Форум: "Прочее";
Текущий архив: 2006.03.12;
Скачать: [xml.tar.bz2];
ВнизVPN+Outlook+Exchange Найти похожие ветки
← →
Гарри Поттер © (2006-02-13 12:55) [0]Сисадмины, помогите. Есть лок.сеть сервер Win2003 сет.комп WinXPSP2 Есть удаленный сервер Exchange2003 на нем создана учетна запись myuser с паролем. На сервере в локальной сети стоит Proxy+ (но вроде она роли не играет?)
Задача: С локального компа соединить Аутлук с удаленным Exchange. Создаю на сервере vpn-соединение с адресом удаленного Exchange и логином\паролем - myuser-пароль все соединяется, работает. Делаю тоже самое для локального - ошибка пдключения к vpn. Трабла в том что Аутлук не хочет соединяться(выходить в инет) через сервер. Так же не нашел возможности указать ей использовать vpn-соединение с сервера. Как я понимаю vpn создается поверх TCP, значит proxy+ тут ни причем? Или надо настраивать Proxy+ ?
← →
Piter © (2006-02-13 14:59) [1]во ты понаписал.. я ничего не понял.
Как всегда, начинаем формулировать вопрос за автора вопроса.
Итак, есть локальный компьютер на WinXPSP2.
Он, видимо, входит в домен, сервер - Win2003.
Есть некий удаленный компьютер, где есть VPN-сервер, там же установлен Exchange2003 сервер.
Надо установить VPN соединение с удаленным компом, и забрать почту с Exchange2003?
Я никогда не работал с Exchange2003, она в себя вбирает функции VPN-сервера?
Гарри Поттер © (13.02.06 12:55)
Создаю на сервере vpn-соединение с адресом удаленного Exchange и логином\паролем - myuser-пароль все соединяется, работает. Делаю тоже самое для локального - ошибка пдключения к vp
самое мутное.
Я так понимаю, что с сервера, который Win2003 - VPN туннель устанавливается, выделяется внутренний IP и все ок.
А вот на компьютере с WinXPSP2 тунель не создается.
Если все правильно, то приступаем к решению задачи.
Гарри Поттер © (13.02.06 12:55)
Трабла в том что Аутлук не хочет соединяться(выходить в инет) через сервер
в интернет или через VPN?
Гарри Поттер © (13.02.06 12:55)
Как я понимаю vpn создается поверх TCP
нет, поверх IP.
Гарри Поттер © (13.02.06 12:55)
значит proxy+ тут ни причем?
причем. Где стоит proxy+? На машине с Win2003?
Куда подключен интернет физически от провайдера? К машине с Win2003?
Вывод логичный - никогда не работал с Proxy+, но ты ясен пистолет должен обеспечить маршрутизацию между компьютером с WinXPSP2 и удаленным VPN-шлюзом.
Проблема в том, что VPN - он поверх IP, там нет портов, поэтому полноценную маршрутизацию сделать будет сложно. NAT тоже сосет лапу.
Варианты:
1) Тебе или нужно делать реальный NAT на внутрилокальный WinXPSP2, то есть все IP пакеты пересылать на него, фактически сделать сервером WinXPSP2, а Win2003 останется так, как роутер фактически.
Способ левый. У тебя уже есть сервер. Таким же образом практически провод от провайдера можно воткнуть не в Win2003, а в WinXPSP2.
2) модификация способа предыдущего. Сколько IP адресов провайдер предоставляет вам? Если больше одного - то есть смысл выделить один IP под VPN.
То есть, это такая же полная переброска IP пакетов от Win2003 до WinXPSP2 с одного из интерфейсов. Win2003 выполняет роль файервола, принимая пакеты по VPN-интерфейсу только с адреса удаленного компьютера (VPN-Сервера) и посылает пакеты с адресом удаленного VPN-Сервера именно через VPN-интерфейс.
Способ очень даже ничего. Под каждый VPN-тунель нужен 1 внешний IP адрес.
3) в настройках программы Proxy+ сделать VPN-туннель. Не знаю - можно ли там это сделать. В WinRoute такое вроде бы есть.
Смысл - Win2003 открывает VPN-шлюз на себе, смотрящий в вашу локальную сеть. Соединяешься с адресом Win2003 как будто с VPN-сервером, а он соединяется с указанынм удаленным сервером, все что пересылаешь ты ему по VPN-туннелю, он пересылает удаленному VPN шлюзу и наоборот.
ФАктически, VPN-прокси получается.
