Страница печати | Закрыть окно

Учетная запись VPN

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=10257
Дата печати: 19-Апр-19 в 15:31
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: Учетная запись VPN
Автор: Olymp
Тема: Учетная запись VPN
Дата отправки: 28-Ноя-06 в 09:34

Настроен ВПН сервер и добавлена учетная запись локально на сервере с ТИ, по инструкции. Из удаленного офиса ВПН соединением производится коннект и все работает (на первый взгляд, час как поделано, ещё не вник). Одно но, чтобы из удаленного офиса юзать ресурсы этой сети, происходит запрос на ввод логина и пароля для той машины, ресурсы которой хотим юзать.

1. Имеется ли возможность для ВПН соединения использовать учетную запись не локальной машины, а домена?

2. Можно ли какнибудь ограничить ВПН коннект по ИП удаленной машины (чтобы соединение с ВПН сервером можно было установить только с конкретных реальных ИП)?




Ответов:
Автор: Olymp
Дата отправки: 29-Ноя-06 в 09:25

Неужели никто не использует ВПН между подразделениями?



Автор: Constantin
Дата отправки: 29-Ноя-06 в 10:31

я пользую, но я не понял что тебе нуна......

1 - хз не заморачивался с доменом

2 на фаере это дело решается в 5 сек



-------------
один шальной байт.....и гигабайты лежат в маразме

MT RB/453G+ МТ RB/750G - 2003 x64 - MT(VPN) - Users

TI 1.1.5.223 Gold Unlim


Автор: Olymp
Дата отправки: 01-Дек-06 в 11:52
Исходное сообщение Constantin Constantin :

2 на фаере это дело решается в 5 сек

каким образом? я хотел ограничить доступ по ВПН из вне по ИП адресам подключающихся. Тобишь, есть в инете машина с реальным ИП например 85.140.42.49, она конектится через ВПН в мою сеть и если такому ИП разрешено коннектится, то пожалста, иначе облом.



Автор: Constantin
Дата отправки: 01-Дек-06 в 13:37

вот и пиши во внешнем фаере правило что с этого адреса разрешено то то и то то, или просто разрешено все

для каждого адреса пишется правило, если это не сеть конечно, на сеть можно одно правило и написать

исходя из логики что не разрешено то запрещено...если фаерволл включен

 

 



-------------
один шальной байт.....и гигабайты лежат в маразме

MT RB/453G+ МТ RB/750G - 2003 x64 - MT(VPN) - Users

TI 1.1.5.223 Gold Unlim


Автор: ZAN
Дата отправки: 01-Дек-06 в 14:42

Исходное сообщение Olymp Olymp :

я хотел ограничить доступ по ВПН из вне по ИП адресам подключающихся. Тобишь, есть в инете машина с реальным ИП например 85.140.42.49, она конектится через ВПН в мою сеть и если такому ИП разрешено коннектится, то пожалста, иначе облом.

Это можно сделать, указав в политике удаленного доступа в качестве условия IP адрес клиента.



Автор: SSALX
Дата отправки: 02-Дек-06 в 17:32

1. Да. 2. Включите сетевой экран, разрешите доступ к порту 1723 только с определенных адресов.



-------------
Грамотно и понятно задавайте вопрос, всегда пишите версию ТИ!


Автор: Olymp
Дата отправки: 09-Фев-07 в 09:28

Выдалось ещё пару часиков поковырять ету тему

Исходное сообщение SST SST :

1. Да. 2. Включите сетевой экран, разрешите доступ к порту 1723 только с определенных адресов.

1. Подскажите пожалста, что дополнительно нада подкрутить, чтобы учетка проверялась на контроллере домена (не машина с ТИ). Повторюсь, если учетка на машине с ТИ, все работает, если на контроллере домена - нет. При коннекте с удаленной машины, при вводе имени и пароля (учетная запись на машине с ТИ), в поле домен я указываю имя машины с ТИ, что в поле домен нужно указать при использовании учетной записи домена, имя домена или так же имя машины с ТИ?

2. Когда догоню коннект с нужной учеткой, обязательно попробую, но мне кажется, что ИП уже будет не удаленной машины, а назначенный из пула RRAS, или я чтото не понял?



