VPN+Outlook+Exchange

← →
Гарри Поттер © (2006-02-13 12:55) [0]

Сисадмины, помогите. Есть лок.сеть сервер Win2003 сет.комп WinXPSP2 Есть удаленный сервер Exchange2003 на нем создана учетна запись myuser с паролем. На сервере в локальной сети стоит Proxy+ (но вроде она роли не играет?)
Задача: С локального компа соединить Аутлук с удаленным Exchange. Создаю на сервере vpn-соединение с адресом удаленного Exchange и логином\паролем - myuser-пароль все соединяется, работает. Делаю тоже самое для локального - ошибка пдключения к vpn. Трабла в том что Аутлук не хочет соединяться(выходить в инет) через сервер. Так же не нашел возможности указать ей использовать vpn-соединение с сервера. Как я понимаю vpn создается поверх TCP, значит proxy+ тут ни причем? Или надо настраивать Proxy+ ?

← →
Piter © (2006-02-13 14:59) [1]

во ты понаписал.. я ничего не понял.

Как всегда, начинаем формулировать вопрос за автора вопроса.

Итак, есть локальный компьютер на WinXPSP2.
Он, видимо, входит в домен, сервер - Win2003.

Есть некий удаленный компьютер, где есть VPN-сервер, там же установлен Exchange2003 сервер.

Надо установить VPN соединение с удаленным компом, и забрать почту с Exchange2003?

Я никогда не работал с Exchange2003, она в себя вбирает функции VPN-сервера?

Гарри Поттер © (13.02.06 12:55)
Создаю на сервере vpn-соединение с адресом удаленного Exchange и логином\паролем - myuser-пароль все соединяется, работает. Делаю тоже самое для локального - ошибка пдключения к vp

самое мутное.

Я так понимаю, что с сервера, который Win2003 - VPN туннель устанавливается, выделяется внутренний IP и все ок.

А вот на компьютере с WinXPSP2 тунель не создается.

Если все правильно, то приступаем к решению задачи.

Гарри Поттер © (13.02.06 12:55)
Трабла в том что Аутлук не хочет соединяться(выходить в инет) через сервер

в интернет или через VPN?

Гарри Поттер © (13.02.06 12:55)
Как я понимаю vpn создается поверх TCP

нет, поверх IP.

Гарри Поттер © (13.02.06 12:55)
значит proxy+ тут ни причем?

причем. Где стоит proxy+? На машине с Win2003?

Куда подключен интернет физически от провайдера? К машине с Win2003?

Вывод логичный - никогда не работал с Proxy+, но ты ясен пистолет должен обеспечить маршрутизацию между компьютером с WinXPSP2 и удаленным VPN-шлюзом.

Проблема в том, что VPN - он поверх IP, там нет портов, поэтому полноценную маршрутизацию сделать будет сложно. NAT тоже сосет лапу.

Варианты:

1) Тебе или нужно делать реальный NAT на внутрилокальный WinXPSP2, то есть все IP пакеты пересылать на него, фактически сделать сервером WinXPSP2, а Win2003 останется так, как роутер фактически.

Способ левый. У тебя уже есть сервер. Таким же образом практически провод от провайдера можно воткнуть не в Win2003, а в WinXPSP2.

2) модификация способа предыдущего. Сколько IP адресов провайдер предоставляет вам? Если больше одного - то есть смысл выделить один IP под VPN.

То есть, это такая же полная переброска IP пакетов от Win2003 до WinXPSP2 с одного из интерфейсов. Win2003 выполняет роль файервола, принимая пакеты по VPN-интерфейсу только с адреса удаленного компьютера (VPN-Сервера) и посылает пакеты с адресом удаленного VPN-Сервера именно через VPN-интерфейс.

Способ очень даже ничего. Под каждый VPN-тунель нужен 1 внешний IP адрес.

3) в настройках программы Proxy+ сделать VPN-туннель. Не знаю - можно ли там это сделать. В WinRoute такое вроде бы есть.

Смысл - Win2003 открывает VPN-шлюз на себе, смотрящий в вашу локальную сеть. Соединяешься с адресом Win2003 как будто с VPN-сервером, а он соединяется с указанынм удаленным сервером, все что пересылаешь ты ему по VPN-туннелю, он пересылает удаленному VPN шлюзу и наоборот.

