Як налаштувати вхідне з'єднання VPN з Windows для тунельного інтернет-трафіку?


19

Я хочу встановити VPN на віддаленому сервері для маршрутизації всього мого інтернет-трафіку з міркувань конфіденційності. Я можу встановити вхідне з'єднання та успішно підключитися до нього. Проблема в тому, що я просто бачу віддалений комп'ютер, і жоден інший веб-сайт не відкриється. Я хочу, щоб віддалений сервер діяв як NAT. Як я можу це зробити?

Зауважте, що я не хочу розділяти Інтернет-трафік. Я насправді хочу відправити весь трафік на віддалений сервер, але мені потрібно, щоб він ретранслював трафік.

Для запису мій віддалений сервер - це Windows Web Server 2008, який не має маршрутизації та послуги віддаленого доступу.

Уточнення

Мене найбільше цікавить конфігурація сервера. У мене немає проблем із налаштуванням клієнта. До речі, Windows Web Server 2008, схоже, має ті самі функції VPN, вбудовані в клієнтські ОС (як Vista), і конкретно, він не включає консоль RRAS в MMC. Я також відкритий для пропозицій щодо сторонніх демонів PPTP / L2TP, доступних, якщо вони безкоштовні.


1
Ось і ми! Одне з перших (чи, мабуть, перше) щедріших питань на ServerFault!
xmm0

А як ви створили баунті на суму 100, коли у вас 63?
Тім Пост

Це репутація після виграшу.
xmm0

Оновлення: хоча жодна з відповідей не вирішила проблему, прийнята відповідь разом із грою routeна клієнті та використанням ICS на сервері, ймовірно, змусить її працювати. Я спробую, як тільки встигну, і розміщую рішення, якщо зможу його знайти. Поки ж нові ідеї дуже цінують.
xmm0

Просто додати інформацію до відповідей: я протестував її на Windows 2008 ultimate, не встановлюючи RRAS, і вона не працює. Якщо хтось знає про програмне забезпечення, яке замінює інтегровану RRAS для установки PPTP / L2TP, це буде корисно
Аліреза Рінан

Відповіді:


4

Вам вдалося створити комутований VPN-зв’язок між Vista та Windows Web Server 2008 без ролі сервера мережевої політики? Якщо це так, мені цікаво, як виглядала підмережа / IP для клієнта в тому сценарії, коли тунель був піднятий.

Якщо у вас є VPN, ви перенесли ваш проблемний домен з одного VPN на один із маршрутизаторів. Я впевнений, що ви зможете налагодити з'єднання за допомогою веб-видання та також можете використовувати спільний доступ до Інтернету . Якщо ні, то доступні дешеві та, можливо, безкоштовні програми "обміну в Інтернеті" ( NAT32 ).

Це передбачає, що ваша клієнтська машина якось має IP-адресу (внутрішню?) Мережу сервера.

Крім того, коли ви говорите Інтернет-трафік, можливо, ваше визначення може включати лише трафік, який може проксі. У такому випадку ви можете знову перемістити домен з маршрутизації на проксінг і використовувати безкоштовний проксі-сервер, прив’язаний до IP на іншому кінці тунелю.


NAT32 - чудова пропозиція. Я думаю, що я повинен на це подивитися. IP-адресу можна встановити вручну, але проблема полягає у шлюзі за замовчуванням. Я не можу зрозуміти, як встановити шлюз за замовчуванням для підключення (або зробити так, щоб сервер повідомив клієнту). Я думаю, якщо мені вдасться це зробити, поряд з NAT32, це спрацює. +1
xmm0

Як ви отримуєте сервер PPTP / VPN без RRAS NPS? Знаючи, що може допомогти нам знайти рішення для шлюзу та маршрутизації ICS.
Майк Хабустак

Я використовую функцію вхідного з'єднання, яка була доступна навіть в клієнтських ОС. Немає консолі RRAS.
xmm0

10

Це станеться за замовчуванням, якщо VPN налаштовано правильно.

Коли ви встановлюєте VPN-з'єднання від Windows CLIENT, існує вдосконалений варіант, Use Default Gateway on Remote Networkякий називається, який перевіряється за замовчуванням.

Наприклад, у Windows XP:

  • Перейдіть до мережевих підключень
  • Клацніть правою кнопкою миші на ваш коннектоїд VPN
  • Виберіть "Властивості"
  • Перейдіть на вкладку Мережа
  • Виберіть зі списку Інтернет-протокол (TCP / IP)
  • Клацніть ВЛАСТИВОСТІ
  • Клацніть Додатково
  • На вкладці Загальні поставте прапорець Use Default Gateway on Remote Network

Можливо, що шлюз за замовчуванням неправильно налаштований на віддаленому сервері.


Дякую, Джоел. Я думаю, ви маєте рацію, і проблема в сервері, як я правильно налаштував VPN-сервер з Win2k3 Std Ed. Консоль RRAS і вона спрацювала добре. Крім того, я не бачу жодного шлюзу IPv4 за замовчуванням, наданого клієнтові (у статусі з'єднання). Проблема полягає в тому, як я можу налаштувати сервер на надання клієнту правильного шлюзу за замовчуванням? Здається, що в Win2k8 Web є тільки XP / Vista (клієнт-ОС) тільки вхідні з'єднання, і немає консолі RRAS. Будь-які ідеї?
xmm0

Я ніколи не користувався веб-виданням Win2k8 ... мабуть, вирішується такий спосіб, який я просто не знаю, боюся, але ця версія сервера спеціально розроблена ПРОСТО для розміщення веб-сторінок, тому для всіх я це знаю можливо, бракує функцій маршрутизації, які б зробили це можливим.
Джоель Спольський

