Site-to-Site VPN

[Googleness]

אז במסגרת הקורס ניהול רשתות (MCSE) שאני עושה הרמתי מערכת וירטואלית מבוססת Hyper-V אצלי בבית שאני משדרג כל פעם כשאנו לומדים משהו חדש.

 

בכל מקרה הררשמתי בסך הכל שני אתרים (אחד על כל מחשב פיזי נפרד).

 

Site1:

172.16.0.0/24

יש לו בקצה מכונה וירטואלית עם RRAS מותקן אשר משמש כראוטר של הארגון באותו אתר.

לראוטר הזה שני כרטיסי רשת,

172.16.0.254/24

192.168.1.45/24

 

Site2:

172.16.1.0/24

יש לו בקצה מכונה וירטואלית עם RRAS מותקן אשר משמש כראוטר של הארגון באותו אתר.

לראוטר הזה שני כרטיסי רשת,

172.16.1.254/24

192.168.1.46/24

 

בתחילת הדרך רק באתר 1 המחשבים היו מחוברים לדומיין שנוצר פיזית באתר 1 עצמו. התכנון היה ליצור (Pre-Create) את ה RODC ושאר האובייקטים של אתר 2 ואז באמצעות VPN Tunnel לחבר (כאילו דרך WAN בתכל'ס זה רץ דרך הרשת הביתית שלי) את שני האתרים ואז לצרף את כל המחשבים באתר 2 לדומיין שהקמתי.

 

שלב א':

לפני שצירפתי אותם לדומיין יצרתי על הראוטרים בשני האתרים Interface Dial-In עם VPN ותעלה מסוג PPTP (עוד לא נכנסו בקורס לCertificates וכולי בהמשך אני אשנה את זה למשהו יותר משוכלל), עבד מצוין ושני האתרים היו בתקשורת מלאה.

 

שלב ב':

ציפרתי את הDC של אתר 2 לדומיין וה Pre-Created RODC זוהה בצורה חלקה במהלך ההתקנה והכל עבר חלק.

 

שלב ג':

צירפתי את ה Router של אתר 2 (אני מזכיר זאת מכונה וירטורלית עם RRAS) לדומיין ומאותו רגע אני לא מצליח להתחבר מחדש עם התעלה שיצרתי.

אני מקבל שגיאה שונה בכל אחד מהאתרים.

 

שגיאה באתר 1:

The connection was prevented because of a policy configured on your RAS/VPN server. Specifically, the authentication method used by the server to verify your username and password may not match the authentication method configured in your connection profile. Please contact the Administrator of the RAS server and notify them of this error.

 

שגיאה באתר 2:

The remote connection was denied because the user name and password combination you provided is not recognized, or the selected authentication protocol is not permitted on the remote access server.

 

הקטע הוא שלפני שהצטרפתי לדומיין זה עבד חלק ואחרי שהצטרפתי זה לא מצליח להשלים את החיבור. כמובן שניסיתי להכניס לCredentials של ה Interface שיצרתי את פרטי הדומיין במחשבה שאולי עכשיו זה פרט חובה אבל לצערי לא עבד.

 

מישהו יכול לכוון אותו לכיוון של מה שברתי?

 

תודה על העזרה.

 

עריכה:

ניסיתי לעשות משהו מאוד פשוט, חייגן סטנדרטי של PPTP מאתר 2 לאתר 1. מסתבר שאני מקבל שגיאה שהיוזר או הסיסמה שלי אינם נכונים. וזה מוזר מאוד כי בדיוק באותם נתונים השתמשתי כדי להתחבר בהצלחה על מכונה אחרת באתר 1.

ככל הנראה יש איזה גליץ' ומכונות באתר 2 לא מצליחות להשתמש בשם\סיסמה?

[Googleness]

הצלחתי לפהעיל את זה.

 

2 דברים השפיעו על התקלה,

1. צריך להגדיר בכל צד שרת NPS אשר "עוקף" את הגדרות ה RAS ושם לתת הגדרה מזהה כלשהי שתאפשר למחשב המרוחק להתחבר.

2. אחרי שמצטרפים לדומיין צריך לשנות את ה Credentials של היוזרים שנוצרו עבור ה Interface משם חלקי של היוזר בלבד לשם מלא קריא:

במקום Branch1

לרשום HQ-NET\Branch1

 

ברגע שמשחקים עם זה קצת זה עובד מצוין ומתחבר בלי שאני אצטרך לעשות לוגין לשרת בכלל. אפילו שיחקתי עם התעלות והצלחתי לעבוד גם בPPTP וגם ב L2TP.