ФАктически, VPN-прокси получается.

На одном сервере можно запустить один такой шлюз к одному внешнему IP-адресу.

← →
Гарри Поттер © (2006-02-13 15:19) [2]

Piter © (13.02.06 14:59) [1]
Во-во, уже начинает проясняться, но времени нет.
Да, я чета путанно объяснил, щас, до дома доеду и попробую подробнее

← →
Piter © (2006-02-13 15:29) [3]

Гарри Поттер © (13.02.06 15:19) [2]

хм, собственно я все описал :)

Тебе надо вникнуть и ответить в стиле "Да", "Нет"

← →
Гарри Поттер © (2006-02-13 18:14) [4]

> Итак, есть локальный компьютер на WinXPSP2.
> Он входит в домен, сервер - Win2003.
> Есть некий удаленный компьютер, где есть VPN-сервер, там
> же установлен Exchange2003 сервер.
> Надо установить VPN соединение с удаленным компом, и забрать
> почту с Exchange2003?

Да.

> Я никогда не работал с Exchange2003, она в себя вбирает
> функции VPN-сервера?

Видимо, раз через vpn к нему конектятся. Я тоже никогда его не видел.. И еще бы не видеть..

> с сервера, который Win2003 - VPN туннель устанавливается,
> выделяется внутренний IP и все ок.
> А вот на компьютере с WinXPSP2 тунель не создается.

Да, вроде так.

> Где стоит proxy+? На машине с Win2003? Куда подключен интернет физически от провайдера? К машине с Win2003?

Лок.сеть, сервер с шнурком АДСЛ, на сервере proxy+ клиенты ходят в инет через нее.

> в настройках программы Proxy+ сделать VPN-туннель.

Нету там такого..

> Смысл - Win2003 открывает VPN-шлюз на себе, смотрящий в
> вашу локальную сеть. Соединяешься с адресом Win2003 как
> будто с VPN-сервером, а он соединяется с указанынм удаленным
> сервером, все что пересылаешь ты ему по VPN-туннелю, он
> пересылает удаленному VPN шлюзу и наоборот.
> ФАктически, VPN-прокси получается.

Да, это в идеале, а как организовать-то? В аутлуке при первом запуске надо указать ИП ексченча и логин юзера, подразумевается что в этот момент vpn-соединение уже установлено и сразу идет коннект. Нет коннекта - аутлук не запускается. Т.е. надо на лок.компе держать поднятый vpn-туннель через сервер к удаленному ексченчу... Ужос. Неужели нельзя без этого гимора? Если нет, то как это сделать?

> На одном сервере можно запустить один такой шлюз к одному
> внешнему IP-адресу.

А из этой сетки нужно подключить пять юзеров.. Пять учетных записей Получается пять vpn-соединений создавать? Еще, при включеном vpn-соединении не работает соединение с интернет через АДСЛ, а это критично. В идеале надо сделать чтобы коннект происходил только когда аутлуки синхронизируются с удаленным ексченчем и отключался когда передачи нет.

Задача, млин.. Помоги, моей благодарности не будет границ..

Я пока что думаю.. Два варианта, первый - как-то организовать vpn от клиентов через сервер на удаленный ексченч.
Второй вариант - одно vpn-соединение на сервере... а дальше мыслей нет.

← →
Piter © (2006-02-13 19:35) [5]

Так, проясню заблуждение, которые присутствуют имхо.

Что такое VPN, в курсе? Собственно, исходит из названия - Virtual Private Network. То есть... это... Это как будто ты модемом коннектишься к провайдеру и соединяешься. Тебе выделяют IP внутри ТОЙ сети, все пакеты отправленные через этот новый интерфейс - будут отправлены ТУДА. Только модем работает поверх телефонной линии, а VPN поверх протокола IP :)

Как я понимаю проблему... То, что в Exchange встроен VPN-шлюз... имхо, бред. Скорее всего, у них там просто где-то в локалке есть Exchange сервер почтовый... Имеет он адрес допустим 10.3.4.23 (кстати, ты когда описываешь неплохо было бы с IP все приводить и вообще с любой информацией, а то как будто мне нужно и я вытягиваю из тебя инфу :)

Естественно, из своей локалки к IP-адресу 10.3.4.23 в ИХНЕЙ локалке ты доступа ну никак не получишь напрямую. Exchange они не выставляют в инет, видмо, опасаясь взлома, да и перехвата трафика.

