ? er det noe valg som heter pptp passthrough? 7268101[/snapback] Nei, kun adsl-modem, som i følge ISP ikke har noen begrensninger. Har lett gjennom alt av instillinger til ruteren, og det er ingen andre PPTP/VPN relaterte instillinger, annet enn PPTP checkboxen, som allerede er aktivert. Skal se om jeg får testet med den gamle ruteren, for å evt. få bekreftet at det er der problemet ligger. 7272149[/snapback] hvor tester du fra? (klienten) prøver du å koble til fra innsiden av samme nett som du skal inn i? eller sitter du en annen plass bak en brannvegg kanskje? det kan liksågodt være på klientsiden GRE blir sperret.. Lenke til kommentar
wsp Skrevet 12. november 2006 Del Skrevet 12. november 2006 (endret) PPTP er ofte problematisk over NAT. Dette fordi PPTP ikke støtter NAT. Det finnes dog endel NAT-devicer som omskriver div pakker slik at man kan få PPTP til å fungere over NAT også, men hvis du ikke har noe PPTP-valg i din router så støtter den sannsynligvis ikke dette. Det er også en del bokser som hevder å støtte NAT+PPTP, selv om dette ikke alltid er tilfelle. Mitt tips er: Prøv L2TP istedet. Den støtter NAT-T og skal fungere over alle NAT-devicer uten at du trenger å gjøre noe spesielt på den siden. Endret 12. november 2006 av wsp Lenke til kommentar
Lurifaksen Skrevet 12. november 2006 Forfatter Del Skrevet 12. november 2006 (endret) lohelle: Tester utenifra nettverket - riktignok via remote desktop, men det skal jo ikke ha noe å si. Men du mener kanskje at det er den brannmuren på klientsiden som kan sperre? Det høres jo kanskje logisk ut ja... Er NGT sitt modem som er på klientsiden, og de har vel lukket det meste som default. wsp: Nå hevder jo ruteren å nettopp ha støtte for PPTP, så skulle jo gå det. Men forstår det slik at hvis jeg skal bruke L2TP krever den sertifikat og greier - får i alle fall melding om at jeg ikke har gyldig sertifikat... Edit: Har gjort følgende i ruteren til klienten: Logg inn på ruter ved å kjøre telnet Dette gjør du ved å gå på "start" og "kjør". Der skriver du "command" og trykker "ok". Skriv så "telnet 10.0.0.1" i det sorte vinduet som kommer frem. Brukernavn og passord ved bruk av Telnet kan du få ved å kontakte Kundeservice Man navigerer i menyen ved hjelp av piltaster og enter. Hver gang man har gjort en endring er det viktig å huske å trykke enter slik at endringen blir lagret. Port 1723 TCP/UDP er åpen som standard. Vi må her bare åpne for protokoll 47 (GRE) Velg "Quick Menues" Velg "Filter Set" Velg "Display/Change Filter Set", og velg der "NGT" Velg "Add Input Filter to Filter Set" Her skal vi definere selve reglene som skal sørge for at trafikken til og fra vpn-klienten slipper gjennom brannmuren. Sett først "Forward:" til "Yes" ved bruk av tab. Husk å trykke enter etter at den er endret til Yes. I feltet "Protocol Type" skriver man nå 47 og trykker enter etterfulgt av "Add this filter now" og enter. Nå skal alt være klart til å bruke PPTP. Fremdeles ingen forskjell. Har ikke restartet ruteren, men siden det ikke står noe om det regner jeg med at det ikke er nødvendig (vil ikke teste siden jeg er redd ip-byttes, noe som er et problem når jeg jobber remote). Endret 13. november 2006 av Lurifaksen Lenke til kommentar
Lurifaksen Skrevet 13. november 2006 Forfatter Del Skrevet 13. november 2006 (endret) Dersom jeg aktiverer DMZ i ruteren, mot IP'en til VPN-serveren fungerer det. Det er jo tydeligvis en eller annen port utenom 1723 som må åpnes mot serveren. Hvilken? Endret 13. november 2006 av Lurifaksen Lenke til kommentar
lohelle Skrevet 13. november 2006 Del Skrevet 13. november 2006 Dersom jeg aktiverer DMZ i ruteren, mot IP'en til VPN-serveren fungerer det. Det er jo tydeligvis en eller annen port utenom 1723 som må åpnes mot serveren. Hvilken? 7276283[/snapback] det skal være KUN tcp 1723 (gjør dette nesten daglig!) DMZ modus klarer tydligvis å forwarde GRE trafikk riktig (noe det PPTP-valget burde klart da men) Lenke til kommentar
