2003 Vpn O Ssh

[carlainz]

ciao volgio collegarmi con desktop remoto a un pc on win 2003 .

quale metodo e' piu sicuro , creare un tunell vpn o con ssh , o esiste qualcosaltro piu sicuro ?

ciao ciao

[Lorenz]

Sia la VPN che il traffico SSH criptano le comunicazioni, quindi sono ragionevolmente affidabili entrambi. Poi, dipende anche da quale algoritmo di crittografia utilizzi con la VPN, so che ne esistono diversi ma devo dire che non sono un esperto in questo campo. ;-)

[Predator]

Spostata in area Network

[carlainz]

diciamo che volgio usare la vpn , ho impostato come authentication provider , windows authentication , ho aperto la porta sul router 1723 , ma quando provo a collegarmi dal esterno non ho risposta per il tunnell .

In routing and remote access ho abilitato remote acess server , ma non si collega ....

ciao ciao

[archim3de]

Il tunnel su protocollo ssh è una soluzione "limite" da utilizzare nei casi in cui non è implementabile una vpn (per motivi tecnici o di costi).

Inoltre, una VPN è decisamente più flessibile e performante che non una serie di tunnel!

sui motivi per cui non funziona quanto da te implementato, bisognerebbe vedere cosa e come è stato fatto!

i router/firewall sono stati configurati correttamente?

gli "end point" sono macchine windows o apparati dedicati? (es dei firewall o router?)

[Lorenz]

diciamo che volgio usare la vpn , ho impostato come authentication provider , windows authentication , ho aperto la porta sul router 1723 , ma quando provo a collegarmi dal esterno non ho risposta per il tunnell .

In routing and remote access ho abilitato remote acess server , ma non si collega ....

ciao ciao

Sul router dovresti anche fare il port forwarding della porte 1723 verso il server VPN che ti dovrebbe autenticare come utente. Inoltre, devi andare nelle Proprietà dell'utente prescelto per stabilire la VPN ed abilitarlo per le Chiamate in ingresso (o Dial-in, ora vado a memoria e non è detto che le voci siano esattamente queste). ;-)

[carlainz]

ciao ,

quando mi collego da un client xp , mi fa la conessione ma poi mi rimane bloccato al autenticazione , ho guardato in c:/windows/system32/logfile ma non vedo nessun log ....

utente l'ho creato e ho messo i privilegi x la vpn ....

dove trovo il log per vedere che succede ?

ciao ciao

grazie

[Lorenz]

Ma hai configurato i filtri in RRAS? Se è così, devi anche creare un filtro in output che ti abiliti la porta locale 1723 in uscita verso ogni indirizzo e verso ogni porta. ;-)

[carlainz]

si il filtro in rras l'ho configurato , credo che il problema sia nei permessi perche la conessione la fa , e si blocca al punto dopo quando mi fa autenticazione .

[Lorenz]

si il filtro in rras l'ho configurato , credo che il problema sia nei permessi perche la conessione la fa , e si blocca al punto dopo quando mi fa autenticazione .

Io sto parlando del filtro in uscita, non del filtro in ingresso. Devi abilitare anche quello in uscita, poiché i filtri RRAS non sono così intelligenti, ciò che fanno entrare non fanno uscire se non istruiti in modo esplicito. Ovviamente non posso essere sicuro che il problema sia quello che ho indicato io, ma se fosse un problema di autenticazione, prima o poi ti dovrebbe dire che la password non è corretta, mentre per i permessi l'unica cosa da fare è abilitare un qualsiasi utente per le connessioni in ingresso (dial-in), e la connessione viene comunque stabilita.

[carlainz]

ciao in rras nei filtri della scheda di rete collegata al router , sia il filtro inbound che outbound l'ho impostato per la porta 1723 con ip della scheda di rete , e la subnet 255.255.255.255

ma sempre si collega mi fa autenticazione e poi si blocca ...

premetto che la porta dal esterno con nmap e' aperta e il dektop remoto funziona e sto facendo le prove con utente administrator ..

ciao e grazie del aiuto

[Lorenz]

Allora mi sa che non ho capito...

La connessione VPN quindi viene stabilita, l'utente viene autenticato e quindi la VPN funziona... a questo punto non capisco in che situazione si blocca...

[carlainz]

si blocca con la scritta " verifying username e password "

rimane cosi per circa 20 sec poi mi da disconnected error 721 ....

ciao ciao

[Lorenz]

Quindi la connessione VPN non viene stabilita... mi faresti uno screenshot del filtro configurato in uscita per la VPN?

