Come impostare una connessione VPN in entrata con Windows per tunnelare il traffico Internet?

19

Voglio configurare una VPN su un server remoto per instradare tutto il mio traffico Internet per motivi di privacy. Posso impostare una connessione in entrata e collegarmi correttamente ad essa. Il problema è che posso solo vedere il computer remoto e nessun altro sito Web si aprirà. Voglio che il server remoto si comporti come un NAT. Come posso fare ciò?

Nota che non voglio dividere il traffico Internet. In realtà, voglio inviare tutto il traffico al server remoto, ma devo farlo inoltrare il traffico.

Per la cronaca, il mio server remoto è Windows Web Server 2008 che non ha il servizio di routing e accesso remoto.

Una precisazione

Sono principalmente interessato alla configurazione del server. Non ho problemi a configurare il client. A proposito, Windows Web Server 2008 sembra avere le stesse funzionalità VPN integrate nei sistemi operativi client (come Vista) e, nello specifico, non include la console RRAS in MMC. Sono anche aperto a suggerimenti sui demoni PPTP / L2TP di terze parti disponibili, se sono gratuiti.

windows-server-2008  vpn  tunneling  route 
xmm0
fonte
1
Eccoci qui! Una delle prime (o probabilmente la prima) domanda di taglie su ServerFault!
xmm0,
E come hai creato una taglia del valore di 100 quando ne hai 63?
Tim Post
È una reputazione post-ricompensa.
xmm0,
Aggiornamento: mentre nessuna delle risposte ha risolto il problema, routeè probabile che la risposta accettata insieme a giocare sul client e utilizzare ICS sul server lo faccia funzionare. Proverò non appena avrò tempo e pubblicherò una soluzione se potessi trovarne una. Nel frattempo, le nuove idee sono molto apprezzate.
xmm0
Solo per aggiungere alcune informazioni alle risposte: l'ho testato su Windows 2008 ultimate senza installare RRAS e non ha funzionato neanche Se qualcuno fosse a conoscenza di un software che sostituisce il RRAS integrato per configurare PPTP / L2TP, sarebbe utile
Alireza Rinan

Risposte:

4

È stato possibile creare una connessione VPN remota tra Vista e Windows Web Server 2008 senza il ruolo di Network Policy Server? In tal caso, sono curioso di sapere come appariva la sottorete / IP al client in quello scenario una volta che il tunnel era attivo.

Se hai una VPN attiva, hai trasferito il tuo dominio problematico da una VPN a una di routing. Sono abbastanza sicuro che sarai in grado di colmare le connessioni utilizzando l'edizione Web e che puoi anche utilizzare la Condivisione connessione Internet . In caso contrario, sono disponibili programmi di "condivisione Internet" economici e probabilmente gratuiti ( NAT32 ).

Ciò presuppone che il tuo computer client abbia in qualche modo un IP sulla rete (interna?) Del server.

Inoltre, quando dici traffico Internet, è possibile che la tua definizione includa solo traffico abilitato per proxy. In tal caso, è possibile spostare nuovamente il dominio dal routing al proxy e utilizzare un server proxy gratuito associato all'IP sull'altra estremità del tunnel.

Mike Haboustak
fonte
NAT32 è un ottimo suggerimento. Penso che dovrei guardarlo. L'IP può essere impostato manualmente ma il problema riguarda il gateway predefinito. Non riesco a capire come impostare il gateway predefinito sulla connessione (o far dire al server il client). Penso che se posso farlo, insieme a NAT32, funzionerà. +1
xmm0
Come stai ottenendo un server PPTP / VPN senza RRAS di NPS? Sapendo che ciò potrebbe aiutarci a scoprire soluzioni per il gateway e il routing ICS.
Mike Haboustak,
Sto usando la funzione di connessione in entrata che è stata disponibile anche nei sistemi operativi client. Non esiste una console RRAS.
xmm0
10

Questo accadrà di default se la VPN è configurata correttamente.

Quando si effettua una connessione VPN da CLIENT di Windows, esiste un'opzione avanzata denominata Use Default Gateway on Remote Networkche è selezionata per impostazione predefinita.

Ad esempio, in Windows XP:

  • Vai a Connessioni di rete
  • Fai clic con il tasto destro sul tuo connettoide VPN
  • Scegli Proprietà
  • Vai alla scheda Rete
  • Scegli Protocollo Internet (TCP / IP) dall'elenco
  • Fai clic su PROPRIETÀ
  • Fai clic su Avanzate
  • Nella scheda Generale, selezionare Use Default Gateway on Remote Network

È possibile che il gateway predefinito non sia configurato correttamente sul server remoto.

Joel Spolsky
fonte
Grazie Joel. Penso che tu abbia ragione e il problema sia sul server, poiché avevo configurato correttamente un server VPN con Win2k3 Std Ed. Console RRAS e ha funzionato bene. Inoltre, non riesco a vedere il gateway predefinito IPv4 assegnato al client (nello stato della connessione). Il problema è, come posso configurare il server per fornire il gateway predefinito corretto al client? Sembra che Win2k8 Web abbia solo connessioni in entrata XP / Vista (client-OS) e nessuna console RRAS. Qualche idea?
xmm0
Non ho mai usato Win2k8 Web Edition ... probabilmente esiste una soluzione alternativa che non conosco, temo, ma quella versione del server è progettata SOLO per servire pagine Web, quindi per quello che ne so potrebbe mancare le funzionalità di routing che lo renderebbero possibile.
Joel Spolsky
@ Joel, ha un senso dal punto di vista della sicurezza. Impedire a un server web di agire anche come router lo rende un bersaglio meno utile per gli attacchi.
saschabeaumont,
1
Non l'ho mai provato su qualsiasi cosa sopra XP, ma questo hack di reg usato per attivare il routing IP anche su sistemi operativi non server support.microsoft.com/kb/315236 - potrebbe aiutare, anche se penso che dovresti ancora abilitare NAT in qualche modo?
Sbatti
1
Solo una piccola nota: il server VPN non funzionerà come NAT, il client VPN prenderà un IP dal tuo server DHCP e quindi passerà attraverso il tuo gateway predefinito, che sarà NAT. Pertanto, quando il client si connette alle risorse della rete, verrà visualizzato da questo indirizzo DHCP, non dall'indirizzo del server VPN. Questa è una buona cosa.
Cawflands,
4

