Jak skonfigurować połączenie VPN przychodzące z systemem Windows w celu tunelowania ruchu internetowego?

19

Chcę skonfigurować VPN na zdalnym serwerze, aby kierował cały mój ruch internetowy ze względów prywatności. Mogę skonfigurować połączenie przychodzące i połączyć się z nim pomyślnie. Problem polega na tym, że widzę tylko zdalny komputer i żadne inne strony internetowe nie zostaną otwarte. Chcę, aby zdalny serwer działał jak NAT. Jak mogę to zrobić?

Pamiętaj, że nie chcę dzielić ruchu internetowego. Tak naprawdę chcę wysłać cały ruch na zdalny serwer, ale muszę zmusić go do przekazywania ruchu.

Dla przypomnienia, moim zdalnym serwerem jest Windows Web Server 2008, który nie ma usługi routingu i zdalnego dostępu.

Wyjaśnienie

Najbardziej interesuje mnie konfiguracja serwera. Nie mam żadnych problemów z konfiguracją klienta. Nawiasem mówiąc, Windows Web Server 2008 wydaje się mieć te same funkcje VPN wbudowane w systemy operacyjne klienta (jak Vista), a konkretnie nie zawiera konsoli RRAS w MMC. Jestem również otwarty na sugestie dotyczące dostępnych demonów PPTP / L2TP innych firm, jeśli są one bezpłatne.

— xmm0
źródło

1

No to ruszamy! Jedno z pierwszych (lub prawdopodobnie pierwszych) pytań o nagrodę w usłudze ServerFault!

— xmm0

Jak ustaliłeś nagrodę wartą 100, gdy masz 63 lata?

— Tim Post

To reputacja po nagrodach.

— xmm0

Aktualizacja: chociaż żadna z odpowiedzi nie rozwiązała problemu, zaakceptowana odpowiedź wraz z graniem routena kliencie i korzystaniem z ICS na serwerze prawdopodobnie sprawi, że zadziała. Spróbuję, jak tylko będę miał czas, i opublikuję rozwiązanie, jeśli uda mi się je znaleźć. Tymczasem nowe pomysły są bardzo mile widziane.

— xmm0

Wystarczy dodać trochę informacji do odpowiedzi: przetestowałem go na Windows 2008 Ultimate bez instalowania RRAS i to też nie działało Jeśli ktoś wie o oprogramowaniu zastępującym zintegrowany RRAS do konfiguracji PPTP / L2TP, byłoby to pomocne

— Alireza Rinan

4

Udało Ci się utworzyć telefoniczne połączenie VPN między Vista a Windows Web Server 2008 bez roli Network Policy Server? Jeśli tak, jestem ciekawy, jak podsieć / adres IP wyglądał dla klienta w tym scenariuszu po uruchomieniu tunelu.

Jeśli masz uruchomioną sieć VPN, przeniesiono domenę problemową z jednej sieci VPN do jednej z routingu. Jestem przekonany, że będziesz w stanie mostkować połączenia za pomocą edycji internetowej i że możesz także używać Udostępniania połączenia internetowego . Jeśli nie, dostępne są tanie i prawdopodobnie bezpłatne programy do udostępniania Internetu ( NAT32 ).

Zakłada się, że komputer kliencki w jakiś sposób ma adres IP w sieci (wewnętrznej?) Serwera.

Ponadto, gdy mówisz o ruchu internetowym, możliwe, że twoja definicja może obejmować tylko ruch, który może obsługiwać proxy. W takim przypadku możesz ponownie przenieść domenę z routingu na proxy i użyć bezpłatnego serwera proxy powiązanego z adresem IP na drugim końcu tunelu.

— Mike Haboustak
źródło

NAT32 to świetna propozycja. Myślę, że powinienem na to spojrzeć. Adres IP można ustawić ręcznie, ale problem dotyczy domyślnej bramy. Nie mogę wymyślić, jak ustawić domyślną bramę połączenia (lub poprosić serwer o powiadomienie klienta). Myślę, że jeśli mogę to zrobić, wraz z NAT32, to zadziała. +1

— xmm0

W jaki sposób otrzymujesz serwer PPTP / VPN bez RRAS NPS? Wiedza, że może to pomóc nam znaleźć rozwiązania dla bramy i routingu ICS.