@Joel, має сенс з точки зору безпеки. Запобігання веб-серверу навіть виконувати роль роутера робить його менш корисною ціллю для атак.
saschabeaumont

1
Я ніколи не пробував його на чим вище XP, але рег хак використовується для включення IP маршрутизації , навіть на НЕ-серверної ОС support.microsoft.com/kb/315236 - може допомогти, Altho Я думаю , ви все одно повинні включити НАТ якось?
Збийте

1
Лише одна невелика примітка - сервер VPN не буде діяти як NAT, VPN-клієнт візьме IP-адресу з вашого сервера DHCP і потім пройде через ваш шлюз за замовчуванням, який буде NAT. Отже, коли клієнт підключиться до ресурсів у вашій мережі, він з’явиться з цієї DHCP-адреси, а не з адреси сервера VPN. Це гарна річ.
Cawflands

4

На жаль, ви не можете встановити RRAS на веб-версії Server 2008, його не дозволена роль. Тому вам потрібно буде використовувати стороннє додаток, відкритий VPN - один із найпоширеніших і раніше я успішно використовувався на сервері 2003 року.

Після того, як ви встановите цю установку, поради Джоела щодо налаштування клієнта переконаються, що ваш веб-трафік проходить через VPN.


Чи підтримує OpenVPN PPTP або L2TP або він використовує власний протокол? Мені також потрібно підключитися за допомогою свого iPhone, тому він не повинен вимагати клієнта.
xmm0

Відкрита VPN використовує Ipsec, тому потрібен власний клієнт, якого не існує для iPhone. На жаль, вибір VPN-серверів для Windows трохи обмежений.
Сем Коган

1
OpenVPN не використовує IPSec, він використовує SSL.
pc1oad1etter

1

Може бути особливе місце для чистилища для людей UNIX, які вносять пропозиції у наступних рядках, але я використовував це для цілей, подібних до ваших (отримання даних із обмеженим діапазоном ip для США, безпечно від США до Мехіко):

Встановіть OpenSSH на сервер, ось як це можна зробити на Vista / 2008: http://www.petri.co.il/setup-ssh-server-vista.htm (я помітив, що це .il TLD, якщо це проблема з Ірану, можливо, спробуйте пошукати кеш-пам'ять, або я можу переробити її, якщо ви залишите коментар. Також, можливо, приклад того, чому нам потрібен безпечний безмежний доступ до Інтернету.)

Створіть динамічне ssh-з'єднання за допомогою Putty . Ось інструкції та пояснення .

Наведіть свій браузер, поштовий клієнт тощо на локальний проксі. Насправді, ви робите це: ви відкриваєте динамічний сеанс ssh на віддаленому хості. У вас є локальний проксі, до якого пов'язане це з'єднання. Ви робите всі запити до цього локального проксі-сервера, потім проксі-сервер робить зашифрований запит на сервер, сервер отримує та повертає все, що ви просили із зовнішнього світу, через захищений тунель до локального проксі-сервера, а звідти до вашої програми. Ви можете підтвердити, що він працює, відкривши веб-сайт, який забезпечує геолокацію ip-адрес. Я впевнений, що це теж може бути автоматизовано. (Якщо це відверто гидотна справа на Windows Server, повідомте мене про це в коментарях.)


0

Це досить стара тема, але я знайшов собі відповідь на це саме точне запитання. Я знайшов пару речей під час свого дослідження. Я розміщую тут лише для того, щоб додати цю інформацію, тому, якщо хтось інший шукає відповіді, він може їх знайти тут.

По-перше, на сайті www.itshidden.com доступний безкоштовний сервіс, який дозволяє підключатися до їх vpn-серверів. Після підключення весь ваш інтернет-трафік тунелюється через інтерфейс VPN. Початкові налаштування та з'єднання досить прості; будь-яка сучасна інсталяція Windows 2000 / XP / Vista і вище має вже вбудоване програмне забезпечення для клієнтів VPN. Єдиним недоліком є ​​те, що їхні сервери розташовані в Європі, тому ваші пакети мають певні шляхи подорожі. Мені потрібно було щось ближче до дому, щоб зменшити затримку пакетів та пінг, і як таке це було не ідеальним рішенням. Тому я продовжував шукати ...

Під час мого продовження пошуку я знайшов програмне забезпечення dd-wrt. Створення VPN-сервера прямо на маршрутизаторі є однією з приємних особливостей dd-wrt. Налаштування досить просте і просте: встановіть IP маршрутизатора VPN сервера, встановіть можливі діапазони IP для клієнтів та інформацію про вхід VPN клієнта. Все це робиться з конфігурації маршрутизатора dd-wrt через браузер. Налаштування VPN-клієнта дотримується тих же процедур, що описані на www.itshidden.com, з іншим IP-сервером VPN, звичайно.

Нарешті, я також спробував зробити один з комп'ютерів сервером vpn, використовуючи метод прийняття вхідних з'єднань, як OP. Клієнти VPN та сервер можуть пінг один одного, але проблема полягає в тому, що я не зміг заставити VPN-сервер належним чином маршрутизувати інтернет-трафік від клієнтів. Я спробував познайомитися з таблицею маршрутів на клієнтському та серверному кінцях. Коротка історія - це я не міг змусити її повноцінно працювати. Знайдіть сервіси локальної мережі добре (наприклад, FTP-сервер на локальному комп’ютері), але я ніколи не отримував Інтернет-трафік, щоб правильно проїхати - можливо, хтось інший, можливо, пощастить.

Так що загалом, якщо у вас є маршрутизатор, який підтримує dd-wrt, це варто переглянути. Це рішення, на якому я влаштувався. Налаштування та роботу було легко.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.