Vpn через Proxy

[Alexandro]

Есть сеть с клиентами подключенными к инету через USERGATE на одной - двух машинах клиентов нужно становить отдельный канал VPN для подключения к частной приватной сети. Вопрос ... через что и как, или если это позволяет usergate то воспользуюсь советом или поддержкой... все порывы с положительным результатом будут оплачены...

[nivs]

Через прокси, то есть через TCP, работает только OpenVPN.

Арендуешь VDS в той части мира, где надо, запускаешь там сервер

OpenVPN в режиме TCP, конектишься к нему и ходишь в инет шифрованно.

Если же речь идёт об некой приватной сети, в которую надо воткнуться,

которая уже есть, то в ней должен быть хотя бы один белый адрес,

на который будут коннектиться эти товарищи со своих проксей.

Прочти пару моих статей на эту тему, там всё подробно рассмотрено.

http://ta.gd/vpn1 обр. внимание со слов "Простой пример. Петя имеет белый адрес и поднимает свой сервер на TCP:

"

http://ta.gd/vpn2

[melifaro]

Alexandro

Уж не Сбербанковский ли банк-клиент?

[nivs]

Сберовский насколько помню ваще не через инет ходил, а через ДИЛАП,

ради него покупался GSM модем (не путать с GPRS/EDGE/3G) Siemens M35i чёто такой,

 

а вот газпромбанковский клиент ходит через инет и сам через прокси не умеет,

но это решается просто программой PROXIFIER.

[melifaro]

Сберовский насколько помню ваще не через инет ходил

Сейчас через инет, причем именно через VPN а в самой программе - клиенте используются адреса серверов вида 10.х.х.х

[nivs]

VPN типа PPTP или L2TP ?

 

Адрес подключения VPN ?

 

Решение с инетом через третью точку подойдёт.

Причём поднятый у клиента Ovpn даже не должен перехватывать главного маршрута

0.0.0.0, ему достаточно только взять на себя маршрут до того адреса,

на который будет поднимаццо VPN до Cбера.

Но эту третью точку надо где-то брать, арендовать VDS,

а это денежки каждый месяц.

У меня VDS в США, но ведь Сбера может смутить, что клиенты приходят

к нему с американского адреса :D

[nivs]

А может всё проще ?

На той машине где стоит UserGate там и подымать VPN до Сбера.

(тока у него крыжик убрать "Использовать основной шлюз в удалённой сети").

А у клиентов поставить тот же PROXIFIER, который запросы клиентбанка будет направлять

на UserGate, а тот уже в VPN.

Ну всё просто же.

Кстати, Юзергей умеет своей звонилкой держать постоянно поднятыми дилап

или VPN соединения без проблем.

 

Или этот клиентбанк следит, чтобы VPN поднимался именно с его машины,

сам его поднимает что ли и следит за ним ?

[Alexandro]

нет не банки... защиты там нет... просто корпоративная учетная программа в москве которая пускает внешних клиентов через Инет. проблем с входом туда сейчас нет но это только с машины где установлено соединение, я не смог подрубить клиентов своего офиса к этому сервису т.к. они всегда работают через проксю. быстрое решение слелал на скоряк просто дал доступ к гл машине через радмин и все чел работает в корп проге но ОН ОДЫН там экран занимает а мне нужно еще двоих троих пустить туды...

[nivs]

VPN на машине где UserGate, у всех остальных PROXIFIER, который зацеплен за этот UserGate, это всё.

[S10]

я не смог подрубить клиентов своего офиса к этому сервису т.к. они всегда работают через проксю

Это пробовали?

Варианты настроек поддержки VPN прокси-сервером UserGate

VPN - сервер в Интернет, клиент - в локальной сети.

Создайте правила NAT:

для PPTP

IP приемника - внутренний интерфейс;

IP- отправителя - внешний интерфейс;

порт - 1723 TCP

для L2TP/IPSec

IP приемника - внутренний интерфейс;

IP- отправителя - внешний интерфейс;

порт - 500 UDP

для L2TP/IPSec

IP приемника - внутренний интерфейс;

IP- отправителя - внешний интерфейс;

порт - 4500 UDP

Примените созданные правила пользователю в локальной сети.

[nivs]

Ага, щас... у него старый UserGate 2.6, в котором только HTTP/Connect прокси и всё.

Никаких натов.

 

Я вот щас пробовал поднять бесплатный однодневный VPN от hideme.ru, так

вот, L2TP подымается прекрасно (корейский сервер 1.234.56.188),

а PPTP не хочет. Оказалось, что для поддержки GRE на линукс-маршрутизаторе надо

сделать modprobe ip_nat_pptp и тогда работает.

То что 1723 TCP порт натить, это я согласен, а вот 500 UDP и 4500 UDP -

это полная хрень, там используется GRE, это не TCP и не UDP,

это отдельный IP-протокол.

 

Ваще в последнее время прямо полюбил этот L2TP без IPSEC,

(патч винды

REGEDIT4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters]

"ProhibitIpSec"=dword:1

)

он даже с DIR-300/B5 поднимается средствами самого роутера.

