Як налаштувати вхідне з'єднання VPN з Windows для тунельного інтернет-трафіку?

19

Я хочу встановити VPN на віддаленому сервері для маршрутизації всього мого інтернет-трафіку з міркувань конфіденційності. Я можу встановити вхідне з'єднання та успішно підключитися до нього. Проблема в тому, що я просто бачу віддалений комп'ютер, і жоден інший веб-сайт не відкриється. Я хочу, щоб віддалений сервер діяв як NAT. Як я можу це зробити?

Зауважте, що я не хочу розділяти Інтернет-трафік. Я насправді хочу відправити весь трафік на віддалений сервер, але мені потрібно, щоб він ретранслював трафік.

Для запису мій віддалений сервер - це Windows Web Server 2008, який не має маршрутизації та послуги віддаленого доступу.

Уточнення

Мене найбільше цікавить конфігурація сервера. У мене немає проблем із налаштуванням клієнта. До речі, Windows Web Server 2008, схоже, має ті самі функції VPN, вбудовані в клієнтські ОС (як Vista), і конкретно, він не включає консоль RRAS в MMC. Я також відкритий для пропозицій щодо сторонніх демонів PPTP / L2TP, доступних, якщо вони безкоштовні.

— xmm0
джерело

1

Ось і ми! Одне з перших (чи, мабуть, перше) щедріших питань на ServerFault!

— xmm0

А як ви створили баунті на суму 100, коли у вас 63?

— Тім Пост

Це репутація після виграшу.

— xmm0

Оновлення: хоча жодна з відповідей не вирішила проблему, прийнята відповідь разом із грою routeна клієнті та використанням ICS на сервері, ймовірно, змусить її працювати. Я спробую, як тільки встигну, і розміщую рішення, якщо зможу його знайти. Поки ж нові ідеї дуже цінують.

— xmm0

Просто додати інформацію до відповідей: я протестував її на Windows 2008 ultimate, не встановлюючи RRAS, і вона не працює. Якщо хтось знає про програмне забезпечення, яке замінює інтегровану RRAS для установки PPTP / L2TP, це буде корисно

— Аліреза Рінан

4

Вам вдалося створити комутований VPN-зв’язок між Vista та Windows Web Server 2008 без ролі сервера мережевої політики? Якщо це так, мені цікаво, як виглядала підмережа / IP для клієнта в тому сценарії, коли тунель був піднятий.

Якщо у вас є VPN, ви перенесли ваш проблемний домен з одного VPN на один із маршрутизаторів. Я впевнений, що ви зможете налагодити з'єднання за допомогою веб-видання та також можете використовувати спільний доступ до Інтернету . Якщо ні, то доступні дешеві та, можливо, безкоштовні програми "обміну в Інтернеті" ( NAT32 ).

Це передбачає, що ваша клієнтська машина якось має IP-адресу (внутрішню?) Мережу сервера.

Крім того, коли ви говорите Інтернет-трафік, можливо, ваше визначення може включати лише трафік, який може проксі. У такому випадку ви можете знову перемістити домен з маршрутизації на проксінг і використовувати безкоштовний проксі-сервер, прив’язаний до IP на іншому кінці тунелю.

— Майк Хабустак
джерело

NAT32 - чудова пропозиція. Я думаю, що я повинен на це подивитися. IP-адресу можна встановити вручну, але проблема полягає у шлюзі за замовчуванням. Я не можу зрозуміти, як встановити шлюз за замовчуванням для підключення (або зробити так, щоб сервер повідомив клієнту). Я думаю, якщо мені вдасться це зробити, поряд з NAT32, це спрацює. +1

— xmm0

Як ви отримуєте сервер PPTP / VPN без RRAS NPS? Знаючи, що може допомогти нам знайти рішення для шлюзу та маршрутизації ICS.

— Майк Хабустак

Я використовую функцію вхідного з'єднання, яка була доступна навіть в клієнтських ОС. Немає консолі RRAS.

— xmm0

10

Це станеться за замовчуванням, якщо VPN налаштовано правильно.

Коли ви встановлюєте VPN-з'єднання від Windows CLIENT, існує вдосконалений варіант, Use Default Gateway on Remote Networkякий називається, який перевіряється за замовчуванням.

Наприклад, у Windows XP:

Перейдіть до мережевих підключень
Клацніть правою кнопкою миші на ваш коннектоїд VPN
Виберіть "Властивості"
Перейдіть на вкладку Мережа
Виберіть зі списку Інтернет-протокол (TCP / IP)
Клацніть ВЛАСТИВОСТІ
Клацніть Додатково
На вкладці Загальні поставте прапорець Use Default Gateway on Remote Network

Можливо, що шлюз за замовчуванням неправильно налаштований на віддаленому сервері.

— Джоел Спольський
джерело

Дякую, Джоел. Я думаю, ви маєте рацію, і проблема в сервері, як я правильно налаштував VPN-сервер з Win2k3 Std Ed. Консоль RRAS і вона спрацювала добре. Крім того, я не бачу жодного шлюзу IPv4 за замовчуванням, наданого клієнтові (у статусі з'єднання). Проблема полягає в тому, як я можу налаштувати сервер на надання клієнту правильного шлюзу за замовчуванням? Здається, що в Win2k8 Web є тільки XP / Vista (клієнт-ОС) тільки вхідні з'єднання, і немає консолі RRAS. Будь-які ідеї?

— xmm0

Я ніколи не користувався веб-виданням Win2k8 ... мабуть, вирішується такий спосіб, який я просто не знаю, боюся, але ця версія сервера спеціально розроблена ПРОСТО для розміщення веб-сторінок, тому для всіх я це знаю можливо, бракує функцій маршрутизації, які б зробили це можливим.