На одном сервере можно запустить один такой шлюз к одному внешнему IP-адресу.
← →
Гарри Поттер © (2006-02-13 15:19) [2]Piter © (13.02.06 14:59) [1]
Во-во, уже начинает проясняться, но времени нет.
Да, я чета путанно объяснил, щас, до дома доеду и попробую подробнее
← →
Piter © (2006-02-13 15:29) [3]Гарри Поттер © (13.02.06 15:19) [2]
хм, собственно я все описал :)
Тебе надо вникнуть и ответить в стиле "Да", "Нет"
← →
Гарри Поттер © (2006-02-13 18:14) [4]> Итак, есть локальный компьютер на WinXPSP2.
> Он входит в домен, сервер - Win2003.
> Есть некий удаленный компьютер, где есть VPN-сервер, там
> же установлен Exchange2003 сервер.
> Надо установить VPN соединение с удаленным компом, и забрать
> почту с Exchange2003?
Да.
> Я никогда не работал с Exchange2003, она в себя вбирает
> функции VPN-сервера?
Видимо, раз через vpn к нему конектятся. Я тоже никогда его не видел.. И еще бы не видеть..
> с сервера, который Win2003 - VPN туннель устанавливается,
> выделяется внутренний IP и все ок.
> А вот на компьютере с WinXPSP2 тунель не создается.
Да, вроде так.
> Где стоит proxy+? На машине с Win2003? Куда подключен интернет физически от провайдера? К машине с Win2003?
Лок.сеть, сервер с шнурком АДСЛ, на сервере proxy+ клиенты ходят в инет через нее.
> в настройках программы Proxy+ сделать VPN-туннель.
Нету там такого..
> Смысл - Win2003 открывает VPN-шлюз на себе, смотрящий в
> вашу локальную сеть. Соединяешься с адресом Win2003 как
> будто с VPN-сервером, а он соединяется с указанынм удаленным
> сервером, все что пересылаешь ты ему по VPN-туннелю, он
> пересылает удаленному VPN шлюзу и наоборот.
> ФАктически, VPN-прокси получается.
Да, это в идеале, а как организовать-то? В аутлуке при первом запуске надо указать ИП ексченча и логин юзера, подразумевается что в этот момент vpn-соединение уже установлено и сразу идет коннект. Нет коннекта - аутлук не запускается. Т.е. надо на лок.компе держать поднятый vpn-туннель через сервер к удаленному ексченчу... Ужос. Неужели нельзя без этого гимора? Если нет, то как это сделать?
> На одном сервере можно запустить один такой шлюз к одному
> внешнему IP-адресу.
А из этой сетки нужно подключить пять юзеров.. Пять учетных записей Получается пять vpn-соединений создавать? Еще, при включеном vpn-соединении не работает соединение с интернет через АДСЛ, а это критично. В идеале надо сделать чтобы коннект происходил только когда аутлуки синхронизируются с удаленным ексченчем и отключался когда передачи нет.
Задача, млин.. Помоги, моей благодарности не будет границ..
Я пока что думаю.. Два варианта, первый - как-то организовать vpn от клиентов через сервер на удаленный ексченч.
Второй вариант - одно vpn-соединение на сервере... а дальше мыслей нет.
← →
Piter © (2006-02-13 19:35) [5]Так, проясню заблуждение, которые присутствуют имхо.
Что такое VPN, в курсе? Собственно, исходит из названия - Virtual Private Network. То есть... это... Это как будто ты модемом коннектишься к провайдеру и соединяешься. Тебе выделяют IP внутри ТОЙ сети, все пакеты отправленные через этот новый интерфейс - будут отправлены ТУДА. Только модем работает поверх телефонной линии, а VPN поверх протокола IP :)
Как я понимаю проблему... То, что в Exchange встроен VPN-шлюз... имхо, бред. Скорее всего, у них там просто где-то в локалке есть Exchange сервер почтовый... Имеет он адрес допустим 10.3.4.23 (кстати, ты когда описываешь неплохо было бы с IP все приводить и вообще с любой информацией, а то как будто мне нужно и я вытягиваю из тебя инфу :)
Естественно, из своей локалки к IP-адресу 10.3.4.23 в ИХНЕЙ локалке ты доступа ну никак не получишь напрямую. Exchange они не выставляют в инет, видмо, опасаясь взлома, да и перехвата трафика.
