Boas, gostava de saber se é possivel ligar-me a uma VPN num computador que acede à internet por ICS com outro pc.
Eu sei que usando um router dá para ligar normalmente mas usando um pc com ICS já não funciona.

Alguem tem sugestões? Será problema da ICS do XP? É que se dá pelo router, é só arranjar software que faça o mesmo que o router.

Obrigado ;)

Boas,

em principio acho que nao tens hipotese de te ligares por VPN num computador que esteja por tras do ICS. A maioria dos VPN Client até tens que desligares o ICS para funcionar como deve ser num computador que esteja ligado directamente a net.

Porta-te

Epa, mas se funka por detrás de um router, tem de haver maneira de funkar com um pc a servir, nem que seja por um software que faça a partilha em vez do windows.
Nem que seja necessario meter uma distro kk do linux.

Eu até gostava de te tentar ajudar, mas sinceramente não percebi bem o que queres ...

Boas, gostava de saber se é possivel ligar-me a uma VPN num computador que acede à internet por ICS com outro pc.
Eu sei que usando um router dá para ligar normalmente mas usando um pc com ICS já não funciona.

Alguem tem sugestões? Será problema da ICS do XP? É que se dá pelo router, é só arranjar software que faça o mesmo que o router.

Obrigado ;)

Epá boa pergunta. Desde que não uses L2TP+IPSEC por causa do NAT, não tou a ver razão para não dar.

Condez: (http://www.techzonept.com/member.php?u=3610)
Quero usar um Desktop para servir net para uns quantos PCs em casa, mas quero que seja possivel ligar-me à VPN da universidade num qualquer desses PCs da rede domestica.
O problema é que com a configuração predefinida da partilha de internet do WinXP isso não é possivel. Pelo menos, consigo ligar-me e fazer a autenticação mas depois disso é como se nem sequer estivesse ligado.

JC (http://www.techzonept.com/member.php?u=2659):
Falaste em não usar L2TP+IPSEC por causa do NAT. Como posso alterar isso no WinXP?
Terá alguma coisa a ver com isto: http://support.microsoft.com/kb/325035/ ? Li, mas fiquei basicamente na mesma. Também dei uma leitura rapida aqui http://en.wikipedia.org/wiki/L2TP mas estou a ver que os meus conhecimentos nesta area são muito fraquinhos :(

Any help?

Não e tanto pelo L2TP mas mais pelo IPSEC que deve ser incompativel com o NAT do ICS.
So tens de definir na ligação no cliente para usar PPTP.

Épa, eu não quero parecer mais noob do que sou, mas não te importas de explicar como se faz isso? ;)
Terá alguma coisa a ver com isto: http://www.draytek.co.uk/support/vpn_setup2_winxp.html ?

Eu uso o cliente VPN da Cisco:

http://www.engin.umich.edu/caen/images/vpn.gif

...não sei se tem alguma coisa a ver ou não.

Nunca mexi nesse cliente em especifico, normalmente uso mesmo uma ligaçao vpn do windows que tem funcionado bem tanto em PPTP como L2TP+IPSEC, neste caso é uma questao de so mudar nas propriedades da ligaçao. (Lembra-te que o servidor do outro lado tem de permitir ligaçoes por PPTP).

http://www.noc.ucf.edu/VPN/images/ipsec4/client_new_trans.png

??

Condez: (http://www.techzonept.com/member.php?u=3610)
Quero usar um Desktop para servir net para uns quantos PCs em casa, mas quero que seja possivel ligar-me à VPN da universidade num qualquer desses PCs da rede domestica.
O problema é que com a configuração predefinida da partilha de internet do WinXP isso não é possivel. Pelo menos, consigo ligar-me e fazer a autenticação mas depois disso é como se nem sequer estivesse ligado.

Em ambientes linux, tenho a certeza que isso é possível, sem qualquer necessiade de patch ou algo do género.
Os kernels >= 2.6 já suportam ipsec e nat-t por defeito.

Em ambientes windows, acredito que também o seja.
Existe um patch para resolver o problema de NAT-T.
Exprimenta seguir esta (http://kb.iu.edu/data/aoxa.html) página.
Como nunca tive de fazer esse update, não garanto que esse tutorial esteja correcto.
Mas uma pesquisa no google por "windows nat-t patch" devolve muitas opções.

Tens a certeza que o problema está nesse patch, é que li no link que deste que esse update ja vinha com o SP2 e todos os pcs que uso ja tem o SP2.
Já agora, o problema está nos clientes ou no PC que partilha a net?