— Джоель Спольський

@Joel, має сенс з точки зору безпеки. Запобігання веб-серверу навіть виконувати роль роутера робить його менш корисною ціллю для атак.

— saschabeaumont

1

Я ніколи не пробував його на чим вище XP, але рег хак використовується для включення IP маршрутизації , навіть на НЕ-серверної ОС support.microsoft.com/kb/315236 - може допомогти, Altho Я думаю , ви все одно повинні включити НАТ якось?

— Збийте

1

Лише одна невелика примітка - сервер VPN не буде діяти як NAT, VPN-клієнт візьме IP-адресу з вашого сервера DHCP і потім пройде через ваш шлюз за замовчуванням, який буде NAT. Отже, коли клієнт підключиться до ресурсів у вашій мережі, він з’явиться з цієї DHCP-адреси, а не з адреси сервера VPN. Це гарна річ.

— Cawflands

4

На жаль, ви не можете встановити RRAS на веб-версії Server 2008, його не дозволена роль. Тому вам потрібно буде використовувати стороннє додаток, відкритий VPN - один із найпоширеніших і раніше я успішно використовувався на сервері 2003 року.

Після того, як ви встановите цю установку, поради Джоела щодо налаштування клієнта переконаються, що ваш веб-трафік проходить через VPN.

— Сем Коган
джерело

Чи підтримує OpenVPN PPTP або L2TP або він використовує власний протокол? Мені також потрібно підключитися за допомогою свого iPhone, тому він не повинен вимагати клієнта.

— xmm0

Відкрита VPN використовує Ipsec, тому потрібен власний клієнт, якого не існує для iPhone. На жаль, вибір VPN-серверів для Windows трохи обмежений.

— Сем Коган

1

OpenVPN не використовує IPSec, він використовує SSL.

— pc1oad1etter

1

Може бути особливе місце для чистилища для людей UNIX, які вносять пропозиції у наступних рядках, але я використовував це для цілей, подібних до ваших (отримання даних із обмеженим діапазоном ip для США, безпечно від США до Мехіко):

Встановіть OpenSSH на сервер, ось як це можна зробити на Vista / 2008: http://www.petri.co.il/setup-ssh-server-vista.htm (я помітив, що це .il TLD, якщо це проблема з Ірану, можливо, спробуйте пошукати кеш-пам'ять, або я можу переробити її, якщо ви залишите коментар. Також, можливо, приклад того, чому нам потрібен безпечний безмежний доступ до Інтернету.)

Створіть динамічне ssh-з'єднання за допомогою Putty . Ось інструкції та пояснення .

Наведіть свій браузер, поштовий клієнт тощо на локальний проксі. Насправді, ви робите це: ви відкриваєте динамічний сеанс ssh на віддаленому хості. У вас є локальний проксі, до якого пов'язане це з'єднання. Ви робите всі запити до цього локального проксі-сервера, потім проксі-сервер робить зашифрований запит на сервер, сервер отримує та повертає все, що ви просили із зовнішнього світу, через захищений тунель до локального проксі-сервера, а звідти до вашої програми. Ви можете підтвердити, що він працює, відкривши веб-сайт, який забезпечує геолокацію ip-адрес. Я впевнений, що це теж може бути автоматизовано. (Якщо це відверто гидотна справа на Windows Server, повідомте мене про це в коментарях.)

— bvmou
джерело

0

Це досить стара тема, але я знайшов собі відповідь на це саме точне запитання. Я знайшов пару речей під час свого дослідження. Я розміщую тут лише для того, щоб додати цю інформацію, тому, якщо хтось інший шукає відповіді, він може їх знайти тут.

По-перше, на сайті www.itshidden.com доступний безкоштовний сервіс, який дозволяє підключатися до їх vpn-серверів. Після підключення весь ваш інтернет-трафік тунелюється через інтерфейс VPN. Початкові налаштування та з'єднання досить прості; будь-яка сучасна інсталяція Windows 2000 / XP / Vista і вище має вже вбудоване програмне забезпечення для клієнтів VPN. Єдиним недоліком є те, що їхні сервери розташовані в Європі, тому ваші пакети мають певні шляхи подорожі. Мені потрібно було щось ближче до дому, щоб зменшити затримку пакетів та пінг, і як таке це було не ідеальним рішенням. Тому я продовжував шукати ...

Під час мого продовження пошуку я знайшов програмне забезпечення dd-wrt. Створення VPN-сервера прямо на маршрутизаторі є однією з приємних особливостей dd-wrt. Налаштування досить просте і просте: встановіть IP маршрутизатора VPN сервера, встановіть можливі діапазони IP для клієнтів та інформацію про вхід VPN клієнта. Все це робиться з конфігурації маршрутизатора dd-wrt через браузер. Налаштування VPN-клієнта дотримується тих же процедур, що описані на www.itshidden.com, з іншим IP-сервером VPN, звичайно.

Нарешті, я також спробував зробити один з комп'ютерів сервером vpn, використовуючи метод прийняття вхідних з'єднань, як OP. Клієнти VPN та сервер можуть пінг один одного, але проблема полягає в тому, що я не зміг заставити VPN-сервер належним чином маршрутизувати інтернет-трафік від клієнтів. Я спробував познайомитися з таблицею маршрутів на клієнтському та серверному кінцях. Коротка історія - це я не міг змусити її повноцінно працювати. Знайдіть сервіси локальної мережі добре (наприклад, FTP-сервер на локальному комп’ютері), але я ніколи не отримував Інтернет-трафік, щоб правильно проїхати - можливо, хтось інший, можливо, пощастить.

Так що загалом, якщо у вас є маршрутизатор, який підтримує dd-wrt, це варто переглянути. Це рішення, на якому я влаштувався. Налаштування та роботу було легко.