VPN через Kerio + Win Server 2008

@zena1 · Регистрация: 26.05.2013

Author24 — интернет-сервис помощи студентам

Добрый день.
В прикрепленных файлах топология сети. Цель: подключиться из дома к локальной сети рабочей группы предприятия.
На Win Server 2008 настроена роль "Службы политики сети и доступа". Создан пользователь с правами для входящего подключения.
На роутере сделан проброс порта 1723 (TCP) на адрес 192.168.1.2.
На керио создано правило (см. вложение).
С клиентского домашнего компа пытаюсь подключиться к сети по внешнему ip. Неудачно, ошибка 807.
В чем причина? Нужно ли что-то еще настраивать?

Кликните здесь для просмотра всего текста

@insect_87 · 21.02.2018, 09:15

PPTP?

Сообщение от zena1

На роутере сделан проброс порта 1723 (TCP) на адрес 192.168.1.2.

нужно так же пробросить GRE

@zena1 · 21.02.2018, 09:30 **[ТС]**

Сообщение от insect_87

нужно так же пробросить GRE

Если правильно понимаю, то нужно пробросить 47 порт с роутера на Кеиро, потом с Керио на сервер, аналогично с 1723?

@insect_87 · 21.02.2018, 09:53

Сообщение от zena1

47 порт

не 47 порт, 47 протокол!! осторожнее с этим

@.None · 21.02.2018, 09:55

не порт, 47 это номер протокола, роутер какой производитель/модель?

@insect_87 · 21.02.2018, 09:57

Сообщение от zena1

Если правильно понимаю, то нужно пробросить 47 порт с роутера на Кеиро, потом с Керио на сервер, аналогично с 1723?

VPN-сервер на чем поднят?
NAT поднят и на роутере, и на Керио?

@zena1 · 21.02.2018, 10:00 **[ТС]**

Сообщение от insect_87

не 47 порт, 47 протокол!! осторожнее с этим

Пока не понимаю как это сделать...

Сообщение от .None

не порт, 47 это номер протокола, роутер какой производитель/модель?

MT-PON-AT-4

Добавлено через 1 минуту

Сообщение от insect_87

VPN-сервер на чем поднят?
NAT поднят и на роутере, и на Керио?

ВПН-сервер на вин сервер 2008.
NAT и на роутере, и на Керио.

@insect_87 · 21.02.2018, 11:08

да надо и на роутере, и на керио пробросить порт 1723 и GRE протокол.
+ разрешить во всех forward на файрволлах транзитных узлов (роутер, керио) и файрволле на входящие соединения на самом сервере
Можно L2TP поднять с ipsec ключом (более безопасный, легче пробросить на soho роутерах со стоковыми прошивками), тогда пробросить надо будет
L2TP enc - UDP, порт 1701
IKE - UDP, порт 500
IPSec_NAT-T - UDP, порт 4500

@zena1 · 21.02.2018, 11:34 **[ТС]**

Сообщение от insect_87

да надо и на роутере, и на керио пробросить порт 1723 и GRE протокол.
+ разрешить во всех forward на файрволлах транзитных узлов (роутер, керио) и файрволле на входящие соединения на самом сервере
Можно L2TP поднять с ipsec ключом (более безопасный, легче пробросить на soho роутерах со стоковыми прошивками), тогда пробросить надо будет
L2TP enc - UDP, порт 1701
IKE - UDP, порт 500
IPSec_NAT-T - UDP, порт 4500

Спасибо, просто не могу найти как на роутере пробросить gre. Внутри локальной сети впн-соединение создается.
Насколько правильно понимаю, если создавать vpn на основе других протоколов, то пробрасывать gre трафик не нужно.
Буду дальше штудировать литературу.

@insect_87 · 21.02.2018, 12:05

Сообщение от zena1

если создавать vpn на основе других протоколов, то пробрасывать gre трафик не нужно.

для L2TP с IPSEC ключом нет

@zena1 · 03.03.2018, 13:31 **[ТС]**

PPTP настроить получилось. Теперь есть проблемы с L2TP.
На роутере проброшены UDP порты 1701, 4500, 50, 500 до керио. Тоже самое на керио + IPSec, L2tp, IKE до внп сервера.
При попытке установить подключение появляется ошибка 809.
На форумах пишут, что это фиксится правками реестра на клиенте (PolicyAgent) и сервере(RasMan), однако результат тот же - ошибка 809.

Кликните здесь для просмотра всего текста

@zena1 · 04.03.2018, 11:59 **[ТС]**

Проблема решилась отказом от использования протокола EAP на клиенте в пользу Microsoft Chap v2.

