Comments 40
Зачем вы везде win server запихиваете? L2TP вроде как и на линукс без особых бубнов поднимается. И памяти 512 вполне хватит.
А делать vpn сеть в диапазоне 192.168.0.0 — нормально? Я всегда для впн выбираю адреса поэкзотичнее. Клиент сможет разрулить свою наиболее вероятную 192.168.0.0/24 и такую же у vpn?
Лекции препода представляли собой такую же гору скриншотов без какого-либо понимания происходящего.
Самое топовое было Windows Deployment Services настраивать — препод считал высшим искусством администрирования окон установку винд на внешние клиенты по сети.
Слыхал, что всякие официально (с) принятые администраторы по таким скриншотам свои экзамены сдают, но это не точно.
Это рак.
Выражаясь и опускаясь на ваш уровень дискуссии ->
Потушите задницу, ничего зашкварного в серверах на Windows нет, кроме автоматического butthurt от слепо фанатеющих «правильной» ОС, которых еще больше разрывает при конкретных вопросах.
Только вот не нужно начинать «каждый программист должен уметь админить Linux» и прочее «на хабре сидишь, а осилил только винду мышкой настраивать».
Ну и проблемы вашего препода — это лишь проблемы вашего препода.
Как пример из этой же статьи — гайд поможет настроить VPN, но при этом не имеет ни капли информации о том, что же происходит под капотом. Что такое NAT, что такое эти серверные роли, что за компонент NPA, зачем он нужен и что он делает? Какие ошибки могут возникнуть в процессе выполнения этого гайда, и что делать в случае их возникновения?
Ни ссылок, ни объяснений подобный формат не имеет. На выходе получаются «администраторы», которые умеют быстрее всех прокликать десяток окон, но понятия не имеют, что делать, если в пункте 2.31 очередной инструкции вдруг вывалилось текстовое сообщение с ошибкой, да еще и на английском, который они читать толком не умеют.
А аргументированного ответа на претензии я чет не вижу. Буду считать, что слито =3
На выходе получаются «администраторы», которые умеют быстрее всех прокликать десяток окон, но понятия не имеют, что делать, если в пункте 2.31 очередной инструкции вдруг вывалилось текстовое сообщение с ошибкой, да еще и на английском, который они читать толком не умеют.
Как по мне — это замечательно. Адекватной конкуренции меньше.
Ещё есть такой момент, что попытки объяснять каждый существенный шаг требуют очень объемных пояснений, и статья или гайд получают риск перерости в книгу. Это вообще частая проблема далеко не только в айтишной сфере.
Конфигурация для подключения VPN:
Адрес: XXX.XXX.XXX.XXX
Протокол: L2Tp Ipsec
Ключ IPsec: XXXXXXXX
Логин: XXXXXXXXXXXX
Пароль: XXXXXXXXXXXX
В windows действительно этого достаточно для подключения, в Linux же уже несколько раз делал попытки настроить подключение, но в итоге бросал, потратив кучу времени и так и не добившись желаемого. Спасите, осточертело уже запускать виртуалку только для того, чтобы на минуту заглянуть в сеть заказчика.
Утилита для поднятия l2tp ipsec vpn из-под Линукса, причем с поддержкой смарт-карт.
https://github.com/Sander80/l2tp-ipsec-vpn
Статья для Хабра в процессе подготовки.
июн. 09 14:16:39.708 Starting strongSwan 5.7.2 IPsec [starter]...
июн. 09 14:16:43.159 Security Associations (0 up, 0 connecting):
июн. 09 14:16:43.160 none
июн. 09 14:16:43.215 initiating Main Mode IKE_SA gaz_vpn[1] to XXX.XXX.XXX.XXX
июн. 09 14:16:43.215 generating ID_PROT request 0 [ SA V V V V V ]
июн. 09 14:16:43.215 sending packet: from 192.168.2.160[500] to XXX.XXX.XXX.XXX[500] (212 bytes)
июн. 09 14:16:43.215 received packet: from XXX.XXX.XXX.XXX[500] to 192.168.2.160[500] (208 bytes)
июн. 09 14:16:43.215 parsed ID_PROT response 0 [ SA V V V V V V ]
июн. 09 14:16:43.216 received MS NT5 ISAKMPOAKLEY vendor ID
июн. 09 14:16:43.216 received NAT-T (RFC 3947) vendor ID
июн. 09 14:16:43.216 received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
июн. 09 14:16:43.216 received FRAGMENTATION vendor ID
июн. 09 14:16:43.216 received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20
июн. 09 14:16:43.216 received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52
июн. 09 14:16:43.216 selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
июн. 09 14:16:43.216 generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
июн. 09 14:16:43.217 sending packet: from 192.168.2.160[500] to XXX.XXX.XXX.XXX[500] (244 bytes)
