Проблемы VPN в Windows 7
 

Доброго времени.
Я не админ, любитель. Настроил, чтобы клиент подключался ко мне. Всё было идеально. Но вскоре с моим МГТС-овским внешним ip что-то случилось (жду ответа с форума МГТС) и теперь он определяется как 37.190.58.* - что, по-моему, совсем не внешний адрес, и впн-сервер на нём не сделаешь. Он даже не пингуется (в отличие от бывшего 95.165.136.*). А клиентская система (адрес 78.37.178.*, провайдер Ростелеком) бодро отвечает на пинг с задержкой в ~50 мс. Теперь пытаюсь поменяться местами - я клиент. Делаю всё тоже самое как у себя, но бьюсь об ошибку 800, журнал windows сообщает и предлагает веб-справку журнала. Я не спец, насколько понимаю, справка намекает о некорректно настроенной сети (не идёт нужный траффик).
Сервер и клиент - Windows 7 SP1 x64, "родные vpn-средства". Подключение через интернет (ADSL), форвардинг на обоих модемах настроен, антивирусы/firewall отключены (в т.ч. в модемах), "вторую" систему настраиваю самостоятельно (через TeamViewer).
Между нынешней ситуацией и успешными соединениями решил себе установить "все текущие" важные обновления windows (центр обновлений был отключен с момента установки системы). Но могло ли это так сильно повлиять... (во второй системе "не хватало" пару обновлений) Даже не понять - проблема ли эта в настройках, системе, в модеме или провайдерах.. Кто-нибудь мог бы создать аналогичное "родное" vpn для проверки, буду признателен.
Благодарю за любую полезную информацию.

очень даже внешний
по остальному не подскажу...

вот как.. спасибо.. а почему же его нельзя пинговать? Вот точный адрес 37.190.58.8 (узнаю с помощью сайта 2ip.ru). А в веб-интерфейсе модема WAN IP Address 10.165.57.38 такой. Не уверен, что они должны совпадать, но у Ростелекома (во второй системе) совпадают...

так адрес 37.190.58.8 принадлежит не модему, а провайдерскому оборудованию. Они и закрыли пинг.
совпадение IP адресов - это конфликт. :)
Какой раньше был адрес на модеме? 95.165.136.* ?

Извините, я не силён в деталях, только учусь..

Раньше на моём модеме был адрес 95.165.136.212, к нему без проблем по VPN коннектился Ростелекомовский vpn-клиент с адресом 78.37.178.*. Настройки ни своего, ни другого модема я не трогал.

Насчёт совпадения.
Хотел сказать:
- если зайти в модем (марки D-Link - второй системы) через его веб-интерфейс - можно обнаружить там адрес 78.37.178.*. Этот же адрес определяется и сайтом 2ip.ru. Он пингуется и делаю вывод, что это адрес выделенный (т.е. внешний. Наверно, я ошибаюсь с терминологией?)
- если я захожу на 2ip.ru со своего модема (марки ZTE), то вижу на сайте адрес 37.190.58.8. Пытаюсь его найти и в вэб-интерфейсе модема, но в разделе «WAN IP Address» вижу адрес «10.165.57.38». Мне кажется это странным (т.к. WAN IP в вэб-интерфейсе по идее должен быть таким же, каким его определяет "внешний сервис", например 2ip.ru. Либо я что-то путаю)

Peutrov
ссылка

NAT
всё объясняет. теперь у вас нет белого адреса. вы теряете очень много фишек... (
Если я не ошибаюсь, VPN на сертификатах может подключаться к серым адресам. Но нужно что-то делать или нет на НАТе 37.190.58.8 - я не помню.

Если (или -- когда) МГТС предоставлял "белый" адрес -- то IP на внешнем интерфейсе модема соответствовал тому IP, под которым этот модем выходил во внешнюю сеть (т.е. в интернет); т.е. это не конфликт, а реальный внешний IP-адрес.

Peutrov
Если же МГТС, как сказал Sphinx114, сменил политику выдачи адресов и теперь предоставляет "серые" адреса (а в тарифах сказано лишь, что предоставляется один динамический IP-адрес -- но не говрится что адрес будет "белым") -- то модем теперь подключается ко внутренней сети МГТС по адресу 10.165.57.38 и только оттуда выходит в интернет по общим для всех абонентов внешним адресам 37.190.58.*, выданным по NAT на этот раз уже самой МГТС. И прямой доступ извне на модем, подключённый через NAT МГТС, невозможен.

И надо в таком случае заказывать услугу типа "Фиксированный внешний IP" (если она ещё существует; с год назад я слез со Стрима, на котором сидел с первого же месяца его работы, указав в причине отказа: "Конец эпохи ADSL"), которая не является бесплатной.

Большое вам спасибо..
На форуме МГТС есть темы об этом событии.. Sphinx114 вынес суровый вердикт.. Пользователи МГТС, звонившие в тех-под, рассказывают об их неадекватном поведении...
Но могу ли я создать vpn-сервер на "питерском Ростелекомовском адресе 78.37.161.1" (который пингуется) и "московским vpn-клиентом" к нему подключаться? Если могу, то в первом посте просил помощи - у меня не получается. Если из-за нововведений МГТС это невозможно - вопрос закрыт.. Но, если не ошибаюсь, любой может подключаться к "белому" напрямую..

