WtWare через VPN, терминал подвисает.

[Boris A.]

Здравствуйте!

Прошу помочь в решении проблемы. Организован следующий тестовый стенд. Имеются 2 компьютера и один бездисковый терминал, соединённые в локальную сеть: один с Windows XP, ему назначен статический адрес 192.168.0.36, маска 255.255.255.0, другой с Windows 2003, ему назначен статический адрес 10.0.0.2, маска 255.0.0.0 . WtWare установлен на компьютере с Windows 2003, компьютеры Windows XP и Windows 2003 соединены VPN-туннелем через Kerio Firewall. Прописана маршрутизация, оба компьютера успешно пингуются с обеих сторон, включая концы VPN-туннеля. Задача: добиться загрузки WtWare через VPN-туннель.

Поскольку DHCP сервер на компьютере с Windows XP не организован - загрузка производится с флэшки, причём IP-адрес, маска и шлюз прописываются вручную. Флэшке назначаю адрес 192.168.0.10, маска 255.255.255.0, в качестве шлюза указываю 192.168.0.36, в качестве сервера терминала в конфигурационном файле прописываю 10.0.0.2 . В правилах файерволла разрешаю RDP подключения, TFTP и WtWizard. Загрузка успешно начинается, затем высвечивается надпись "Пожалуйста, подождите" и на этом всё заканчивается. Причём IP адрес терминала успешно пингуется с компьютера, где установлен WtWare.

В случае, если указывать адрес терминала, к примеру, 10.0.0.10 - всё успешно загружается, но этого мне не нужно, т.к. в этом случае загрузка производится непосредственно с сервера, минуя "шлюз" и VPN-туннель. Через Майкрософтовский RDP успешно подключается с другого конца туннеля, если указывать IP-адрес противоположного конца туннеля.

[aka]

Задача: добиться загрузки WtWare через VPN-туннель.

Тебе действительно нужно чтобы терминал загружался через туннель? Что ты понимаешь под словом "загрузка"?

Поскольку DHCP сервер на компьютере с Windows XP не организован - загрузка производится с флэшки, причём IP-адрес, маска и шлюз прописываются вручную. Флэшке назначаю адрес 192.168.0.10, маска 255.255.255.0, в качестве шлюза указываю 192.168.0.36, в качестве сервера терминала в конфигурационном файле прописываю 10.0.0.2 . В правилах файерволла разрешаю RDP подключения, TFTP и WtWizard. Загрузка успешно начинается, затем высвечивается надпись "Пожалуйста, подождите" и на этом всё заканчивается. Причём IP адрес терминала успешно пингуется с компьютера, где установлен WtWare.

В случае, если указывать адрес терминала, к примеру, 10.0.0.10 - всё успешно загружается, но этого мне не нужно, т.к. в этом случае загрузка производится непосредственно с сервера, минуя "шлюз" и VPN-туннель. Через Майкрософтовский RDP успешно подключается с другого конца туннеля, если указывать IP-адрес противоположного конца туннеля.

Я вообще ничего не понял.

Пуск - Программы - Paint.
Рисуй картинки и выкладывай сюда. Только скорее всего сам поймешь, когда нарисуешь

[Борис]

Это тестовый стенд, все 3 компьютера соединены в сеть. Чтобы проверить, каким образом организовать доступ с бездискового терминала к удалённому серверу через VPN-тоннель.

[aka]

1. Плохо нарисовал. Каждый интерфейс имеет свой IP и маску. На картинке 6 интерфейсов (4 физических и 2 виртуальных), а IP указаны только у трех.

2. Конфигурационный файл для wtware (в котором, в частности, есть строчка win2kip=10.0.0.2) где лежит?

3. В Kerio маршрутизация разрешена? Почему ты так решил?

4. С компьютера с адресом 10.0.0.2 можно запустить "ping 192.168.0.10", и пинг дойдет?

5. А если выключить терминал, то тот же пинг не дойдет? Проверь.

[Борис]

1. Плохо нарисовал. Каждый интерфейс имеет свой IP и маску. На картинке 6 интерфейсов (4 физических и 2 виртуальных), а IP указаны только у трех.

Конечно, IP адреса имеются у каждого из концов VPN тоннеля. Сейчас перед глазами у меня компьютеров нет, так как нахожусь дома, но по памяти: один конец VPN тоннеля 10.253.54.1, второй конец - 10.253.54.3, маски 255.255.255.0 . А шестой интерфейс - это какой? Выхода в Интернет - нету.

2. Конфигурационный файл для wtware (в котором, в частности, есть строчка win2kip=10.0.0.2) где лежит?

Конфигурационный файл лежит на флэшке.

3. В Kerio маршрутизация разрешена? Почему ты так решил?

Да. Потому что я её сам прописывал на обоих концах и потому что компьютеры взаимно пингуются, как по их внутренним IP, так и по адресам концов VPN тоннеля, о чём я и писал в первом своём сообщении.

4. С компьютера с адресом 10.0.0.2 можно запустить "ping 192.168.0.10", и пинг дойдет?

Совершенно верно. Пинг дойдёт. Я об этом тоже писал. Более того, если открыть вкладку "Подключения" в Kerio Firewall на том компьютере - видно, что по RDP происходит подключение с этого адреса.

5. А если выключить терминал, то тот же пинг не дойдет? Проверь.

Обязательно проверю, но уже в понедельник.
.