Тебе нужно через VPN получить доступ к их локалке, в том числе получить адрес в ихней локалке. Установление VPN и забирание почты - процессы вообще раздельные. Забрать почту - лажа, главное получить доступ в их локалку. Exchange или там что у них - параллельно.

Итак. Методы установления VPN я привел. Насколько я помню, VPN не поддерживает технологию типа портов, поэтому между двумя IP можно установить только ОДНО VPN соединение.

Поэтому, если есть парадоксальная идея установить кучу VPN с каждого компа... то нужно иметь столько же внешниз IP. Вам провайдер сколько IP дает? Подозреваю, что один.

В контексте твоей задачи правильным будет другое.

← →
Piter © (2006-02-13 19:39) [6]

Правильным будет устанавливать VPN соединение на сервере w2k3.А остальным компьютерам в сети просто делать NAT в удаленную локальную сеть.

Тут зависит от возможностей Proxy+

← →
Piter © (2006-02-13 19:46) [7]

Гарри Поттер © (13.02.06 18:14) [4]
Пять учетных записей Получается пять vpn-соединений создавать?

а что, логин и пароль от VPN совпадает с логином и паролем от почтового ящика?

Думаю, по разным аккаунтам на VPN ты попадаешь в одну и ту же локалку. Так что соединение на w2k3 можно сделать по одному из аккаунтов, а уже при заборе мыла в почтовомклиенте использовать нужный аккаунт.

Еще, при включеном vpn-соединении не работает соединение с интернет через АДСЛ

ежу понятно. По умолчанию, при установлении VPN-соединения, Windows перенаправляет весь роутинг на вновь созданный интерфейс (VPN). Вот у вас инет и начинает ходить в их локальную сеть :) И обламывается :)

Надо нормально настроить роутинг. А также в свойствах IP-соединения, в свойствах TCP/IP протокола надо снять галочку там где-то есть аля "Использовать шлюз в удаленной сети".

Гарри Поттер © (13.02.06 18:14) [4]
Задача, млин.. Помоги, моей благодарности не будет границ

я тебя за язык не тянул :)

← →
Piter © (2006-02-13 19:47) [8]

И еще. У вас там админ есть? Или это ты? :)

← →
Piter © (2006-02-13 19:50) [9]

Piter © (13.02.06 19:46) [7]
А также в свойствах IP-соединения

в свойствах VPN-соединения

← →
Гарри Поттер © (2006-02-13 20:01) [10]

> Piter © (13.02.06 19:35) [5]

Я это знаю.

> Правильным будет устанавливать VPN соединение на сервере
> w2k3.А остальным компьютерам в сети просто делать NAT в
> удаленную локальную сеть.

Щас сидел, "читал, много думал", тоже пришел в такому же выводу.
Смогу увидеть эту сетку только послезавтра, снесу Proxy+ и буду все настраивать через NAT.
Спасибо, Piter ©, ты настоящий друг ;-)

← →
Piter © (2006-02-13 20:08) [11]

Гарри Поттер © (13.02.06 20:01) [10]
Proxy+

а он что, NAT не умеет рулить? Тогда в топку, конечно...

Кстати, если Proxy+ - это чисто HTTP-прокси у вас... То тогда весь требуемый тобой функционал можно реализовать вообще встроенными средстами любой WindowsNT.

Хотя не понимаю... а что же у вас Proxy+ делал? NAT он не умеет... А как же у вас почта ходит? WEB-Интерфейсами что ли пользуетест?

← →
Гарри Поттер © (2006-02-13 20:12) [12]

> Пять учетных записей Получается пять vpn-соединений создавать?
>
> а что, логин и пароль от VPN совпадает с логином и паролем
> от почтового ящика?
> Думаю, по разным аккаунтам на VPN ты попадаешь в одну и
> ту же локалку. Так что соединение на w2k3 можно сделать
> по одному из аккаунтов, а уже при заборе мыла в почтовомклиенте
> использовать нужный аккаунт.

