Scenariusz: dwa komputery z systemem Windows Server 2003, na których działają sieci VPN RRAS. Port zapory przesyła 1723 do jednego z tych komputerów w celu normalnego zdalnego dostępu. Chciałbym również znaleźć sposób na połączenie z drugą maszyną. Nie dlatego, że muszę, ale tylko dlatego, że uważam, że jest to coś, co według mnie powinno być możliwe, ale nie mogę wymyślić, jak to zrobić.
Czy możliwe jest połączenie klienta Windows PPTP VPN (na XP w tym przypadku) z portem innym niż 1723? Jeśli tak, mogę po prostu przekierować inny port na drugi serwer. W ciągu ostatnich kilku dni sporo google. Znalazłem tylko innych, którzy zadawali to samo pytanie, ale bez odpowiedzi.
Oczywiście próbowałem dodać numer portu w nazwie hosta lub skrzynce połączenia IP, w różnych formatach, ale bezskutecznie. Chociaż może to być możliwe w przypadku klienta trzeciej części, tak naprawdę interesuje mnie tylko to, czy można to zrobić za pomocą klienta wbudowanego w system Windows, a jeśli tak, to w jaki sposób? Być może istnieje hack rejestru, o którym nie wiem?
Odpowiedzi:
Zasadniczo nie, nie możesz tego zmienić. Port TCP służy wyłącznie do konfiguracji początkowego połączenia. Cały ruch jest wysyłany przez GRE , a nie TCP . Bardzo polecam wymaganie certyfikatów klienta. PPTP jako protokół jest wystarczająco bezpieczny, gdy połączysz go z certyfikatami klienta, nie musisz uaktualniać do czegoś takiego jak SSL VPN.
Zobacz to pytanie z innego dnia, aby uzyskać linki, jak to skonfigurować.
źródło
Byłem tam! nie możesz tego zrobić, poddaj się teraz.
Uaktualnij do systemu Windows Server 2008 i użyj SSL VPN
źródło
Jedynym sposobem na to w przypadku zapory ogniowej PAT jest powiązanie innego adresu IP z zewnętrznym interfejsem zapory. Użyj tego drugiego adresu IP, aby przesłać TCP 1723 do drugiego urządzenia Win2K3.
źródło
Nic mi nie wiadomo. Muszę jednak powiedzieć, że ja też nigdy nie miałem takiej potrzeby.
Głównym problemem, jaki widzę w przypadku PPTP, jest ładunek pakietu (pakiety GRE). Widziałem przekierowywanie kanału kontrolnego TCP, ale kiedy przepływ danych (pakiety enkapsulowane GRE) nie sądzę, że jest to możliwe (tzn. W danych nie ma numeru portu).
źródło