[aka]

по памяти: один конец VPN тоннеля 10.253.54.1, второй конец - 10.253.54.3, маски 255.255.255.0

Т.е. попадают в сеть 10.0.0.2/255.0.0.0, которая на картинке у терминального сервера? Шагом марш в школу повторять урок про адресацию в IP сетях.

А шестой интерфейс - это какой? Выхода в Интернет - нету.

У терминального сервера один физический интерфейс.
На картинке компьютер с Windows XP изображен с двумя физическими интерфейсами.
У терминала один физический интерфейс.
И два логических интерфейса VPN.

Конфигурационный файл лежит на флэшке.

Хорошо. Тогда TFTP и WTwizard терминалу не нужны. Нужен только RDP.

3. В Kerio маршрутизация разрешена? Почему ты так решил?

Да. Потому что я её сам прописывал на обоих концах и потому что компьютеры взаимно пингуются, как по их внутренним IP, так и по адресам концов VPN тоннеля, о чём я и писал в первом своём сообщении.

Из этого не следует, что маршрутизация включена.
Маршрутизация - это когда какой-то другой компьютер живет в сети 192.168.0.0/24, у него шлюзом прописан 192.168.0.36, и он пингует и ходит по RDP на 10.0.0.2.

[Борис]

5. А если выключить терминал, то тот же пинг не дойдет? Проверь.

Пинг не доходит.

по памяти: один конец VPN тоннеля 10.253.54.1, второй конец - 10.253.54.3, маски 255.255.255.0

Т.е. попадают в сеть 10.0.0.2/255.0.0.0, которая на картинке у терминального сервера? Шагом марш в школу повторять урок про адресацию в IP сетях.

Поменял IP и маску: поскольку компьютер (терминальный сервер) должен будет подключён к Интернету, IP назначен 89.23.168.3, маска 255.255.255.0 . Перенастроил правила. Теперь сети не перекрываются и ситуация немного иная. Некоторое время ждёт, потом выдаёт сообщение "Сервер 89.23.168.3, порт 3389: отказано в подключении". Хотя протокол RDP - разрешён на обоих компьютерах (правило: источник любой, назначение любой, служба RDP). Во время соединения на вкладке "Подключения" видно, что к службе RDP из источника 192.168.0.10 происходит подключение к IP 89.23.168.3 . То есть такое впечатление, что подключиться хочет, но до конца не может по какой-то причине.

3. В Kerio маршрутизация разрешена? Почему ты так решил?

Да. Потому что я её сам прописывал на обоих концах и потому что компьютеры взаимно пингуются, как по их внутренним IP, так и по адресам концов VPN тоннеля, о чём я и писал в первом своём сообщении.

Из этого не следует, что маршрутизация включена.
Маршрутизация - это когда какой-то другой компьютер живет в сети 192.168.0.0/24, у него шлюзом прописан 192.168.0.36, и он пингует и ходит по RDP на 10.0.0.2.

Сейчас попробовал с компьютера, использовавшегося как "тонкий" клиент (192.168.0.10) войти из под Windows. Этот компьютер живёт в сети 192.168.0.0, шлюзом у него прописан 192.168.0.36, он пингует 89.23.168.3 , но по RDP не ходит, как "толстый" клиент. Пишет "Удалённое соединение закрыто по таймауту". В то время, как с компьютера 192.168.0.36 - отлично ходит. К чему бы это?

[aka]

К чему бы это?

К тому, что надо таки нарисовать полную картинку?

[Борис]

К чему бы это?

К тому, что надо таки нарисовать полную картинку?

С компьютера 3 идут пинги на компьютер 1 и компьютер 2, но подключение через виндовый RDP к компьютеру 1 не происходит. Я понимаю, что это уже не совсем ваши проблемы, т.к. это не касается тонких клиентов, а возможно касается маппинга портов, а скорее всего - настроек Kerio Firewall. Тем не менее - спасибо за помощь. )

[aka]

1. Загружаем на компьютере 3 WinXP. Еще раз проверяем, что в настройках IP написано то и только то, что на картинке, т.е. ip 192.168.0.10, маска 255.255.255.0, шлюз 192.168.0.36 и больше ничего нигде в настройках IP на этом компьютере не написано.

2. ping 192.168.0.36

3. ping 10.253.54.1

4. ping 10.253.54.3

5. ping 89.23.168.3

Должны доходить все пинги. А что доходит?

[Борис]

1. Загружаем на компьютере 3 WinXP. Еще раз проверяем, что в настройках IP написано то и только то, что на картинке, т.е. ip 192.168.0.10, маска 255.255.255.0, шлюз 192.168.0.36 и больше ничего нигде в настройках IP на этом компьютере не написано.

2. ping 192.168.0.36

3. ping 10.253.54.1

4. ping 10.253.54.3

5. ping 89.23.168.3

Должны доходить все пинги. А что доходит?

Всё доходит.

[aka]

Значит маршрутизация сделана корректно. Следующий шаг - отломать все фаирволы, и должно поехать.

[Борис]

Значит маршрутизация сделана корректно. Следующий шаг - отломать все фаирволы, и должно поехать.

Всё же она была сделана не совсем корректно. В настройках таблицы маршрутизации Керио для сети 192.168.0.0 я не прописал шлюз, вследствие чего он был прописан неправильно. После того, как я в лоб прописал шлюз - всё заработало. Спасибо за помощь.