июн. 09 14:16:43.217 received packet: from XXX.XXX.XXX.XXX[500] to 192.168.2.160[500] (260 bytes)
июн. 09 14:16:43.217 parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
июн. 09 14:16:43.217 local host is behind NAT, sending keep alives
июн. 09 14:16:43.217 generating ID_PROT request 0 [ ID HASH ]
июн. 09 14:16:43.217 sending packet: from 192.168.2.160[4500] to XXX.XXX.XXX.XXX[4500] (68 bytes)
июн. 09 14:16:43.218 received packet: from XXX.XXX.XXX.XXX[4500] to 192.168.2.160[4500] (68 bytes)
июн. 09 14:16:43.218 parsed ID_PROT response 0 [ ID HASH ]
июн. 09 14:16:43.218 IKE_SA gaz_vpn[1] established between 192.168.2.160[192.168.2.160]...XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
июн. 09 14:16:43.219 scheduling reauthentication in 3288s
июн. 09 14:16:43.220 maximum IKE_SA lifetime 3468s
июн. 09 14:16:43.220 generating QUICK_MODE request 2599120992 [ HASH SA No KE ID ID NAT-OA NAT-OA ]
июн. 09 14:16:43.220 sending packet: from 192.168.2.160[4500] to XXX.XXX.XXX.XXX[4500] (356 bytes)
июн. 09 14:16:43.220 received packet: from XXX.XXX.XXX.XXX[4500] to 192.168.2.160[4500] (76 bytes)
июн. 09 14:16:43.220 parsed INFORMATIONAL_V1 request 2823245258 [ HASH N(NO_PROP) ]
июн. 09 14:16:43.220 received NO_PROPOSAL_CHOSEN error notify
июн. 09 14:16:43.220 establishing connection 'gaz_vpn' failed
июн. 09 14:16:43.220 [ERROR 300] 'IPsec' failed to negotiate or establish security associations
Если бы не уверенное подключение из Windows, то давно бы уже подумывал о проблемах на стороне шлюза, но ведь Windows подключается — прямо проклятие какое-то.
Кстати, заметил интересный баг у Вас: если в момент запуска l2tp-ipsec-vpn было установлено OpenVPN соединение (к совершенно другой сети, маршрутизация настроена на заворачивание туда только пакетов к определенной подсети и не влияет на интернет трафик), то l2tp-ipsec-vpn воспринимает это соединение за успешно установленное свое — выводит адрес своего шлюза вместе с информацией tun OpenVPN.
Вообще меня тоже поразило то, насколько это все сложно под Linux, когда под Windows настраивается прокликиванием пунктов меню. И сколько пришлось проделать танцев, чтобы привести найденную утилиту в современный вид.
Думаю, можно будет еще продолжить обсуждение, когда человек, который настраивал сервер, допишет инструкцию, я только на стороне клиента ковырялся до тех пор, пока на всех известных мне машинах и сетях оно не стало работать без шаманства.
Заглавная картинка в статье крайне нетолерантная !
Она олицетворяет сексизм — женщины унижаются перед мужчиной
Она насмехается над происходящими сейчас протестами по всему миру — BLM, когда вот так на одно колено встают wasp-ы перед афроамериканцами !
P.S. в предыдущем тексте пропущена обёртка тегом "юмор".
Так ладно, читаем дальше и
> VPN на Windows Server.
Что-то не сходится. Как минимум ожидал увидеть какой-нибудь Linux, а лучше BSD, если есть запрос на отсутствие проприетарщины.
А что там за проприетарный клиент для wireguard? Есть же официальный и он норм работает.
Его можно найти вот здесь.
Если нужно, вот его исходный код github.com/WireGuard/wireguard-windows
неудобным в настройке и использовании OpenVPN, требующим проприетарного клиента Wireguard
Что-то я не понял мысль…
Для настройки OpenVPN есть куча подробных гайдов со скриншотами. И клиент есть у самого OpenVPN. Мне кажется он вполне прост в использовании.
А тем временем wireguard-клиенты сейчас есть вообще для всего, но нет, давайте использовать морально устаревший L2TP.
За скриншоты — зачёт. Теперь могу по телефону консультировать страждущих, не имея W10 под рукой.
Точно рабочий гайд
Спасибо за статью!
Всё доступно и без Powershell ))
У меня VPN так настроен на VPS на Windows Server 2012 R2 (1CPU 1GbRAM 20GbSSD).
Работает стабильно вот уже больше двух лет. Клиенты на Windows и Android довольны. Ничего не отваливается)
Вот только на Mikrotik-е домашнем никак не могу L2TP/IPSec клиент настроить ((
Ради роли, которая официально заброшена мс, ставить целый инстанс, причем ещё и с UI?
Причем файрвола в этой службе нет, маршрутизации нормальной тоже толком нет.
И это притом, что кроме голых *nix можно использовать готовые решения от pfSense до RouterOS CHR, которые в разы легче и функциональнее.
Это стыдно должно быть такие статьи писать.
Гайд: Свой собственный L2TP VPN