PDA

Visualizza la versione completa : server VPN


mk69
14-06-2006, 10:17
Ciao, per usare un programma da casa devo accedere via vpn ad un server di dominio dietro ad un router pirelli (il discovolante con la smart) e ho ottenuto gli ip aggiuntivi da telecom.
Devo configurare il server con routing and remote access?
Il router dispome deil virtual server ma nulla relativo a vpn.
Non ho le idee chiare in propostito...la vpn la deve gestire il server? il router?..entrambi??
Mi serve un punto di partenza..aiuto!!!!

seclimar
14-06-2006, 11:57
domanda...
perche' devi raggiungere il domain controller?
per l'autenticazione o per il programma che si collega al DC?

spiegami bene il meccanismo poiche' normalmente NON e' necessario raggiungere il domain controller per entrare sul pc...

mk69
14-06-2006, 12:24
grazie per aver risposto subito.
Si devo raggiungere il server (che poi è il domain controller di quella rete) perchè un utente deve utilizzare da casa un programma client server come se fosse in ufficio, è un programma con il lato client installato sul pc e necessita di autenticazione.Quindi,per funzionare,deve essere collegato alla rete come un utente di dominio e fare l'accesso al server e quindi al db
Da quello che per il momento sono riuscito a capire,dovrei abilitare il server come server vpn mentre sul router smarf gate aprire nel virtual server le porte necessarie.
Se ho capito "giusto",rimangono in ogni caso molti interrogativi, i principali sono:
1° servono due schede di rete? (il server ne ha solo una, ed è un vecchio trattore..mmh)
2° se devo creare una seconda rete,l'indirizzo da assegnare al server sarà uno degli 8 pubblici che la buona telecom ha assegnato al cliente?

seclimar
14-06-2006, 14:13
Da quello che per il momento sono riuscito a capire,dovrei abilitare il server come server vpn mentre sul router smarf gate aprire nel virtual server le porte necessarie.
Se ho capito "giusto",rimangono in ogni caso molti interrogativi, i principali sono:
1° servono due schede di rete? (il server ne ha solo una, ed è un vecchio trattore..mmh)
2° se devo creare una seconda rete,l'indirizzo da assegnare al server sarà uno degli 8 pubblici che la buona telecom ha assegnato al cliente?

hai piu' o meno afferrato il concetto.. ma
1) no .. una sola scheda di rete
2) no ... il server ha solo un ip privato


abilitare virtual server..vuole dire redirezionare una porta dall'ip pubblico al tuo ip privato (dove sta il server)

mk69
14-06-2006, 14:58
ah si? mi stai dando delle belle notizie allora..pensavo di essere in alto mare ma forse inizio a toccare.
Delle due schede di rete l'avevo letto come requistito fondamentale quà e là, in effetti non me lo spiegavo.Quindi (scusa se approfitto ancora della tua disponibilità, ma ho urgenza di chiudere questo lavoro e mi stai veramente aiutando) dovrei procedere in questo modo:
1° Abilito il routing e accesso remoto sul server, seleziono come interfaccia di rete l'unica presente e per l'assegnazione degli ip ne assegno manualmente un tot (sul server non è attivo il dhcp al momento..se non è necessario non lo abilito)
2: Sul router pirelli creo la regola sul virtual server mettendo come indirizzo pubblico uno degli ip datomi da telecom con il suo default e il suo gateway e lo giro sull'indirizzo del server.
Le porte da quanto ho letto dovrebbero essere già aperte

E basta? a questo punto il client con Xp si connette creando una connessione vpn e mettendo come indirizzo direttamente quello pubblico impostato sul server?
(e poi sul client che indirizzo ip devo dargli,uno di quello del range scelto da me sul server o gli lascio il dhcp attivato..visto che si connette ad internet a sua volta con un modem usb sempre Alice?)

<rileggendomi...sono veramente convinto di iniziare a toccare? mmh...

seclimar
14-06-2006, 17:26
1)
no .. non devi abilitare nessun routing!
perche' vuoi abilitare il routing?
mica devi fare un server vPN ?

