|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » не работают два "встречных" VPN между двумя серверами 2003 |
|
||||
|
|
не работают два "встречных" VPN между двумя серверами 2003
|
|
Новый участник Сообщения: 7 |
Всем привет!
Ситуация такая. Два сервера с W2003, каждый подключен к интернету через ADSL-модем. Подключение к интернету настроено через RRAS. Так же в RRAS настроены VPN-соединения (РРТР) каждого сервера друг к другу. Если поднимать VPN-соединениe только на каком-то одном сервере, то оно подключается без проблем и все работает как надо. Но если попытаться поднять VPN-соединение, например, с сервера 2 на 1, когда с 1 на 2 оно уже поднято, то оно висит на подключении секунд 40 и отваливается с ошибкой"Соединение прервано раньше, чем установлено". При этом в журнале ошибок того сервера, к которому производилась попытка подключения, появляется следующая запись: Источник: RasMan Код(ID): 20209 Связь между VPN-сервером и VPN-клиентом 92.126.45.103 была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком. Проверялось на двух разных парах серверов (одна пара сервер 2008 и 2003SP2, другая оба 2003R2), поведение одинаковое. Это так и должно быть или все-таки глюк? Как добиться, чтобы VPN между серверами работалo одновременно в обе стороны? Заранее благодарю за советы. |
|
|
Отправлено: 06:26, 11-02-2010 |
|
ИО Капитана Очевидности
Сообщения: 5387
|
Профиль | Отправить PM | Цитировать "Копать будем с двух сторон одновременно. Срок завершения работы - месяц. За точность не ручаюсь, но в крайнем случае будет два тоннеля"
 VPN соединение поднимается в одном направлении и прекрасно работает в обе стороны. Что сверх этого надо, непонятно |
|
------- Отправлено: 09:04, 11-02-2010 | #2 |
|
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Спасибо, я в курсе, что оно работает в обе стороны.
Понимаете, тут вопрос политический. На том, чтобы работало "два тоннеля" настаивает админ из головной конторы нашего предприятия. Типа у него с другим региональным офисом именно так и работает (встречно 2 VPN), но проверить я не могу. И я не могу доказать ему, что хватает 1 соединения, и не могу сделать как он заставляет - 2 одновременных-встречных.То есть либо я научусь - с помощью уважаемого сообщества - устанавливать такие соединения, либо смогу доказать ему что это, допустим, невозможно Поэтому, при всей возможной глупости вопроса, он остается открытым... |
|
Отправлено: 19:25, 11-02-2010 | #3 |
|
ИО Капитана Очевидности
Сообщения: 5387
|
Профиль | Отправить PM | Цитировать Цитата g0ga:
**В конце-концов, подними соединение со своей стороны, а дальше пусть он сам через "удалённый рабочий стол" сравнивает настройки на твоём сервере и на сервере другого офиса. В возражения даже на уровне логики тут простые. Во-первых, при создании исходящего соединения компьютер получает IP-адрес из подсети сервера. А если создавать подключения в обоих направлениях, то центральный сервер получит огромное количество разных IP. Во-вторых, в сети получается большое количество "колец", что не есть гуд. Опять же, размер таблицы маршрутизации превысит все разумные пределы. Из достоинств? Ну скорость передачи информации при наличии одной физической линии никак не увеличится. Опять же надёжность тоже не возрастёт - если на реальном соединении возникнут проблемы, оба виртуальных канала разорвутся одновременно |
|
|
------- Отправлено: 01:56, 12-02-2010 | #4 |
|
Новый участник Сообщения: 17
|
Профиль | Отправить PM | Цитировать А есть ли смысл поднимать 2 vpn? Тем более это нереально при условии что и у отправляющей и у принимающей стороны по 1 инет соединению.
Они заработают только если у обоих сторон 2 инет соединения (например основной static ip и резервный dsl), и то только при условии, что соединяться будете по 1 соединению на ip то есть примерно так КОМП 1 _____STATIC IP - DSL ______> КОМП 2 КОМП 2 _____STATIC IP - DSL_______> КОМП 1 Но это опять кольцо - оно не нужно.... |
|
|
Последний раз редактировалось wowsab, 12-02-2010 в 05:37. Причина: Затупил слегка Отправлено: 05:36, 12-02-2010 | #5 |
|
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Коллеги, давайте пока не обращать внимание на минусы такого подхода. Я-то их прекрасно осознаю. Самое главное для меня сейчас разобраться - так вообще должно работать или нет? Надеюсь на вашу помощь.
Вообще "головной" админ так и делал, как советовал El Scorpio, перекопал мне весь RRAS, но ничего не нарыл и поручил мне переустановить систему. Но система нормально у меня работает, и я не вижу для этого оснований. Более того, два свежеустановленных тестовых сервера 2003R2 также не могут подключиться друг к другу одновременно. Я зачем буду сносить живую систему, чтобы получить тот же результат. Но ему же не докажешь. А надо |
|
Отправлено: 08:04, 12-02-2010 | #6 |
Крылатый ужас
Сообщения: 26463
|
Профиль | Отправить PM | Цитировать g0ga, а давай копнём чуток в другом направлении.
Первым устанавливается соединение какое? Ты -> Они? Или Они -> Ты? |
|
------- Отправлено: 09:58, 12-02-2010 | #7 |
|
Новый участник Сообщения: 7
|
Профиль | Отправить PM | Цитировать Angry Demon, а без разницы. Первое соединение между серверами всегда происходит нормально, без ошибок, независимо от того, кто его установил. А второе, во встречном направлении, уже не удается установить.
Кстати, только что проверил это "взаимное" соединение между двумя серверами 2003 в локальной сети - все работает отлично. Причем один из этих серверов - наш интернет-шлюз - как раз тот, к которому не может подключиться (через интернет) сервер головной конторы, если в это время наш шлюз уже подключен к нему. Жаль, что сразу не проверил. Грешить на модем (но он у нас настроен бриджом - может ли он влиять?) или провайдера? |
|
Отправлено: 11:07, 12-02-2010 | #8 |
|
Ветеран Сообщения: 4900
|
Профиль | Сайт | Отправить PM | Цитировать Это возможно, если изменить порт подключения VPN-канала. Только, вообще-то, ситуация абсурдная. Канал он и есть канал, работает в обе, естественно, стороны.
|
|
------- Отправлено: 14:01, 12-02-2010 | #9 |
|
ИО Капитана Очевидности
Сообщения: 5387
|
Профиль | Отправить PM | Цитировать Цитата g0ga:
Цитата g0ga:
Возможно, проблемы могут возникнуть из-за схожих IP-адресов |
||
|
------- Отправлено: 02:42, 15-02-2010 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Внутренняя связь между двумя "файлами" написанных на AutoIT | FlatX007 | AutoIt | 11 | 16-05-2009 20:58 | |
| [решено] Какая разница между "Сигнатурный анализ" и "Эвристический анализ"? | verdix | Хочу все знать | 3 | 10-11-2008 23:50 | |
| [решено] Как удалить два "неудаляемых" вируса, их "назначение", и принцип работы | Drongo | Хочу все знать | 20 | 11-05-2008 01:14 | |
| Запретить/удалить пункт "Programs" ("Программы") из меню кнопки "Start" ("Пуск") | submaster | Microsoft Windows NT/2000/2003 | 5 | 13-09-2006 12:29 | |
| не стабильного ping между двумя серверами 2003 | egor_siv | Microsoft Windows NT/2000/2003 | 3 | 26-08-2006 22:19 | |
|
|
Время: 11:56. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
Полезное сообщение чуть ниже.