Lurifaksen Skrevet 13. november 2006 Forfatter Del Skrevet 13. november 2006 det skal være KUN tcp 1723 (gjør dette nesten daglig!) DMZ modus klarer tydligvis å forwarde GRE trafikk riktig (noe det PPTP-valget burde klart da men) 7276463[/snapback] Ok, dette problemet er det vel kun D-link som kan hjelpe med - sendte de en mail, men fikk et håpløst svar (en uriktig forklaring på hvordan jeg kan åpne en port/range). Får vel forsøke igjen. Port 1723 er i alle fall 100% sikkert åpnet korrekt - dersom jeg lukker den, får ikke klienten kontakt i det hele tatt. Men jeg har et spørsmål til ang VPN som sikkert du kan svare på... Servern har kun én NIC, med IP 10.0.0.2 på LAN'et. Jeg ønsker at denne serveren også skal ha 10.0.0.2 gjennom VPN - det går tydeligvis ikke? Hensikten er altså at klienten (en laptop) kan f.eks. map'e \\10.0.0.2\share\ som en nettverkdisk - og den vil være tilgjengelig både via VPN, og når den er fysisk tilkoblet LAN. Eller blir løsningen her at jeg også bruker VPN, selv når jeg er direkte tilkoblet LAN'et? (vil ikke dette føre til redusert ytelse?) Lenke til kommentar
lohelle Skrevet 13. november 2006 Del Skrevet 13. november 2006 (endret) det skal være KUN tcp 1723 (gjør dette nesten daglig!) DMZ modus klarer tydligvis å forwarde GRE trafikk riktig (noe det PPTP-valget burde klart da men) 7276463[/snapback] Ok, dette problemet er det vel kun D-link som kan hjelpe med - sendte de en mail, men fikk et håpløst svar (en uriktig forklaring på hvordan jeg kan åpne en port/range). Får vel forsøke igjen. Port 1723 er i alle fall 100% sikkert åpnet korrekt - dersom jeg lukker den, får ikke klienten kontakt i det hele tatt. Men jeg har et spørsmål til ang VPN som sikkert du kan svare på... Servern har kun én NIC, med IP 10.0.0.2 på LAN'et. Jeg ønsker at denne serveren også skal ha 10.0.0.2 gjennom VPN - det går tydeligvis ikke? Hensikten er altså at klienten (en laptop) kan f.eks. map'e \\10.0.0.2\share\ som en nettverkdisk - og den vil være tilgjengelig både via VPN, og når den er fysisk tilkoblet LAN. Eller blir løsningen her at jeg også bruker VPN, selv når jeg er direkte tilkoblet LAN'et? (vil ikke dette føre til redusert ytelse?) 7276818[/snapback] server vil også ha ip 10.0.0.2.. men en annen ip vil sannsynligvis være listet som "ip adresse fom server" om det er en dhcp-server som deler ut ip i samme segment som server (10.0.0.x) så kan du sette opp denne som dhcp relay server, og vpn klient vil få ip fra samme dhcp-server som "på jobb" (Eller hvor det nå er server står) gå inn på "routing and remote access", "ip routing". Høyreklikk på "dhcp relay agent" og velg properties. Legg inn IP til dhcp-server EDIT: er det windows 200X server du kjører? viss ikke så er det over ikke aktuelt for deg. Endret 13. november 2006 av lohelle Lenke til kommentar
Lurifaksen Skrevet 13. november 2006 Forfatter Del Skrevet 13. november 2006 (endret) Har forsøkt det, men når jeg velger DHCP, får ikke klienten logget på. Stopper med "Registrerer arbeidsstasjonen på nettverket" før "Error 733". Event viewer på serveren sier: The user ... connected to port VPN4-127 has been disconnected because no network protocols were successfully negotiated.Dette skyldes trøbbel med IP-adresse. Dersom jeg velger "Static address pool", med IP-adresser fra en annen range, som f.eks. 192.168.0.x, fungerer det. Se screenshot: 10.0.0.1 er DHCP. Takk for all hjelp du har gitt Btw: server vil også ha ip 10.0.0.2.. men en annen ip vil sannsynligvis være listet som "ip adresse fom server" Serveren vil naturligvis fortsatt ha 10.0.0.2 lokalt på LAN'et, men er ikke det den andre ip-adressen VPN-klientene må bruke for å nå den da? Når det sto "IP-adresse for server: 192.168.0.10", måtte jeg altså bruke \\192.168.0.10\share\ for å få kontakt via VPN. Endret 13. november 2006 av Lurifaksen Lenke til kommentar