Já agora, o problema está nos clientes ou no PC que partilha a net?

...por isso é que disse que talvez não fosse muito boa ideia meter o NAT do ICS (que partilha) e IPSEC ao barulho e aparentemente é o caso, ou estarei enganado?
Mas testa com PPTP e com IPSEC e ficas a saber.

Tens a certeza que o problema está nesse patch, é que li no link que deste que esse update ja vinha com o SP2 e todos os pcs que uso ja tem o SP2.
Já agora, o problema está nos clientes ou no PC que partilha a net?

O problema está no PC que partilha, ou para ser mais específico, no ICS.

Vejo três hipoteses para o teu caso:

1º - Como te disse, com linux isso é na boa.

2º - Pelo que li o W2k3 já suporta NAT-T com IPSEC; o que tem toda a lógica, mas nunca experimentei não posso garantir a 100%.

3º - Pesquisa no google pela expressão que referi no outro post ou usa uma expressão parecida e tenta resolver o problema do XP.

OK, parece que já a perceber mais ou menos o que se passa.
Como o Condez (http://www.techzonept.com/member.php?u=3610) disse o prob parece mesmo ser do ICS do WindowsXP. Pelo que li é possivel numa pagina da microsoft pode-se fazer um "hack" para resolver o problema:
http://support.microsoft.com/kb/818043/


By default, Windows XP SP2 no longer supports IPsec NAT-T security associations to servers that are located behind a network address translator. Therefore, if your virtual private network (VPN) server is behind a network address translator, by default, a Windows XP SP2-based VPN client cannot make a L2TP/IPsec connection to the VPN server. This scenario includes a VPN server that is running Microsoft Windows Server 2003.

This default behavior can also prevent computers that are running Windows XP SP2 from making Remote Desktop connections with L2TP/IPsec when the destination computer is located behind a network address translator.

Because of the way that network address translators translate network traffic, you may experience unexpected results when you put a server behind a network address translator and then use IPsec NAT-T. Therefore, if you require IPsec for communication, we recommend that you use public IP addresses for all servers that you can connect to directly from the Internet.

To create and configure the AssumeUDPEncapsulationContextOnSendRule registry value, follow these steps:
1.Click Start, click Run, type regedit, and then click OK.
2.Locate and then click the following registry subkey:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\IPsec
3.On the Edit menu, point to New, and then click DWORD Value.
4.In the New Value #1 box, type AssumeUDPEncapsulationContextOnSendRule, and then press ENTER.
5.Right-click AssumeUDPEncapsulationContextOnSendRule, and then click Modify.
6.In the Value Data box, type one of the following values:
• 0 (default) A value of 0 (zero) configures Windows so that it cannot establish security associations with servers that are located behind network address translators.
• 1 A value of 1 configures Windows so that it can establish security associations with servers that are located behind network address translators.
• 2 A value of 2 configures Windows so that it can establish security associations when both the server and the Windows XP SP2-based client computer are behind network address translators.
7.Click OK, and then quit Registry Editor.
8.Restart the computer.

Não tenho a certeza se é bem este o fix para o meu problema... mas se não funcionar, li também a sugerirem usar http://www.nat32.com/ em vez do ICS. Se não, posso sempre instalar o Win2K3 ou Linux. ;)
Alguem já usou o NAT32??

OK, parece que já a perceber mais ou menos o que se passa.
Como o Condez (http://www.techzonept.com/member.php?u=3610) disse o prob parece mesmo ser do ICS do WindowsXP.


Não e tanto pelo L2TP mas mais pelo IPSEC que deve ser incompativel com o NAT do ICS.

...por isso é que disse que talvez não fosse muito boa ideia meter o NAT do ICS (que partilha) e IPSEC ao barulho e aparentemente é o caso


...

Sorry JC (http://www.techzonept.com/member.php?u=2659), hehe. Passou-me ao lado o que disseste por usares esses termos todos que não compreendi. L2TP, IPSec.. lol ;)
Ok, falaste em nao meter o NAT do ICS, que sugeres?
Aquele hack ao Registry Editor corrige o que tinhas falado?

Vudu:

Li a explicação da Microsoft mas fiquei na dúvida se realmente resolve o teu problema. No entanto, não perdes nada em exprimentar.

Quanto ao NAT32 nunca usei.