Я в сетях тоже не особо, но предположу. Судя по тому, что ты пишешь, ростелекомовский айпишник белый, но динамический, то есть чтобы там работал vpn-сервер, надо привязывать его текущий айпишник к доменному имени, тут придётся юзать сервис типа DynDNS. Можешь попробовать для проверки подключиться к ростелекомовскому компу через ammyy admin по IP. Прога проста как 3 копейки, полупортабельна. Если подключишься, то и vpn-сервер там скорее всего заработает.

Спасибо..
С ammyy admin знаком. Вместо ID ввожу 78.37.161.1, подключается "на ура".

Если правильно понимаю, динамический ip-адрес непостоянен и меняется после переподключения к "главной линии" - основное отличие динамического адреса. У меня на МГТС тоже был белый динамический ip. Ростелекомовский комп подключался к моему виндовому vpn-серверу, обходились без сторонних сервисов. Может быть, всё-таки дело в windows или настройках?
Попытка подключения меня к Ростелекому отваливается в моменте "проверка имени и пароля".. На "vpn-сервере" есть пользователь «1» с паролем «1» (у меня было так же), к нему тщетно пытаюсь подключиться..

Там не только на это намекает: там приведена методика выявления (troubleshooting) причины проблемы. Если с английским вы "на Вы" (а на русском этой статьи нет) -- нет ли у вас знакомого, который ориентируется хотя бы не в сетях, но в компьютерном английском, и который смог бы с вами посидеть полчасика чтоб пройти эти шаги?

И не исключено что МГТС перекрывает стандартный порт, используемый для VPN (как перекрывает порты 80, 8080 и с десяток других -- сведения о номерах закрытых портов у них раньше можно было найти) -- и тогда надо переводить VPN на какой-либо из нестандартных портов.

Ну и, как отметил Sphinx114, если Ростелеком даёт хоть и белый, но динамический адрес (т.е. такой, который может меняться) -- то надо заводить доменное имя третьего уровня (пример: мой домашний серверок практически всегда (если не лежит и если динамический IP не поменялся менее минуты назад) доступен по http://mwz.dyndns-home.com и по http://mwz-ru.homeserver.com при том, что IP у меня динамический) на сайтах типа http://www.no-ip.com/ , http://dyndns.com и нескольких других, которые предоставляют бесплатную услугу (расширенные услуги у них платные) по предоставлению динамического DNS.

Если в справке есть методика, с помощью которой я смогу выявить проблему, то в роли знакомого мне послужит google translator.. спасибо..
Не могу понять, для чего заводить доменное имя третьего уровня? Ведь соединение без него по vpn я уже успешно делал.. Доменное имя необходимо чтобы "серые" адреса подключались к "белому" или для того чтобы выявить проблему или потому что провайдер закрыл порты?
Если имеет смысл указать цель для которой мне нужно vpn-соединение - это игры через LAN с питерской девчонкой. И также для общего развития: почему на всех виндах с белым динамическим ip работает встроенный vpn-сервер, а у неё ни в какую. А может не работает именно у меня из-за портов МГТС. Тогда цель не оправдывает затраты.
С моей целью кто-нибудь посоветует использовать Hamachi, но Hamachi тоже не даёт прямое соединение (Настраивал по разным инструкциям. Когда у меня был белый - давал) и в таком плохом случае предлагает пинг свыше 200 мс (в прямом подключении ~50 мс). А мне разобраться с Hamachi также непросто как с данным топиком.

Вначале ты писал, что у ростелекомовского компа айпишник 78.37.178.*, а теперь 78.37.161.1, значит он меняется. Можно конечно постоянно узнавать текущий адрес этого компа и прописывать в св-вах vpn-клиента, а можно привязать к постоянному имени и dns-сервер при запросе будет преобразовывать доменное имя в текущий айпишник. С серыми адресами всё посложнее.

наконец понял, спасибо... пусть меняется, ничуть не напрягает.. тем более меняется только после ребута модема.

Пробовал подключиться к питерскому Ростелекому с другого компьютера (провайдер NBN, белый или серый адрес - не узнавал) - подключается как и должно. Может.. к белому подключается только белый? Но я больше склоняюсь к тому что мгтс решил основательно нагнуть своих абонетнов..

Не уверен что смогу решить проблему прочитав всё об ip протоколе. Спасибо за пример. По своим догадкам считал точно также. Но "начитки" о протоколах, без практики, вряд ли хватит для того чтобы решать сетевые задачи, такие как у меня..
Таков вопрос, может ли серый подключиться к белому через vpn через два NAT? Сначала видимо прыжок в 10.*.*.*, потом 37.*.*.*.

Я где-то вычитал, что иногда проброс не помогает и надо перевести модем в режим моста.

У меня usb 3g модем, подключения к впн отлично работают.

Очень надеялся..
настроил по МГТСовскому "мануалу", но не повлияло.. отписал куда-то им в запросы, официального форума не имеют..

Услышал сегодня интересную вещь. Если провайдер запретил протокол GRE, то установить PPTP соединение не удастся, провал будет именно на этапе проверки пароля.

Не знаю насколько родное, но оно работает. http://www.nlfreevpn.com/