Тебе нужно через VPN получить доступ к их локалке, в том числе получить адрес в ихней локалке. Установление VPN и забирание почты - процессы вообще раздельные. Забрать почту - лажа, главное получить доступ в их локалку. Exchange или там что у них - параллельно.
Итак. Методы установления VPN я привел. Насколько я помню, VPN не поддерживает технологию типа портов, поэтому между двумя IP можно установить только ОДНО VPN соединение.
Поэтому, если есть парадоксальная идея установить кучу VPN с каждого компа... то нужно иметь столько же внешниз IP. Вам провайдер сколько IP дает? Подозреваю, что один.
В контексте твоей задачи правильным будет другое.
← →
Piter © (2006-02-13 19:39) [6]Правильным будет устанавливать VPN соединение на сервере w2k3.А остальным компьютерам в сети просто делать NAT в удаленную локальную сеть.
Тут зависит от возможностей Proxy+
← →
Piter © (2006-02-13 19:46) [7]Гарри Поттер © (13.02.06 18:14) [4]
Пять учетных записей Получается пять vpn-соединений создавать?
а что, логин и пароль от VPN совпадает с логином и паролем от почтового ящика?
Думаю, по разным аккаунтам на VPN ты попадаешь в одну и ту же локалку. Так что соединение на w2k3 можно сделать по одному из аккаунтов, а уже при заборе мыла в почтовомклиенте использовать нужный аккаунт.
Еще, при включеном vpn-соединении не работает соединение с интернет через АДСЛ
ежу понятно. По умолчанию, при установлении VPN-соединения, Windows перенаправляет весь роутинг на вновь созданный интерфейс (VPN). Вот у вас инет и начинает ходить в их локальную сеть :) И обламывается :)
Надо нормально настроить роутинг. А также в свойствах IP-соединения, в свойствах TCP/IP протокола надо снять галочку там где-то есть аля "Использовать шлюз в удаленной сети".
Гарри Поттер © (13.02.06 18:14) [4]
Задача, млин.. Помоги, моей благодарности не будет границ
я тебя за язык не тянул :)
← →
Piter © (2006-02-13 19:47) [8]И еще. У вас там админ есть? Или это ты? :)
← →
Piter © (2006-02-13 19:50) [9]Piter © (13.02.06 19:46) [7]
А также в свойствах IP-соединения
в свойствах VPN-соединения
← →
Гарри Поттер © (2006-02-13 20:01) [10]> Piter © (13.02.06 19:35) [5]
Я это знаю.
> Правильным будет устанавливать VPN соединение на сервере
> w2k3.А остальным компьютерам в сети просто делать NAT в
> удаленную локальную сеть.
Щас сидел, "читал, много думал", тоже пришел в такому же выводу.
Смогу увидеть эту сетку только послезавтра, снесу Proxy+ и буду все настраивать через NAT.
Спасибо, Piter ©, ты настоящий друг ;-)
← →
Piter © (2006-02-13 20:08) [11]Гарри Поттер © (13.02.06 20:01) [10]
Proxy+
а он что, NAT не умеет рулить? Тогда в топку, конечно...
Кстати, если Proxy+ - это чисто HTTP-прокси у вас... То тогда весь требуемый тобой функционал можно реализовать вообще встроенными средстами любой WindowsNT.
Хотя не понимаю... а что же у вас Proxy+ делал? NAT он не умеет... А как же у вас почта ходит? WEB-Интерфейсами что ли пользуетест?
← →
Гарри Поттер © (2006-02-13 20:12) [12]> Пять учетных записей Получается пять vpn-соединений создавать?
>
> а что, логин и пароль от VPN совпадает с логином и паролем
> от почтового ящика?
> Думаю, по разным аккаунтам на VPN ты попадаешь в одну и
> ту же локалку. Так что соединение на w2k3 можно сделать
> по одному из аккаунтов, а уже при заборе мыла в почтовомклиенте
> использовать нужный аккаунт.
В том то и дело что логин\пароль на vpn это логин\пароль на юзера на ексченче. Соединившись аутлук работает напрямую с екченчем.
Еще, апсалютно пока не представляю как организовать коннект и отключение аутлука для синхронизации с ехченчем. Чтобы не было постоянного vpn и не включать\отключать ручками. Ладно, пусть во время синхронизации инет для сетки отрубается, но нужно чтобы не надолго. Послезавтра на месте подумаю.