lohelle Skrevet 13. november 2006 Del Skrevet 13. november 2006 Har forsøkt det, men når jeg velger DHCP, får ikke klienten logget på. Stopper med "Registrerer arbeidsstasjonen på nettverket" før "Error 733". Event viewer på serveren sier: The user ... connected to port VPN4-127 has been disconnected because no network protocols were successfully negotiated.Dette skyldes trøbbel med IP-adresse. Dersom jeg velger "Static address pool", med IP-adresser fra en annen range, som f.eks. 192.168.0.x, fungerer det. Se screenshot: 10.0.0.1 er DHCP. Takk for all hjelp du har gitt Btw: server vil også ha ip 10.0.0.2.. men en annen ip vil sannsynligvis være listet som "ip adresse fom server" Serveren vil naturligvis fortsatt ha 10.0.0.2 lokalt på LAN'et, men er ikke det den andre ip-adressen VPN-klientene må bruke for å nå den da? Når det sto "IP-adresse for server: 192.168.0.10", måtte jeg altså bruke \\192.168.0.10\share\ for å få kontakt via VPN. 7277982[/snapback] så lenge du IKKE fjerner hake inne på vpn koblingen at vpn-kobligen skal være default gateway, så skal du kunne kommunisere med 10.0.0.2-adressen. Prøvd å pinge 10.0.0.2 da? Husk det jeg nevnte helt i starten om at broadcast ikke fungerer over pptp.. Ellers så kan du alltids lage en batch-fil for å koble nokstaver på kontoret og en via VPN (med forskjellige IP-er) kommandoen du kan bruke er følgende: net use x: \\10.0.0.2\deltmappe /persistent:no (slipper at den kobler til automatisk hver gang du logger på) eventuelt : net use x: \\10.0.0.2\deltmappe passord /user:brukernavn /persistent:no legg disse i en batch-fil som kjøres etter oppstart (.bat) Lenke til kommentar
Lurifaksen Skrevet 14. november 2006 Forfatter Del Skrevet 14. november 2006 så lenge du IKKE fjerner hake inne på vpn koblingen at vpn-kobligen skal være default gateway, så skal du kunne kommunisere med 10.0.0.2-adressen. Prøvd å pinge 10.0.0.2 da? 7279064[/snapback] Hvor finner jeg denne "haken"? (hvis den er på default har ikke jeg tatt den bort) Når VPN-serveren hadde VPN-IP 10.0.0.50 og klienten VPN-ip 10.0.0.51 (vanlig LAN-IP 10.0.0.3) fikk jeg tilkobling, men fikk ingen kontakt med serveren. Jeg synes egentlig det høres naturlig ut at serveren ikke kan være i 10.0.0.x både på LAN og VPN-tilkoblingen? Her får jeg for øvrig mer eller mindre bekreftet at D-link sine søppel-rutere ikke støtter VPN-trafikk: http://www.expansys.com/ft.aspx?i=104294&thread=264 Lenke til kommentar
lohelle Skrevet 14. november 2006 Del Skrevet 14. november 2006 så lenge du IKKE fjerner hake inne på vpn koblingen at vpn-kobligen skal være default gateway, så skal du kunne kommunisere med 10.0.0.2-adressen. Prøvd å pinge 10.0.0.2 da? 7279064[/snapback] Hvor finner jeg denne "haken"? (hvis den er på default har ikke jeg tatt den bort) Når VPN-serveren hadde VPN-IP 10.0.0.50 og klienten VPN-ip 10.0.0.51 (vanlig LAN-IP 10.0.0.3) fikk jeg tilkobling, men fikk ingen kontakt med serveren. Jeg synes egentlig det høres naturlig ut at serveren ikke kan være i 10.0.0.x både på LAN og VPN-tilkoblingen? Her får jeg for øvrig mer eller mindre bekreftet at D-link sine søppel-rutere ikke støtter VPN-trafikk: http://www.expansys.com/ft.aspx?i=104294&thread=264 7282702[/snapback] legg vpn-iprange til noe annet enn 10.0.0.x. Så lenge du da IKKE rører den haken jeg nevnte så SKAL det være kontakt med 10.0.0.2 VIA vpn (routes via serverens vpn-ip) Det er ikke noe firewall eller lignende som sperrer? klarer du å pinge 10.0.0.2 med vpn ip-range utenfor 10.0.0.x segmentet? det SKAL gå så lenge ikke noe annet sperrer med litt "tillit" så kan jeg konfigurere dette for deg. Men da trenger jeg remote tilgang til server. PM meg om dette er av interesse. Lenke til kommentar
Lurifaksen Skrevet 14. november 2006 Forfatter Del Skrevet 14. november 2006 (endret) legg vpn-iprange til noe annet enn 10.0.0.x. Så lenge du da IKKE rører den haken jeg nevnte så SKAL det være kontakt med 10.0.0.2 VIA vpn (routes via serverens vpn-ip) 7283121[/snapback] Ok, hvis du sier det så stemmer vel det. Får ikke testet det akkurat nå, siden det er en annen maskin på nettverket til klienten som har 10.0.0.2 - men siden jeg ikke en gang fikk kontakt med IP'en som var oppgitt som server IP, regnte jeg med det heller ikke ville gå å bruke den LAN-ip'en. Men dette er vel uansett ikke et kjempe-problem. Problemet nå er å få tak i en skikkelig ruter. Du har vel ikke tilfeldigvis peiling på en god ruter jeg kan kjøpe? Endret 14. november 2006 av Lurifaksen Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå