المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : مشكلة فى الاتصال بال remot access server


manal1
21-12-2009, 20:17
لدي
Windows server 2003

Domain controler - Dns - remote access service

به كارتين شبكة احدهم

External ( have real ip )

ip = 196.222.125.41
subnet mask = 255.255.255.250
default getway = 196.222.125.40
Preferred Dns =163.121.128.134

Allternate Dns = 163.121.128.135

internal
ip = 192.168.1.10
subnetmask = 255.255.255.0
defult getway = 192.168.1.1
Preferred Dns=196.222.125.41

Allternate Dns = 163.121.128.134

ظبطت الconfigration الخاص بال remot access

الاجهزة اللى بداخل الشبكة بتصل بال vpn دون مشاكل

بس الاجهزة الخارج الشبكة مش بترضى تتصل
وتظهر هذه الرسالة
" The remote connection was not made because the attempted VPN tunnels failed. The VPN server might be unreachable. If this connection is attempting to use an L2TP/IPsec tunnel, the security parameters required for IPsec negotiation might not be configured properly "


ايه الحل ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
ozer
22-12-2009, 21:09
حضرتك مظبطه vpn انه يستخدم L2tp protocol وهو بيستخدم ال IPsec for encryption
فلازم تظبطي ال configuration بتاعت ال IPsec في السيرفر
manal1
22-12-2009, 23:53
مش هو المفروض بيستخدم احد ال 2 بروتوكول دول
PPTP Or L2TP
وياريت حضرتك توضح بالخطوات
عادل شبل
23-12-2009, 00:35
اولا يا بشمهندسه هل الجهاز ال client بيقدر يعمل ping على ال VPN server يعنى قادر يوصله ولا لأ؟
هل الجهازين شغالين بنفس ال tunneling protocols زى PPTP او L2TP ولا لأ؟
هل ال remote access policy على السرفر متظبطه ولا لأ؟
هل ال user اللى بيعمل الVPN connection مسموح له ولا لأ؟
هل فيه Firewall بين ال DC والانترنت ولا لأ؟ لان انا شايف ان ال RAS هو نفسه ال DC_ولو فيه ياريت حضرتك توضحيه عشان اقولك تعملى معاه ايه!! يعنى هل هو مثلا ISA ولا PIX ولا غيره؟؟؟؟؟؟؟؟؟
مشكلة حضرتك ليها مليون سبب_يا ريت توضحى الحاجات دى
manal1
23-12-2009, 18:08
الجهاز ال client بيقدر ي ping على vpn server
نعم ال user اللى مسموح ليه انه يconnect vpn
لا يوجد firewall بين الDomain والانترنت


هل الجهازين شغالين بنفس ال tunneling protocols زى PPTP او L2TP ولا لأ؟
مش عارفة ، ياريت حضرتك تقولى اتاكد ازاي
هل ال remote access policy على السرفر متظبطه ولا لأ؟
مش محطوط عليه policy
ياباشمهندس عادل هل لازم يكون ال ras server بداخل RAS and IAS servers Group???

وياريت حضرتك تقولى الخطوات اللى يقدر اى جهاز فى شبكة اخرى يقدر يتصل vpn
عادل شبل
23-12-2009, 21:15
ال Tunneling protocol_بالنسبه للسرفر هو ال default انه شغال PPTP ولو حضرتك عاوزه تخليه يشتغل بال L2TP هتيجى على ال Remote access policy وتضيفى فى ال conditions الحاجات دى
بالنسبه لل NAS-port-type هتختاريه VPN وبعد كده هتضيفى كمان ال tunnel type وتختاريه Layer Two tunneling protocol

اما على ال client دى هتتظبط من ال properties بتاعت ال vpn connection

ثانيا يعنى ايه مش محطوط عليه بوليسى_مفيش الكلام ده_والا ازاى ال client هيدخل الشبكه الا لما يتطبق عليه ال conditions بتاعات البوليسى ولو عداها يتطبق عليه ال profile بتاع البوليسى وكمان لازم ياخد permit او deny من خلال البوليسى

وبالنسبه لوضع الشبكة دى حضرتك مش محتاجه RADIUS server اللى هو IAS server لان ال IAS server ده وسيط بين ال RAS وال DC وبما ان ال DC عندك هو نفسه ال RAS هتلاقيه ضاف نفسه اوتوماتك فى الجروب دى RAS & IAS server group

عشان اى جهاز يقدر يعمل vpn connection يدوب هيعمل new connection ويختار connect to the network at my work place وبعد كده يختار vpn ويكمل لاخر ال wizard المهم ان يكون فيه physical connection بينه وبين ال VPN server
manal1
23-12-2009, 22:30
شكرا جداا ياباشمهندس اسلوبك جميل فوق الوصف
وان شاء الله اطبق اللى حضرتك قولت عليه
وكان فى سؤال كده
انا عندى الراوتر 3com
وسمعت ان مش اى راوتر ممكن يشتغل معاه Ras server
هل الكلام ده صحيح ؟
ثانيا هل ممكن احدد port محدد فى الروتر هو اللى يكون لل External card
manal1
29-12-2009, 19:06
ياباشمهندس عادل احترت واحتار دليلى ياريت حد يدلنى على الخطوات الصحيحة علشان configer vpn على جهاز 2003 وهو فى نفس الوقت domain controler
بحيث ان اى جهاز يقدر يـ connect بال ras
internetworld
29-12-2009, 20:02
اولا : طالما user اخد فى اعداداته allow access يبقى مش مهم البوليسي بتاعت RAS لانه هيدخل من غير الالتفات اليها
ثانيا : لابد من التاكد من الكمبيوتر اللى بيشتغل RAS server يكون مسموح له من الاكتف ديركتورى عشان يقدر يقوم بوظيفته بمعنى
ان لازم يكون فى DAIL-IN Tap الموجوده فى properties الخاصه بال Computer account يكون مسموح ايضا له بعمل DAIL-IN
بالتطبيق على الحاله الموجوده عند حضرتك يبقى هنروح على الدومين كنترولر ونجيب الكمبيوتر اكونت بتاعه ونعدل فى TAP dial-in ونختار ALLOW ACCESS
كدا هيشتغل تمام طالما اعدادات ال RAS server صح
manal1
29-12-2009, 20:22
ال Ras هو نفسه ال Domain Controller
برضو لازم يكون فى DAIL-IN Tap الموجوده فى properties الخاصه بال Computer account يكون مسموح ايضا له بعمل DAIL-IN ؟؟؟
عادل شبل
29-12-2009, 20:42
صدقينى يا بشمهندسه الخطوات العاديه خالص مفيش اى حاجه زياده وممكن تشوفى اللاب ده وتتأكدى

https://www.4shared.com/file/184103423/91eb6c5a/vpn.html
internetworld
29-12-2009, 20:48
ال Ras هو نفسه ال Domain Controller
برضو لازم يكون فى DAIL-IN Tap الموجوده فى properties الخاصه بال Computer account يكون مسموح ايضا له بعمل DAIL-IN ؟؟؟

ايوه لازم ........
manal1
29-12-2009, 21:19
شكرا ليك ياباشمهندس internetworld (https://www.arabhardware.net/forum/member.php?u=162711)
وشكرا للمهندس عادل
انا شفوت الفيديو بتاع حضرتك الخطوات ديه زى ماانا عاملة فى السيرفر عندى
بس حضرتك قولت ان الكلايت اللى فى شبكة تانية لازم يكون طالع ب Rial IP ?
طيب لو انا عاوزة اعمل join للاجهزة من شبكة تانية للDomain controller وانا معنديش فى الشبكة التانية ديه Rial iP
عادل شبل
29-12-2009, 21:58
شكرا ليك ياباشمهندس internetworld (https://www.arabhardware.net/forum/member.php?u=162711)
وشكرا للمهندس عادل
انا شفوت الفيديو بتاع حضرتك الخطوات ديه زى ماانا عاملة فى السيرفر عندى
بس حضرتك قولت ان الكلايت اللى فى شبكة تانية لازم يكون طالع ب Rial IP ?
طيب لو انا عاوزة اعمل join للاجهزة من شبكة تانية للDomain controller وانا معنديش فى الشبكة التانية ديه Rial iP

طب هيطلع على النت ازاى من غير Real ip? ولا تقصدى شبكه تانيه مفيش بينهم نت؟ المهم يكون فيه connection وخلاص سواء نت ولا غيره!!!
manal1
29-12-2009, 22:09
الشبكة التانية بتطلع نت Internal وليس بـ Rial
عادل شبل
29-12-2009, 22:23
مفيش حاجه اسمها نت بال Internal _اااه اكيد فيه NATING على الروتر_المهم الشبكه التانيه دى يكون ليهم physical connection مع ال DC ويكون ال DNS server بتاعهم عنده الSRV records لل DC
Mohamed Elsaih
29-12-2009, 23:34
الشبكة التانية بتطلع نت Internal وليس بـ Rial

يعني ايه الشبكه التانيه بتطلع نت Internal وليس Rial لازم يكون في Rial IP موجود علي المودم DSL عشان الشبكه تطلع انترنت

انا عايز اسئل حضرتيك سوال ليه انتى مش عمله ISA Server ومن خلاله تعملي VPN بتهيئلي هيكون اسهل بالنسبه ليكي
manal1
30-12-2009, 00:09
انا اقصد ان الشبكة التانية فيها one network card ومش حاجزة ليها Rial Ip
internetworld
30-12-2009, 01:02
لو فنفس مقر الشركه اللى فيها الدومين كنترولر يعنى فنفس ال site or physical location وكان مثلا الدومين كنترولر اخد ip in range class c والشبكه التانيه مثلا فى class A يبقى كل اللى هنحتاجه هو راوتر بين الشبكتين
اما اذا كان بيفصل ما بين الشبكه اللى فيها الدومين كنترول والشبكه التانيه انترنت بمعنى انهم مش فنفس المكان two sites or different physical location يبقى امامك حل من اتنين اما عن طريق leased line ودا بيقوم بربطه ال isp اى مزود خدمه الانترنت المتعاقد معه
او اننا نربطهم عن طريق استخدام خاصيه vpn site to site وفالحاله دى هنحتاج real ip (static) فى كلا الفرعين
وفى حاله زياده عدد المستخدمين فالفرع التانى يبقى يفضل اننا نعمل Additional Domain Controller