Это реально сделать или нет RRAS NAT VPN(L2TP)?
 

Всем доброго времени суток.

Обрисую ситуацию

Есть сервер Win2003 R2 он же
контроллер домена, DNS - сервер

установлено 2 сетевых интерфейса

1 - Смотрит в лок. сеть 192.168.0.0
2 - Смотрит в нет у неё есть статический айпишник

На сервере настроен NAT

В удаленный офис купили маршрутизатор D-LINK DI-804HV

Между Win2003 и D-LINKом хочу настроить VPN.
Сервак настроил, как написано здесь
http://www.d-link.ru/technical/faq_vpn_21.php.
Но у microsofta написано, что если NAT настроен впн через L2TP не будет работать.

Может кто чего доскажет.

Microsoft L2TP/IPSec VPN Client also provides support for IPSec Network Address Translator (NAT) traversal.
Отсюда
IPSec через NAT в Win2003 R2 поддерживается.
http://support.microsoft.com/kb/912213 - Аналогично. Нужен СП-2.
А вот устраивать маршрутизатор на DC... Не проще маршрутизатор за 200 баков купить?

Спасибо monkkey. Сегодня буду пробовать.

:help: О горе мне!!!

If NAT is needed on the VPN router computer, do not configure PPTP and L2TP/IPSec packet filters or packet filters for other types of traffic. If you configure PPTP and L2TP/IPSec packet filters on the Internet interface, NAT cannot function. Even though you do not configure any packet filters on the Internet interface of the VPN router computer, the function of the NAT discards any traffic from the Internet that does not correspond to traffic requested by site clients.

Как же тогда использовать Preshared key??? На роутер же сертификат не установишь.

Может кто то такое настраивал? HELP!!!

ЛИБО Preshared key, ЛИБО сертификат. У меня через Preshared key работают примерно такие же Zyxel железки. Кстати, и сертификат на него можно установить. Внимательнее RTFM

А что значит Внимательнее RTFM

Последняя буква - Manual

Может я что то не правильно делал?

1. Создал новый OU - VPN Routers и создал для него GPO
2. Привязал GPO к серваку
3. В GPO
Computer configeration - Windows settings - Security - IP Security on Active directory создал новую политику
3. В новой политике создал 2 правила
- WIN2003-DLINK:
Tunel End Point: статический внешний ip сервака полученный от провайдера
Autentification method: preshared key задал свой а все остальное удалил
IP Filter: адресация Source adress: 192.168.0.0 (наша вн. подсеть) mask 255.255.255.0
Destination adress: 192.168.1.0 (сеть уд. офиса) mask 255.255.255.0
Filter action: создал новый метод
- DLINK-WIN2003
Tunel End Point: статический внешний ip РОУТЕРА полученный от провайдера
Autentification method: preshared key задал свой а все остальное удалил
IP Filter: адресация Source adress: 192.168.1.0 (наша вн. подсеть) mask 255.255.255.0
Destination adress: 192.168.0.0 (сеть уд. офиса) mask 255.255.255.0
Filter action: создал новый метод
4. Запустил политику

-----------------------------------------------------------------------------------------------------------------------------

Объясните пожайлуста следующее надо ли создавать новый интерфейс в RRAS и надо ли было создавать фильтры - у майкрософта написано следующее - если включен NAT фильтры создавать не нужно я окончательно запутался.

Ваша подсеть должна иметь маску 255.255.0.0, и получается, что она включает в себя Создание VPN сервера
имеет отношение ТОЛЬКО к реализации IPSec в домене, и никаким боком не касается VPN. Изучайте матчасть.
Групповые политики к VPN (по крайней мере, в данном случае) отношения не имеют.

Спасибо буду читать

А куда этот preshared key нужно вписать ткните носом

И возможно ли ipsec без сертификатов использовать.