Purtroppo non è possibile installare RRAS su Server 2008 Web Edition, non è un ruolo consentito. Quindi dovresti usare un'applicazione di terze parti, Open VPN è una delle più comuni e una che ho usato con successo sul server 2003 prima.

Una volta che hai quella configurazione, i consigli di Joel per la configurazione del client assicureranno che il tuo traffico web passi attraverso la VPN.

Sam Cogan
fonte
OpenVPN supporta PPTP o L2TP o utilizza il proprio protocollo? Devo connettermi anche tramite il mio iPhone, quindi non dovrebbe richiedere un client.
xmm0
Open VPN utilizza Ipsec, quindi richiede un proprio client, che non esiste per l'iPhone. Sfortunatamente le scelte dei server VPN per Windows sono un po 'limitate.
Sam Cogan,
1
OpenVPN non utilizza IPSec, utilizza SSL.
pc1oad1etter
1

Potrebbe esserci un posto speciale in purgatorio per le persone UNIX che forniscono suggerimenti secondo le seguenti linee, ma l'ho usato per uno scopo simile al tuo (ottenere dati riservati agli Stati Uniti limitati alla portata ip dagli Stati Uniti a Città del Messico):

Installa OpenSSH sul server, ecco come puoi farlo su Vista / 2008: http://www.petri.co.il/setup-ssh-server-vista.htm (ho notato che si tratta di un TLD .il, se questo è un problema dall'Iran, forse prova a cercare la cache o posso ripubblicarla se lasci un commento. Forse anche un esempio del motivo per cui abbiamo bisogno di un accesso sicuro a Internet senza confini.)

Crea una connessione ssh dinamica usando Putty . Ecco le istruzioni e una spiegazione .

Punta il browser, il client di posta, ecc. Verso il proxy locale. In effetti, quello che stai facendo è questo: apri una sessione ssh dinamica sull'host remoto. Hai un proxy locale a cui questa connessione è vincolata. Inoltrate tutte le richieste a questo proxy locale, il proxy quindi invia una richiesta crittografata al server, il server recupera e restituisce qualsiasi cosa sia richiesta dal mondo esterno tramite un tunnel sicuro al proxy locale e quindi alla vostra applicazione. Puoi confermare che funziona aprendo un sito Web che fornisce la geolocalizzazione degli indirizzi IP. Sono sicuro che può essere automatizzato anche. (Se questa è una cosa assolutamente abominevole da fare su un server Windows, fammelo sapere nei commenti.)

bvmou
fonte
0

Questo è un thread piuttosto vecchio ma mi sono ritrovato a cercare una risposta a questa stessa domanda esatta. Ho trovato un paio di cose durante la mia ricerca. Sto postando qui solo per aggiungere a queste informazioni, quindi nel caso in cui qualcun altro stia cercando risposte, possono trovarle qui.

Innanzitutto, è disponibile un servizio gratuito su www.itshidden.com che ti consente di connetterti ai loro server VPN. Una volta connesso, tutto il tuo traffico Internet viene trasferito attraverso quell'interfaccia VPN. La configurazione iniziale e la connessione sono abbastanza semplici; qualsiasi moderna installazione di Windows 2000 / XP / Vista e successive ha già il software client VPN integrato. L'unico aspetto negativo è che i loro server sono di stanza in Europa, quindi i tuoi pacchetti hanno parecchi modi di viaggiare. Avevo bisogno di qualcosa di più vicino a casa per ridurre la latenza dei pacchetti e il ping e come tale non era la soluzione ideale. Quindi ho continuato a cercare ...

Nella mia continua ricerca ho trovato il firmware dd-wrt. La creazione di un server VPN direttamente sul router stesso è una delle belle funzionalità di dd-wrt. La configurazione è piuttosto semplice e diretta: imposta l'IP del server VPN del router, imposta i possibili intervalli IP per i client e le informazioni di accesso del client VPN. Questo è tutto fatto dalla configurazione del router dd-wrt attraverso il browser. La configurazione del client VPN segue le stesse procedure descritte da www.itshidden.com, ovviamente con un IP del server VPN diverso.

Infine, ho anche tentato di trasformare uno dei computer in un server VPN utilizzando il metodo accetta connessioni in entrata come l'OP. I client e il server VPN possono eseguire il ping a vicenda ma il problema è che non riesco a far sì che il server VPN instradi correttamente il traffico Internet dai client. Ho provato a giocherellare con la tabella di route su entrambe le estremità client e server. Per farla breve non riuscivo a farlo funzionare completamente. I servizi LAN di individuazione funzionano correttamente (ad es. Server FTP su un computer LAN), ma non ho mai avuto il traffico Internet per instradare correttamente - forse qualcun altro potrebbe avere più fortuna.

Quindi, tutto sommato, se si dispone di un router che supporta dd-wrt, vale la pena esaminarlo. Questa è la soluzione su cui ho optato. È stato facile impostare e lavorare.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.