Se preferires usar outro SO para fazer e router, como te disse tens duas opções: Linux ou W2k3

Eu aconselho-te Linux e dou-te algumas razões:

- Muito menos pesado que o W2k3 (recursos do sistema e espaço em disco)
- Mais fiável
- Mais seguro
- Usas unicamente programs Freeware

Claro que poderá haver pessoas a não concordar com estas razões, mas não deixa de ser esta a minha opnião.

Eu concordo com essas razões, mas para isso precisava de arranjar uma distro à medida e ter de aprender a configurar as coisas.
Actualmente uso Linux só pra programar e estou a tentar aventurar-me no mundo do Gentoo :o
Este problema surgiu um casa de um colega, mas dentro de dias, vou criar a minha propria rede domestica no apartamento com os meus colegas e tenho um Pentium 200 disponivel para routear as ligações. Já lhe meti o XP, mas é o suicidio :( o 2K3 deve de se aguentar melhorzito, mas não espero milagres. Sei que em termos de performance só há uma alternativa: Linux.

Desculpa não responder mais cedo.
Bem que confusão. Tu podes manter a tua configuração exactamente como está, mas em vez de usares l2tp com ipsec usares pptp com mppe (no cliente), não deves ter problemas nenhuns.

Tens como alternativa o RRAS do win2000/3 ou linux, mas em linux nc me aventurei muito por isso n tenho certezas.

Ok, então se eu mudar de cliente VPN ou mudar esses settings no cliente que uso actualmente, deve de funcionar tudo bem, ne?

Desculpa não responder mais cedo.
Bem que confusão. Tu podes manter a tua configuração exactamente como está, mas em vez de usares l2tp com ipsec usares pptp com mppe (no cliente), não deves ter problemas nenhuns.

Tens como alternativa o RRAS do win2000/3 ou linux, mas em linux nc me aventurei muito por isso n tenho certezas.

Segundo percebi, o VPN Server está na Universidade e é IPSec/L2TP.
Logo, ele tem obrigatóriamente que usar esse tipo de VPN.

Mas posso ter percebido errado ...

Isso mesmo, mas terei mesmo de usar obrigatoriamente esse tipo?

Tenho tentado mas sem sucesso. :(

Está aqui a configuração default mas que não permite ser usada através de ICS:
http://www.campusvirtual.uminho.pt/Default.aspx?tabid=8&pageid=33&lang=pt-PT


No cliente VPN do windows não vejo onde configurar o Group Authentication :s

Só uma coisa, que até pode não ter nada a ver. Pelo que disseste a ligação VPN é estabelecida com sucesso certo? Tenta verificar com qual gateway predefinida é que os PC's por detrás da NAT ficam, se com o IP da máquina com ICS, se com o IP da gateway da VPN.

Às vezes os problemas estão em coisas mais simples do que aparentam à partida. Good luck. :)

essa vpn da cisco tem um loggging que pode ajudar

activa o logging
e ve que erros tens

Neste momento estou num cliente Linux, uso o "vpnc" e até agora não encontrei nada que esteja relacionado ocm debugging ou logs... :s
Quando tiver em Windows tento e deixo aqui o output.
Pelo que já tentei, o cliente vpn liga-se normalmente, mas assim que se liga fica completamente "offline".
Pelo que tive a ler, acho que é normal porque o NAT do XP parece não suportar o IPSec, bla bla que esta VPN usa.

Ok, já estive a tentar e como vos tinha dito, ele consegue ligar-se mas não dá "net" aqui fica o log:

Cisco Systems VPN Client Version 4.8.01.0300
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Program Files\Cisco Systems\VPN Client

Cisco Systems VPN Client Version 4.8.01.0300
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved.
Client Type(s): Windows, WinNT
Running on: 5.1.2600 Service Pack 2
Config file directory: C:\Program Files\Cisco Systems\VPN Client

1 00:11:14.656 04/30/07 Sev=Warning/2 CVPND/0xE3400013
AddRoute failed to add a route: code 87
Destination 192.168.99.255
Netmask 255.255.255.255
Gateway 172.20.0.19
Interface 172.20.0.19

2 00:11:14.656 04/30/07 Sev=Warning/2 CM/0xA3100024
Unable to add route. Network: c0a863ff, Netmask: ffffffff, Interface: ac140013, Gateway: ac140013.

3 00:11:48.171 04/30/07 Sev=Warning/2 IKE/0xA3000067
Received an IPC message during invalid state (IKE_MAIN:507)