-------------
3.0.2.909 FSTEC, Windows Server 2012 R2 Standart


Автор: Olymp
Дата отправки: 09-Фев-07 в 10:41

наподкручивался , теперь нет коннекта ни по той, ни по той учетке, в логе следующее:

Пользователь "SERVER-TI\VPN_User", подключен с 85.103.135.15, но не прошел проверку подлинности, поскольку При попытке подключения не удовлетворена политика удаленного доступа.

Учетные данные пользователя "\SERVER-TI\VPN_User", подключенного к порту "VPN3-14", не имеют прав удаленного доступа. Линия была отключена.

Подозрение на то, что удалил политику удаленного доступа из RRAS. У меня их было 2, оставил ту, что описана в документации: http://www.smart-soft.ru/?page=vpnser - http://www.smart-soft.ru/?page=vpnser  Напрасны ли мои подозрения? ели нет, то подскажите, что нужно добавить. 



-------------
3.0.2.909 FSTEC, Windows Server 2012 R2 Standart


Автор: Olymp
Дата отправки: 10-Фев-07 в 07:09

Начну поновой, чтоб не запутать. Ситуация на сегодня следующая:

Сервер №1 - Контроллер домена (W2K). На нем заведена учетка User1, во входящих звонках выбрано следующее: Разрешить доступ, ответный вызов не выполняется, статический ИП адрес 192.168.2.10

Сервер №2 - Шлюз с Интернет (W2K3). ТИ 197 (это думаю не важно). Заведена учетка User2, во входящих звонках: разрешить доступ, ответный вызов не выполняется, статический ИП адрес 192.168.2.14

Настройка VPN сервера произведена в точности по инструкции http://www.smart-soft.ru/?page=vpnser - http://www.smart-soft.ru/?page=vpnser

Удаленная точка W2K3, создано 2 идентичных VPN соединения, за разницей в Имени и Домене. В учетной записи User1 прописан домен mydomen.ru (имя домена), а у User2 - server-ti (имя машины с ТИ).

Конектимся под User1, смотрим лог "Система" на сервере ТИ:

Пользователь "MYDOMEN.RU\User1" подключился, но не прошел проверку подлинности на порте "VPN3-14". Связь была отключена.

Делаем вывод, что саму учетку в домене он видит, но на всякий случай для убедительности проверяем, отключив учетку и получаем в логе следующую запись:

Произошла ошибка в модуле протокола точка-точка (PPP), Порт: VPN3-14, Имя пользователя: "MYDOMEN.RU\User1" Учетная запись отключена.

Коннектимся под User2, коннект успешный.

Что я не доностроил для User1? Думаю ситуацию описал более чем подробно.



-------------
3.0.2.909 FSTEC, Windows Server 2012 R2 Standart


Автор: autobus
Дата отправки: 10-Фев-07 в 11:23
У тебя компьютер шлюза W2K3 подключен к домену? Это обязательное условие. Если да то возможно шлюз по каким то причинам не может прочитать политику домена с контроллера W2K (нет связи с контроллером домена)

Скорее всего тебе надо посмотреть настройки DNS. Т. е. DNS сервер твоего домена должен стоять в списке первым перед DNS серверами провайдера


Автор: Olymp
Дата отправки: 11-Фев-07 в 08:20

Да, шлюз в домене. DNS естественно на DC, плюс как дополнительная зона на шлюзе и форвардит запросы на провайдера.

Кое в чем разобрался. Во первых (незнаю на сколь это нужно, пока ещё не проверял), на контроллере домена шлюз добавил в группу "Серверы RAS и IAS". Во вторых на контроллере создал глобальную группу безопасности "Пользователи VPN" и нужных юзеров добавил в эту группу. На шлюзе в настройках RRAS в политике описанной в  http://www.smart-soft.ru/?page=vpnser - http://www.smart-soft.ru/?page=vpnser  добавил в "Условия политики" атрибут "Windows-Groups" "MYDOMAIN\Пользователи VPN". И о чудо, заработало.

Спасибо всем кто поучавствовал. У кого есть поправки прошу изложить, тема все ещё актуальна.



-------------
3.0.2.909 FSTEC, Windows Server 2012 R2 Standart



Страница печати | Закрыть окно