Сегодня мы поговорим с вами о site-to-site vpn. Причем построенных на Windows 2003 RRAS с использованием PPTP. А именно, мне хочется поделиться с вами своей историей, которая едва не взорвала мой мозг.
Начнем с того, что вышло из строя оборудование. Проще говоря, маршрутизатор сгорел. В результате этого пропала связь с одним из подразделений, и после недолгих размышлений было решено поднять VPN соединение. Следующим этапом было короткое обсуждение способов и применяемых технологий. В общем, после недолгого общения было решено пропустить через NAT соответствующие порты с обеих сторон и использовать RRAS+PPTP. Простенько и со вкусом. Сказано – сделано. В первую очередь был по диагонали просмотрен этот документ. В соответствии с ним, на отвечающей стороне был поднят и настроен RRAS в режиме VPN сервера. Кроме того, как требовалось в руководстве я настроил demand-dial интерфейс. При этом меня начал мучить вопрос, зачем нужен этот интерфейс на отвечающем роутере. Однако сходу на этот вопрос ответа не было. Кроме того я обратил внимание, что в инструкции требуется поставить галочку, которая создаст локального пользователя. Этот эпизод я благополучно пропустил мимо ушей, поскольку настройка отвечающего RRAS происходила на контроллере домена. Затем аналогичный сервер был настроен и на вызывающей стороне, вместе со всеми необходимыми demand-dial интерфейсами. Подключающейся стороне, само собой, должен был выдаваться адрес, отличный от обеих наружных подсетей. Кроме того, внутри существующей сетевой инфраструктуры применяется RIP2. Поэтому его я так же настроил на обоих RRAS.
Итак – файерволлы настроены, роутеры тоже. Устанавливаем подключение и … Вот тут началось страшное.