← →
Piter © (2006-02-13 20:45) [13]Гарри Поттер © (13.02.06 20:12) [12]
не представляю как организовать коннект и отключение аутлука для синхронизации с ехченчем
ну... по крайней мере, если адрес w2k3 сервера есть 192.168.0.1 - то можно легко сделать, чтобы клиенты в вашей локалки могли управлять этим VPN-соединением... Отключать его.. подключать...
Гарри Поттер © (13.02.06 20:12) [12]
Ладно, пусть во время синхронизации инет для сетки отрубается
зачем?... Элементарная настройка роутинга и все...
И еще, ты как-то некоторые вопросы и предложения легко игнорируешь... Зря, тебе же настраивать, как я понял...
← →
Гарри Поттер © (2006-02-13 21:18) [14]> И еще, ты как-то некоторые вопросы и предложения легко игнорируешь...
> Зря, тебе же настраивать, как я понял...
Нет, не игнорирую. Просто сегодня первый раз с этим столкнулся, провозился, а сейчас, дома, нет всего этого и мысли проверить негде. Только теория. Надо было сегодня на месте не выеживаться, а почитать литературу (ее там было навалом), нет млин, решил что много знаю.. Сейчас вроде представляю план действий, в среду поеду туда снова доделывать.
← →
Ученик чародея © (2006-02-13 21:41) [15]Piter © (13.02.06 19:35) [5]
Так, проясню заблуждение, которые присутствуют имхо.
В контексте твоей задачи правильным будет другое.
Port Mapping?
← →
Piter © (2006-02-13 22:19) [16]Ученик чародея © (13.02.06 21:41) [15]
Port Mapping?
я говорил, VPN - оно поверх IP, а не TCP. Какой нафиг Port Mapping...
Гарри Поттер © (13.02.06 21:18) [14]
Нет, не игнорирую
игнорируешь :)
Piter © (13.02.06 20:08) [11]
Кстати, если Proxy+ - это чисто HTTP-прокси у вас... То тогда весь требуемый тобой функционал можно реализовать вообще встроенными средстами любой WindowsNT.
Хотя не понимаю... а что же у вас Proxy+ делал? NAT он не умеет... А как же у вас почта ходит? WEB-Интерфейсами что ли пользуетест?
← →
Гарри Поттер © (2006-02-13 22:25) [17]
> Ученик чародея © (13.02.06 21:41) [15]
> Port Mapping?
На Proxy+ есть Mapping, пытался делать, ничего не вышло. Подозреваю что это не совсем то, что нужно. Это работает при настройке приложений, которые не понимают прокси, а здесь соединение, Vpn-труба с клиента должна уходить на IP находящийся за пределами лок.сети. Короче, вроде не то..
← →
Гарри Поттер © (2006-02-13 22:43) [18]>это чисто HTTP-прокси у вас... То тогда весь требуемый тобой функционал можно реализовать
> вообще встроенными средстами любой WindowsNT.
На сервере NAT не работает, обходились прокси. Буду настраивать.
> А как же у вас почта ходит? WEB-Интерфейсами что ли пользуетест?
Почта - Бат. Один ящик на всю контору на яндексе. Бат настроен через proxy.
← →
Piter © (2006-02-14 00:08) [19]Гарри Поттер © (13.02.06 22:43) [18]
Бат настроен через proxy
извини, но прокси для мыла не существует.
Только если NAT, других вариантов нет.
Поэтому, видимо, Proxy+ поддерживает NAT, ибо по другому не настроили бы.
Может, просто в Proxy+ это называется по другому... Translation Address или типа того... но это должен быть именно NAT.
← →
Piter © (2006-02-14 00:09) [20]Гарри Поттер © (13.02.06 22:43) [18]
а, нет, есть конечно конечно. Socks прокси может выполнить задачу. Но Бат, по-моему, не поддерживает Socks прокси.
Соответственно, или у вас Бат + всякие SocksCapture или как там) или таки NAT
← →
Ученик чародея © (2006-02-14 00:18) [21]>>Piter © (14.02.06 00:08) [19]
WinRoute может сам забирать почту с внешних адресов и форвардить ее в папки локальных пользователей.
← →
Piter © (2006-02-14 00:20) [22]Ученик чародея © (14.02.06 0:18) [21]
Ну это другое. Это локальный почтовый сервер называется.
← →
Piter © (2006-02-14 00:20) [23]Ученик чародея © (14.02.06 0:18) [21]
The Bat, кстати, тоже это может. Если поставить его в Server режим... или как-то так.
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2006.03.12;
Скачать: [xml.tar.bz2];
Память: 0.54 MB
Время: 0.011 c