— Mike Haboustak

Korzystam z funkcji połączenia przychodzącego, która była dostępna nawet w systemach operacyjnych klienta. Nie ma konsoli RRAS.

— xmm0

10

Stanie się tak domyślnie, jeśli VPN jest poprawnie skonfigurowany.

Podczas nawiązywania połączenia VPN z poziomu KLIENTA Windows dostępna jest zaawansowana opcja, Use Default Gateway on Remote Networkktóra jest domyślnie zaznaczona.

Na przykład w systemie Windows XP:

Przejdź do Połączenia sieciowe
Kliknij prawym przyciskiem myszy swoje połączenie VPN
Wybierz Właściwości
Przejdź do karty Sieć
Wybierz z listy Protokół internetowy (TCP / IP)
Kliknij WŁAŚCIWOŚCI
Kliknij Zaawansowane
Na karcie Ogólne zaznacz Use Default Gateway on Remote Network

Możliwe, że brama domyślna nie jest poprawnie skonfigurowana na zdalnym serwerze.

— Joel Spolsky
źródło

Dzięki Joel. Myślę, że masz rację, a problem dotyczy serwera, ponieważ poprawnie skonfigurowałem serwer VPN z Win2k3 Std Ed. Konsola RRAS i działała dobrze. Ponadto nie widzę żadnej bramy domyślnej IPv4 podanej klientowi (w stanie połączenia). Problem polega na tym, w jaki sposób mogę skonfigurować serwer, aby podawał klientowi prawidłową bramę domyślną? Wygląda na to, że Win2k8 Web ma tylko połączenia przychodzące XP / Vista (klient-OS) i nie ma konsoli RRAS. Jakieś pomysły?

— xmm0

Nigdy nie korzystałem z wersji internetowej Win2k8 ... obawiam się, że jest to prawdopodobnie obejście, ale ta wersja serwera jest specjalnie zaprojektowana do obsługi stron internetowych, więc wiem wszystko może brakować funkcji routingu, które by to umożliwiły.

— Joel Spolsky

@Joel, ma sens z punktu widzenia bezpieczeństwa. Zapobieganie serwerowi internetowemu nawet działania jako routera czyni go mniej użytecznym celem ataków.

— saschabeaumont

1

Nigdy nie próbowałem tego na urządzeniach powyżej XP, ale ten hack reg służył do włączania routingu IP nawet w systemach operacyjnych innych niż serwer. Support.microsoft.com/kb/315236 - może pomóc, choć myślę, że nadal musisz włączyć NAT jakoś?

— Trzepaczka

1

Tylko jedna mała uwaga - serwer VPN nie będzie działał jak NAT, klient VPN pobierze adres IP z serwera DHCP, a następnie przejdzie przez domyślną bramę, która będzie NAT. Kiedy więc klient połączy się z zasobami w sieci, pojawi się z tego adresu DHCP, a nie adresu serwera VPN. To coś dobrego.

— Cawflands

4

Niestety nie można zainstalować RRAS w Server 2008 Web Edition, co nie jest dozwolone. Musisz więc użyć aplikacji innej firmy, Open VPN jest jedną z najpopularniejszych i taką, z której korzystałem wcześniej na serwerze 2003.

Po skonfigurowaniu porady Joela dotyczące konfiguracji klienta upewnią się, że ruch internetowy przechodzi przez VPN.

— Sam Cogan
źródło

Czy OpenVPN obsługuje PPTP lub L2TP, czy używa własnego protokołu? Muszę się także połączyć za pomocą mojego iPhone'a, więc nie powinien wymagać klienta.

— xmm0

Otwarta sieć VPN korzysta z Ipsec, więc wymaga własnego klienta, który nie istnieje dla iPhone'a. Niestety wybór serwerów VPN dla systemu Windows jest nieco ograniczony.

— Sam Cogan

1

OpenVPN nie używa IPSec, używa SSL.