[carlainz]

ciao ecco lo screenshot la rete 50 e la scheda collegata al router la 100 allo switch

ciao ciao

[carlainz]

il forum non mi aveva allegato il file

outbound.pdf

[carlainz]

outbound2

outbound2.doc

[Lorenz]

Spero d'aver capito bene... in tal caso, la porta 1723 non la metterei in Destination Port ma in Source Port, ovviamente nel filtro outbound. ;-)

[carlainz]

ciao ho provato a mettere la porta 1723 su surce port ma cosi non arrivo neanche nella fase del autenticazione , mi si blocca prima e dice impossibile stabilire una conessione vpn , error 800

non sono sicuro ma penso che la soluzione al problema si puo leggere nel file di log della vpn ma non riesco propio a trovarelo in system32/logfile

ciao ciao

[carlainz]

nel event viewer ho trovato questo

The user connected to port VPN4-4 has been disconnected because the authentication process did not complete within the required amount of time.

e anche

Object Open:

Object Server: Security Account Manager

Object Type: SAM_DOMAIN

Object Name: CN=Builtin,DC=base,DC=local

Handle ID: 49876088

Operation ID: {0,3802017}

Process ID: 456

Process Name: C:\WINDOWS\system32\lsass.exe

Primary User Name: CARLAINZ$

Primary Domain: TIME

Primary Logon ID: (0x0,0x3E7)

Client User Name: PUERTO$

Client Domain: BASE

Client Logon ID: (0x0,0x3E7)

Accesses: DELETE

READ_CONTROL

WRITE_DAC

WRITE_OWNER

ReadPasswordParameters

WritePasswordParameters

ReadOtherParameters

WriteOtherParameters

CreateUser

CreateGlobalGroup

CreateLocalGroup

GetLocalGroupMembership

ListAccounts

Privileges: -

Properties:

---

domain

DELETE

READ_CONTROL

WRITE_DAC

WRITE_OWNER

ReadPasswordParameters

WritePasswordParameters

ReadOtherParameters

WriteOtherParameters

CreateUser

CreateGlobalGroup

CreateLocalGroup

GetLocalGroupMembership

ListAccounts

Domain Password & Lockout Policies

lockOutObservationWindow

lockoutDuration

lockoutThreshold

maxPwdAge

minPwdAge

minPwdLength

pwdHistoryLength

pwdProperties

Other Domain Parameters (for use by SAM)

serverState

serverRole

modifiedCount

uASCompat

forceLogoff

domainReplica

oEMInformation

Domain Administer Server

Access Mask: 0

Modificato September 24, 2006 da carlainz

[docco]

ciao,

sto cercando anch'io di domare una vpn con ras...da quanto ho letto qua e là, oltre alla porta 1723 devi aprire un protocollo 47, che non è una porta tcp.

da un occhiata qui: 324262

spero di esserti stato utile.

[Lorenz]

Uhm... secondo me c'è qualche problema nella configurazione della VPN. Se vuoi utilizzare RRAS, ti consiglio di disabilitarlo e riconfigurarlo tramite wizard come server VPN, quindi dovresti installare a mano (sempre tramite RRAS) il protocollo NAT/Basic Firewall per navigare sul Web, oppure, in alternativa, apri le porte che ti interessano tramite i filtri e per condividere la connessione usi un server proxy gratuito (come AnalogX Proxy).

[docco]

dopo alcune prove, svelato l'arcano....credo

Ha ragione Lorenz quando scrive di riconfigurare rras... io ho su ras come nat/firewall e NON è possibile rifare un'altro wizard per configurare la VPN. bisogna buttar giù il servizio e creare prima un VPN server...

con il nat/firewall su, l'unico settaggio possibile è l'allegato...ovvero "routing lan e connessioni a richiesta" e "accesso remoto". dopo aver confermato, crea 5 porte pptp e 5 l2tp. si abilita l'utente in active---->chiamate in ingresso---->consenti accesso. ma non funziona

se date una lettura al knowledge 323441, c'è un'inquietante frase: "...Se l'icona è contraddistinta da una freccia verde rivolta verso l'alto nell'angolo inferiore sinistro, il servizio Routing e Accesso remoto è stato attivato. Se il servizio Routing e Accesso remoto è stato attivato in precedenza, potrebbe essere utile riconfigurare il server..." :o

Modificato September 25, 2006 da max power

[Lorenz]

Ottimo, ora rimane da vedere se anche Carlainz ha risolto il problema.

[carlainz]

ciao

dunque ho disablitato rras , rifatto col wizard , adesso dal esterno riesco a collegarmi , ma mi si blocca al momento del autenticazione , sto provando con utente administrator che ho anche messo nei vpn user ...

in event viewer trovo questo

A connection between the VPN server and the VPN client 80.111.x.x has been established, but the VPN connection cannot be completed. The most common cause for this is that a firewall or router between the VPN server and the VPN client is not configured to allow Generic Routing Encapsulation (GRE) packets (protocol 47). Verify that the firewalls and routers between your VPN server and the Internet allow GRE packets. Make sure the firewalls and routers on the user's network are also configured to allow GRE packets. If the problem persists, have the user contact the Internet service provider (ISP) to determine whether the ISP might be blocking GRE packets.

For more information, see Help and Support Center at

ho provato a disabilitare rras e rifarlo 2 volte

ciao ciao