Skip to main content

Moi!

 

Olen nyt koittanut säätää vuokratun palvelimen välille (Ranska) ja ciscon välille VPN-yhteyttä. Haluaisin siis nämä samaan IP-osoiteavaruuteen. 

 

Mitä tietoja siis laitan ciscon modeemissa, jotta voisin yhdistää palvelimeen?

 

 

Ja onko palvelimen puolella jotain erityistä, mitä tehdä normaalin vpn-yhteyden sijaan? Kun tuohan on IPsec-tunneli.

 

Lokissa ilmoittaa tälläistä:

 

 PacketEncapsulate failed with error Bad Sequence Number 

 

 Failed ESP packet OMA IP==>PALVELIMEN IP (spi=00 00 00 00, seq=00 00 00 00) 

Sinulla siis Windows Server 2012 R2 palvelimelle asennettu RRAS rooli?

 

Itse kun olen hieman VPN tunneleiden kanssa tehnyt töitä niin osaan sanoa jotakin kyllä. IPSec tunnelia en kyllä ole tehnyt Windows Serverillä mutta PPTP, SSTP ja L2TP + IPSec tunnelit on kyllä tehty. IPSec pelkästään en ole tehnyt kyllä tolla Windows Serverillä... 

 

Kun haluat samaan verkkoon, määrität täältä sivulta (kuvankaappaus) sitten adapterin mihin verkkoon siis VPN yhdistetään.

 

 

Itselläni kun ei ole kaapelimodeemia koskaan ollut en osaa ihan sanoa tarkkoja asetuksia... 


Kiitos avusta!

 

Nyt toimii tietokoneen VPN-yhteys palvelimelle, mutta reitittimen ei. Tulee nämä errorit lokiin nyt:

 

IKE Phase 1 Negotiation FAILED OMA IP==>PALVELIMEN IP

 

ignore information because the message has no hash payload.

 

 


En osaa sanoa mikä virhe tuo on mutta voidaan toki selvitellä... Googlesta olet varmaan etsinyt ongelmaasi ratkaisua?

 

https://www.taisto.org/Remote_Access 


Tuli mieleen mitä sulla tässä välilehdessä on?

 


Juuri noin oon laittanut. Kokeilen nyt uudestaan, katotaan miten nyt toimii


Joo, nyt se antaa tällästä virhettä:

 

ignore information because the message has no hash payload.

 

Tää ratkasu näyttäs olevan jo lähellä!


Mutta mitenköhän tuossa modeemissa, kun muut laitteet kysyy aina käyttäjätunnusta ja salasanaa, miten tuo sitten varmistaa sen?


Oisko tästä jotakin apua? https://supportforums.cisco.com/discussion/11568821/ipsec-site-site-vpn-help

 

 



@hktomiki1 kirjoitti:

Mutta mitenköhän tuossa modeemissa, kun muut laitteet kysyy aina käyttäjätunnusta ja salasanaa, miten tuo sitten varmistaa sen?


Käyttäjätunnuksella ja salasanalla... Toki voi laittaa joku sertifikaattikin jos haluaa... 


Joo, mutta modeemi ei tälläsiä kysy?

 

 

Missä sitten laitan tunnustiedot.. Kun siinä se ratkasu varmasti ois?


Juu... siinä se ratkaisu.. Mitä noissa menuissa alla mahtaan olla? Kun en ole Ciscon kaapelimodeemilla oikein mitään tehnyt...

 

Key Exhance Method 

Authentication

 

Tai sitten palvelimen konffeihin että vain Pre-Shared Key:llä... ei tunnus ja salasanaa vaadita...


Katoin niitten alle, siellä ei mitään niistä oo..

 

Miten sieltä palvelimelta konfiguroin ton, että vain psk:lla?

 

Ja vielä se, kun yhdistin koneenl VPN:ään, niin pääsy julkiseen internetiin oli estetty, tiedätkö mistä se johtuu ja mistä saa pois?


En osaa sanoa suoraan, kun en tiedä tarkkoja konffejasi... Eikä minulla suoraan ole vastaustakaan kun en aikaisemmin ole ihan näin tunneleita tehnyt. Veikkaus on että jos sulla NPS asennettu niin sieltä määrität miten palvelimelle todennetaan.