VPN через Kerio + Win Server 2008

Решение

Решение

@zena1 5 / 5 / 4 Регистрация: 26.05.2013 Сообщений: 103
		1
	VPN через Kerio + Win Server 2008 21.02.2018, 09:05. Показов 11835. Ответов 11 Метки нет (Все метки) Добрый день. В прикрепленных файлах топология сети. Цель: подключиться из дома к локальной сети рабочей группы предприятия. На Win Server 2008 настроена роль "Службы политики сети и доступа". Создан пользователь с правами для входящего подключения. На роутере сделан проброс порта 1723 (TCP) на адрес 192.168.1.2. На керио создано правило (см. вложение). С клиентского домашнего компа пытаюсь подключиться к сети по внешнему ip. Неудачно, ошибка 807. В чем причина? Нужно ли что-то еще настраивать? Кликните здесь для просмотра всего текста 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.02.2018, 09:15	2
	PPTP? Сообщение от zena1 На роутере сделан проброс порта 1723 (TCP) на адрес 192.168.1.2. нужно так же пробросить GRE 0

@zena1 5 / 5 / 4 Регистрация: 26.05.2013 Сообщений: 103
	21.02.2018, 09:30 [ТС]	3
	Сообщение от insect_87 нужно так же пробросить GRE Если правильно понимаю, то нужно пробросить 47 порт с роутера на Кеиро, потом с Керио на сервер, аналогично с 1723? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.02.2018, 09:53	4
	Сообщение от zena1 47 порт не 47 порт, 47 протокол!! осторожнее с этим 0

@.None 4000 / 1579 / 310 Регистрация: 23.06.2009 Сообщений: 5,608
	21.02.2018, 09:55	5
	не порт, 47 это номер протокола, роутер какой производитель/модель? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.02.2018, 09:57	6
	Сообщение от zena1 Если правильно понимаю, то нужно пробросить 47 порт с роутера на Кеиро, потом с Керио на сервер, аналогично с 1723? VPN-сервер на чем поднят? NAT поднят и на роутере, и на Керио? 0

@zena1 5 / 5 / 4 Регистрация: 26.05.2013 Сообщений: 103
	21.02.2018, 10:00 [ТС]	7
	Сообщение от insect_87 не 47 порт, 47 протокол!! осторожнее с этим Пока не понимаю как это сделать... Сообщение от .None не порт, 47 это номер протокола, роутер какой производитель/модель? MT-PON-AT-4 Добавлено через 1 минуту Сообщение от insect_87 VPN-сервер на чем поднят? NAT поднят и на роутере, и на Керио? ВПН-сервер на вин сервер 2008. NAT и на роутере, и на Керио. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.02.2018, 11:08	8
	Сообщение было отмечено zena1 как решение Решение да надо и на роутере, и на керио пробросить порт 1723 и GRE протокол. + разрешить во всех forward на файрволлах транзитных узлов (роутер, керио) и файрволле на входящие соединения на самом сервере Можно L2TP поднять с ipsec ключом (более безопасный, легче пробросить на soho роутерах со стоковыми прошивками), тогда пробросить надо будет L2TP enc - UDP, порт 1701 IKE - UDP, порт 500 IPSec_NAT-T - UDP, порт 4500 1

@zena1 5 / 5 / 4 Регистрация: 26.05.2013 Сообщений: 103
	21.02.2018, 11:34 [ТС]	9
	Сообщение от insect_87 да надо и на роутере, и на керио пробросить порт 1723 и GRE протокол. + разрешить во всех forward на файрволлах транзитных узлов (роутер, керио) и файрволле на входящие соединения на самом сервере Можно L2TP поднять с ipsec ключом (более безопасный, легче пробросить на soho роутерах со стоковыми прошивками), тогда пробросить надо будет L2TP enc - UDP, порт 1701 IKE - UDP, порт 500 IPSec_NAT-T - UDP, порт 4500 Спасибо, просто не могу найти как на роутере пробросить gre. Внутри локальной сети впн-соединение создается. Насколько правильно понимаю, если создавать vpn на основе других протоколов, то пробрасывать gre трафик не нужно. Буду дальше штудировать литературу. 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	21.02.2018, 12:05	10
	Сообщение от zena1 если создавать vpn на основе других протоколов, то пробрасывать gre трафик не нужно. для L2TP с IPSEC ключом нет 1

	04.03.2018, 11:59

@zena1 5 / 5 / 4 Регистрация: 26.05.2013 Сообщений: 103
	03.03.2018, 13:31 [ТС]	11
	PPTP настроить получилось. Теперь есть проблемы с L2TP. На роутере проброшены UDP порты 1701, 4500, 50, 500 до керио. Тоже самое на керио + IPSec, L2tp, IKE до внп сервера. При попытке установить подключение появляется ошибка 809. На форумах пишут, что это фиксится правками реестра на клиенте (PolicyAgent) и сервере(RasMan), однако результат тот же - ошибка 809. Кликните здесь для просмотра всего текста 0

@zena1 5 / 5 / 4 Регистрация: 26.05.2013 Сообщений: 103
	04.03.2018, 11:59 [ТС]	12
	Сообщение было отмечено insect_87 как решение Решение Проблема решилась отказом от использования протокола EAP на клиенте в пользу Microsoft Chap v2. 1