— pc1oad1etter

1

Może istnieć specjalne miejsce w czyśćcu dla osób z UNIX, które sugerują następujące sugestie, ale użyłem tego do podobnego celu (uzyskanie bezpiecznych danych z USA tylko do Meksyku z ograniczonym zasięgiem ip):

Zainstaluj OpenSSH na serwerze, oto jak możesz to zrobić w systemie Vista / 2008: http://www.petri.co.il/setup-ssh-server-vista.htm (zauważyłem, że jest to TLD .il, jeśli jest to problem z Iranu, może poszukaj pamięci podręcznej lub mogę ją ponownie opublikować, jeśli zostawisz komentarz. Może to także przykład tego, dlaczego potrzebujemy bezpiecznego dostępu do Internetu bez granic).

Utwórz dynamiczne połączenie ssh za pomocą Putty . Oto instrukcje i wyjaśnienie .

Skieruj przeglądarkę, klienta poczty itp. Na lokalny serwer proxy. W efekcie robisz to: otwierasz dynamiczną sesję ssh na zdalnym hoście. Masz lokalnego serwera proxy, z którym to połączenie jest powiązane. Zgłaszasz wszystkie żądania do tego lokalnego serwera proxy, następnie serwer proxy przesyła zaszyfrowane żądanie do serwera, serwer pobiera i zwraca wszystko, czego zażądałeś od świata zewnętrznego, za pośrednictwem bezpiecznego tunelu do lokalnego serwera proxy, a następnie do aplikacji. Możesz potwierdzić, że działa, otwierając stronę internetową zapewniającą geolokalizację adresów IP. Jestem pewien, że można to również zautomatyzować. (Jeśli jest to absolutnie obrzydliwa rzecz na Windows Server, daj mi znać w komentarzach).

— bvmou
źródło

0

To dość stary wątek, ale znalazłem też odpowiedź na to samo dokładne pytanie. Podczas moich badań znalazłem kilka rzeczy. Piszę tutaj tylko po to, aby dodać te informacje, aby na wypadek, gdyby ktoś szukał odpowiedzi, może ją znaleźć tutaj.

Po pierwsze, dostępna jest bezpłatna usługa na stronie www.itshidden.com, która pozwala łączyć się z ich serwerami VPN. Po połączeniu cały ruch internetowy jest tunelowany przez ten interfejs VPN. Wstępna konfiguracja i połączenie są dość łatwe; każda nowoczesna instalacja systemu Windows 2000 / XP / Vista i nowsza ma już wbudowane oprogramowanie klienckie VPN. Jedynym minusem jest to, że ich serwery są stacjonowane w Europie, więc twoje pakiety mają całkiem spore możliwości podróżowania. Potrzebowałem czegoś bliższego do domu, aby zmniejszyć opóźnienie pakietów i ping, a zatem nie było to idealne rozwiązanie. Więc szukałem ...

Podczas ciągłego wyszukiwania znalazłem oprogramowanie wewnętrzne dd-wrt. Tworzenie serwera VPN bezpośrednio na samym routerze to jedna z fajnych funkcji dd-wrt. Konfiguracja jest dość łatwa i prosta: ustaw adres IP serwera VPN routera, ustaw możliwe zakresy adresów IP dla klientów i dane logowania klienta VPN. Wszystko to odbywa się z konfiguracji routera dd-wrt za pośrednictwem przeglądarki. Konfiguracja klienta VPN odbywa się zgodnie z tymi samymi procedurami, które opisano na stronie www.itshidden.com, z oczywiście innym adresem IP serwera VPN.

Wreszcie próbowałem również uczynić z jednego z komputerów serwer VPN za pomocą metody akceptowania połączeń przychodzących, takiej jak OP. Klienci VPN i serwer mogą pingować się nawzajem, ale problem polega na tym, że nie mogłem zmusić serwera VPN do prawidłowego kierowania ruchu internetowego od klientów. Próbowałem bawić się tabelą tras zarówno po stronie klienta, jak i serwera. Krótko mówiąc, nie mogłem go w pełni uruchomić. Lokalizowanie usług LAN działa dobrze (np. Serwer FTP na komputerze LAN), ale nigdy nie udało mi się poprawnie przekierować ruchu internetowego - być może ktoś inny miałby więcej szczęścia.

Podsumowując, jeśli masz router obsługujący dd-wrt, warto to sprawdzić. To jest rozwiązanie, na którym się zdecydowałem. Łatwo było rozpocząć konfigurację i działanie.