 

Tämä riippuu reitityksestä... Miten ole reitittänyt yhteydet?

 

Kun luot Windowssilla oletuksena VPN profiilin niin se käyttää oletuksena remote gateway:tä, eli VPN tunnelia oletusyhdyskäytävänä. 

 

Jos VPN tunnelin oletusyhdyskäytävä ei reititä liikennettä internettiin, niin ei sitten ole nettiyhteyttä...

 

Voit muuttaa asiakas tietokoneellasi (VPN Client) reititystä, että käyttää siis Ciscon kaapelimodeemia reitittimenä suoraan internettiin.

 

1. Control Panel -> Networks and Internet -> Network Connection

2. Valitse VPN verkkoadapteri

3. Mene Networking  välilehdelle.

4. Valitse Internet Protocol Version 4 -> Properties.

5. Valitse Advance

6. Poista kuvankaappauksen mukaisesti rastit.

 

 

Muodosta yhteys uudelleen, nyt toimii siis internet yhteys suoraan koti gatewayn kautta.


Mutta sitten vielä, miten saan ciscon yhdistettyä tuohon palvelimeen? Eli, mitä konfiguroin tuolta palvelimen päästä, että vain tuolla pre-shared keylla?


Eikun oho, vastasitkin jo tohon 😃

Enään en voi muuta kuin veikkailla miten tämä tehdään... Itselläni kun on Mikrotikin reitittimiä käytössä ja niillä VPN tunnelit tekee nopeasti ja helposti... 

 

Minullakin on tunneliyhteyksiä palvelimelleni joka siis on palvelinsalissa, mutta RouterOS oli paras toteutus ainakin tähän menneessä. Jos tunneli katkeaa se osaa muodostaa aina uudelleen yhteyden kun mahdollista.

 

Windowssin RRAS on minusta tosi hankala ollut... toimii ihan ok:sti client -> server tunnelina mutta kun halusin site to site tunnelin niin siinä RRAS ei ollut kovin hyvä... 

 

Ja kun niistä on todella kattavat ohjeet täältä suomeksi: https://www.taisto.org/Etusivu#Mikrotik


Ei tuo ihan helppoa ole.. Palvelimelta laitoin PSK:lla kirjautumisen ja tietokoneella pääsen kirjautumaan ilman tunnuksia, eli vain pelkällä PSK:lla, mutta modeemilla en. 

 

Täytyyköhän tossa avata joku portti ciscosta? Kun saapuva liikenne tulee, niin estääköhän palomuuri sen?

 

No, tietokoneella toki pääsee tähän yhteyteen.. Kun tuossa ciscossakaan ei ole mitään tukea, muuta kun yrityksille, joten toivon, että sonera auttaisi tähän hommaan?

 

Miten siis saan yhteyden VPN - IPSec-tunnelin kautta, kun ei kysele tunnustietoja?


Et saa tukea Soneralta kylläkään... ohjaavat sinut Helpsoniin jossa sitten saat maksullisena tuen ja ainakaan minä en saanut yhtään apua sieltä... Vain  perusasetukset kuuluu Soneralle... ei se että haluat tehdä VPN virityksiä Ciscon kaapelimodeemilla.

 

Mutta saako edes Ciscosi yhteyden tonne palvelimeesi? Loki tietoa tästä? Jos vähän kuvankaappauksia saisi konffeistasi niin auttaisi tosi paljon miten sitten voisi auttaa... Voin jos tänään aikaa olisi niin tehdä vaikka beta ympäristö jossa kokeilisi luoda ipsec tunnelia Windowssilla. Huomaathan että Windowssin RRAS käyttää L2TP with IPSec ei pelkästään IPSec joten tämä saattaisi olla syy miksi ei toimi sinulla.

 

Sinuna kokeilisin Murobbs foorumia, sielä enemmän asiantuntijoita lukemassa postauksia...

 

Kun saat toimimaan niin voisit vaikka postata tänne / privana miten sait toimimaan... Olisi kiinnostunut tietää ja voisin vaikka itse kirjoittaa artikkelin Taistowikiin miten sitten sellainen tehdään jos joku muu kyselisi siitä. 


Vastaa