В том то и дело что логин\пароль на vpn это логин\пароль на юзера на ексченче. Соединившись аутлук работает напрямую с екченчем.
Еще, апсалютно пока не представляю как организовать коннект и отключение аутлука для синхронизации с ехченчем. Чтобы не было постоянного vpn и не включать\отключать ручками. Ладно, пусть во время синхронизации инет для сетки отрубается, но нужно чтобы не надолго. Послезавтра на месте подумаю.

← →
Piter © (2006-02-13 20:45) [13]

Гарри Поттер © (13.02.06 20:12) [12]
не представляю как организовать коннект и отключение аутлука для синхронизации с ехченчем

ну... по крайней мере, если адрес w2k3 сервера есть 192.168.0.1 - то можно легко сделать, чтобы клиенты в вашей локалки могли управлять этим VPN-соединением... Отключать его.. подключать...

Гарри Поттер © (13.02.06 20:12) [12]
Ладно, пусть во время синхронизации инет для сетки отрубается

зачем?... Элементарная настройка роутинга и все...

И еще, ты как-то некоторые вопросы и предложения легко игнорируешь... Зря, тебе же настраивать, как я понял...

← →
Гарри Поттер © (2006-02-13 21:18) [14]

> И еще, ты как-то некоторые вопросы и предложения легко игнорируешь...
> Зря, тебе же настраивать, как я понял...

Нет, не игнорирую. Просто сегодня первый раз с этим столкнулся, провозился, а сейчас, дома, нет всего этого и мысли проверить негде. Только теория. Надо было сегодня на месте не выеживаться, а почитать литературу (ее там было навалом), нет млин, решил что много знаю.. Сейчас вроде представляю план действий, в среду поеду туда снова доделывать.

← →
Ученик чародея © (2006-02-13 21:41) [15]

Piter © (13.02.06 19:35) [5]
Так, проясню заблуждение, которые присутствуют имхо.
В контексте твоей задачи правильным будет другое.

Port Mapping?

← →
Piter © (2006-02-13 22:19) [16]

Ученик чародея © (13.02.06 21:41) [15]
Port Mapping?

я говорил, VPN - оно поверх IP, а не TCP. Какой нафиг Port Mapping...

Гарри Поттер © (13.02.06 21:18) [14]
Нет, не игнорирую

игнорируешь :)

Piter © (13.02.06 20:08) [11]
Кстати, если Proxy+ - это чисто HTTP-прокси у вас... То тогда весь требуемый тобой функционал можно реализовать вообще встроенными средстами любой WindowsNT.

Хотя не понимаю... а что же у вас Proxy+ делал? NAT он не умеет... А как же у вас почта ходит? WEB-Интерфейсами что ли пользуетест?

> Ученик чародея © (13.02.06 21:41) [15]
> Port Mapping?

На Proxy+ есть Mapping, пытался делать, ничего не вышло. Подозреваю что это не совсем то, что нужно. Это работает при настройке приложений, которые не понимают прокси, а здесь соединение, Vpn-труба с клиента должна уходить на IP находящийся за пределами лок.сети. Короче, вроде не то..

>это чисто HTTP-прокси у вас... То тогда весь требуемый тобой функционал можно реализовать
> вообще встроенными средстами любой WindowsNT.

На сервере NAT не работает, обходились прокси. Буду настраивать.

> А как же у вас почта ходит? WEB-Интерфейсами что ли пользуетест?

Почта - Бат. Один ящик на всю контору на яндексе. Бат настроен через proxy.

Гарри Поттер © (13.02.06 22:43) [18]
Бат настроен через proxy

извини, но прокси для мыла не существует.
Только если NAT, других вариантов нет.

Поэтому, видимо, Proxy+ поддерживает NAT, ибо по другому не настроили бы.

Может, просто в Proxy+ это называется по другому... Translation Address или типа того... но это должен быть именно NAT.

Гарри Поттер © (13.02.06 22:43) [18]

а, нет, есть конечно конечно. Socks прокси может выполнить задачу. Но Бат, по-моему, не поддерживает Socks прокси.

Соответственно, или у вас Бат + всякие SocksCapture или как там) или таки NAT

>>Piter © (14.02.06 00:08) [19]

WinRoute может сам забирать почту с внешних адресов и форвардить ее в папки локальных пользователей.

Ученик чародея © (14.02.06 0:18) [21]

The Bat, кстати, тоже это может. Если поставить его в Server режим... или как-то так.

VPN+Outlook+Exchange Найти похожие ветки