2)
le porte sono aperte in uscita non in entrata
devi creare una regola che reindirizza la porta che ti serve ..verso il tuo IP privato

mk69
14-06-2006, 18:16
ehm...come previsto mi sono già perso...
Ma se devo accedere da un client via vpn su questo benedetto server, chi lo fa il "vpn server"?
La documentazione che ho letto dice che "è possibile trasformare un computer con Windows 2000 server in un server di accsso remoto affinchè altri utenti possano connettersi ad esseo mediante VPN" "Fare click su start-strumenti di amministrazione-configura e abilità routung e accesso remoto"
Questo io l'avevo dato per scontato, e infatti i miei dubbi erano sul numero delle schede e su come realizzare in dettaglio la connessione con il virtual server di questo smart gate..
Se mi dici che non devo abilitarlo mi perdo del tutto..a questo punto se hai un secondo mi potresti spiegare + o meno in dettaglio come realizzare questo accesso..
Per lo meno i passi da seguire...

seclimar
15-06-2006, 09:03
ah .. ok ora ho capito..eri gia' alla configurazione della VPN nella wizard

penso che tu stia seguendo la documentazione relativa a un server che ha due ip ..
uno pubblico e uno privato su due connessioni di rete
sul router si dovrebbe DISABILITARE il nat in modo che il router dia l'ip publbico al server
il server e' collegato direttamente al router via cavo.
per costruire il vpn server, si deve usare il "routing ecc..." poiche' il server deve anche fare da routing.

seclimar
15-06-2006, 10:12
leggevo questo sul sito microsoft (alcune FAQ)
---------------------------------------------------
Samir Jain [MSFT] (Expert):
Q: Let's assume I have a Win2003 L2TP/IPsec VPN server behind a NAT firewall. What ports should the NAT firewall forward, according to your recommendations?
A: We don't recommend L2TP/IPSec VPN server behind a NAT router (it can create issues in some scenarios - though it will work lot of times). But VPN client can be behind a NAT router. If you have to try it (for test purposes), you need to open UDP port 500, UDP port 4500, UDP port 1701, IP Protocol type 50 on your NAT router (port redirection).
---------------------------------------------------
IQ: have a ISA 2004 server on win2003 which is setup to provide VPN. This server is connected to the internet via a speedtouch pro NAT router. What ports do i need to foward to the isa server to allow clients to connect.
Thank you
Ben

A:
kauf29th December 2005, 23:37
it depend what protocols you will allow the connection to vpn
if pptp 1723(tcp) 47(ip)
if l2tp 500(udp) 4500(udp) 50(ip)
---------------------------------------------------
Preparing the Windows Server 2003 system for VPN services
Like all other services in Windows Server 2003, the Routing And Remote Access Services (of which VPN is but one component) are disabled by default. Before they are enabled, a couple of things need to be verified. First, are two communications devices enabled at the server? At least one of them should be a network adapter. After all, the point of a remote access VPN is to provide access to internal network resources from outside the organization.

Second, check to make sure you’re running the proper protocols on your server and workstations. As far as protocols go, today’s typical VPN uses TCP/IP in one form or another with either PPTP or L2TP for security. To provide users with access to resources on the internal network via a VPN connection, you must distribute IP addresses to them. You can accomplish this via the network’s existing DHCP server or by defining an address pool in the Routing And Remote Access Services configuration. This will also provide the remote client with appropriate addressing information for DNS and WINS to enable efficient name lookups.

------------------------------------------
sembra che in effetti ..si ha bisogno di due connessoni di rete (di cui una come LAN) per fare la VPN ... un po' come per la condivisione...

seclimar
15-06-2006, 10:19
http://techrepublic.com.com/5100-6329-5074473.html
http://www.google.it/search?hl=it&q=vpn+server+win2003+behind+nat&meta=

questa forse si avvicina al tuo caso:
http://www.experts-exchange.com/Networking/Broadband/VPN/Q_20758922.html

ha aggiunto una scheda virtuale..giusto per avere due reti e completare la wizard vpn ..
(tu al limite abiliti la seconda scheda per fare andare la wizard)

Loading