Тут такая история интересная, один весёлый парниша какие-то IP-камеры

настраивает и им нужен белый адрес, чтобы заходить на них

снаружи, а тут раз - и провайдер 3Г-модем и хрен ты на нём

поимеешь белый адрес и PPTP(GRE) у них заблочено, тока ICMP/UDP/TCP,

и комп не поставишь, всё надо с роутра.

Вот, ставим DLINK DIR-300NRU/B5, который держит L2TP (через 3Г)

до тех волшебных мест, в которых выдают белые адреса.

[Alexandro]

установил на клиенте тестит прокси и пишет все типа ОК а при запуске проги ругается на фатал эррор

[nivs]

Когда PROXIFIER запущен, он по дефолту перехватывает всё, то есть,

любая прога, настроенная без проксей, тот же FireFox например

попадёт уже в него. В самом же нём есть

Proxy settings и Proxification rules, которые надо настроить.

Proxy settings - шобы смотрело на ЮзерГей.

Proxification rules - наверное лучше не для всех процессов поголовно,

а только для ехе-шника или чего там у этой софтины,

которую надо проксифицировать.

[Alexandro]

так в том то и дело что он не запускается, а настройки прокси я сделал тетситурет он все хорошо, может из-за винды 7 но у меня простая 32 битная ж

 

 

[31:18] Testing Started.

Proxy Server

Address: 192.168.0.100:8080

Protocol: HTTPS

Authentication: NO

 

[31:18] Starting: Test 1: Connection to the Proxy Server

[31:18] IP Address: 192.168.0.100

[31:18] Connection established

[31:18] Test passed.

[31:18] Starting: Test 2: Connection through the Proxy Server

[31:18] Connection to www.google.com:80 established through the proxy server.

[31:18] A default web page was successfuly loaded.

[31:18] Test passed.

[31:18] Starting: Test 3: Proxy Server latency

[31:18] Latency = 7 ms

[31:18] Test passed.

[31:18] Testing Finished.

[nivs]

Так, вот тоже почекал свою проксю.

 

[46:11] Testing Started.

Proxy Server

Address: 172.20.0.1:3127

Protocol: HTTPS

Authentication: NO

 

[46:11] Starting: Test 1: Connection to the Proxy Server

[46:11] IP Address: 172.20.0.1

[46:12] Connection established

[46:12] Test passed.

[46:12] Starting: Test 2: Connection through the Proxy Server

[46:12] Connection to www.google.com:80 established through the proxy server.

[46:12] A default web page was successfuly loaded.

[46:12] Test passed.

[46:12] Starting: Test 3: Proxy Server latency

[46:13] Latency = 197 ms ибо USA

[46:13] Test passed.

[46:13] Testing Finished.

[nivs]

У меня тут ребята рядом сидят, у них Win7-32,

всякие FireFox, Chrome, Покер-клиенты, всё работает просто без настроек,

через этот PROXIFIER, в котором всё видно.

 

Может у тебя софт особо хитрый ?

Пришли дистриб софта, я хоть посмотрю на него, что ему надо,

какие типы соединений.

[Alexandro]

друх так грю ж она не запускается и что она мне даст если у меня для доступа к этой проге (1с) тока ярлык ну и настроенный на гл машине впн

[Alexandro]

москаля дали мне лишь ярлык к своей 1Ске я настроил тонель и лазую туды но тока с однйо машины а мне нужно с любой в сети где клиенты сидят через юзверя

 

при заупске PROXIFIER пишет фатал эррор но файл настроек не найду только прокси чекер

[nivs]

Ну так ты наверное проблему переноса софтины с одной машины на другую будешь как-то решать ?

Дистрибутива нет ?

Значит попробовать просто переписать её папку, где она там стоит C:\program files\xxxxxxxx

на другую машину.

 

И ещё - вот у тебя VPN - это адрес, логин и пароль.

А если софтина будет дополнительно ещё на 2х машинах и VPN

подымать с них же, значит будет множественное подключение

этого VPNа с одним и тем же логином, он такое ваще позволяет ?

[Alexandro]

нет у пользователей отдельные логины и пароли

 

что с запуском то у меня proxifier че он не запускается то? мож дистриб не тот?

[nivs]

Так я не понял, "клиентский софт" - это 1с8 ?

 

А "соединение через VPN" - это его соединение к базе данных что ли ?

 

Если так, то какое имя сервера, вернее "кластер серверов" в свойствах базы 1с ?

 

Там ещё и порт пишется, по дефолту 1640.

[Alexandro]

софта нет и не нужно т.к. получается удаленный рабочий стол к их 1ске

[Alexandro]

они дали ярлык ремот апа там прописываю логин и пароль и вуаля есть доступ к 1с но тока с гл машины

[nivs]

ясно, удалённый рабочий стол - это уже что-то.

какой протокол - Radmin, VNC, RDP ?

как входишь в этот "стол" ?

 

----------------------------------------------------------------

 

Кажется RDP.

 

А в этом ярлыке только адрес типа 10.33.34.1

 

или ещё и порт типа 10.33.34.1:3387 ?

[Alexandro]

RemoteApp (Удаленные приложения служб терминалов) предоставляют доступ к приложениям, размещённым на сервере терминалов

так воооот у меня ярлык с прописанным ЛОГ и ПАсс

 

да адрес и порт там присутствует