Дмитрий Радищев (dibr) wrote,
Дмитрий Радищев
dibr

Category:

IT

Люблю это ваше IT.
Какое-то время назад понадобилось, don't ask why, пробросить VPN со смартфона на андроиде на "домашний сервер в коридоре" (win 2003 server). Нашел в интернете какой-то "туториал" по настройке vpn именно на 2003 сервере, настроил сервер, потом добавил vpn подключение на андроиде, всё без особых проблем взлетело.
Прошло сколько-то времени. И мне внезапно понадобилось, потом объясню зачем, подконнектиться к тому же VPN с рядом стоящего компа с Win10. Я настроил соединение, нажал "подключиться"... и получил ошибку.
После некоторого колупания (винда же просто так не скажет в чём ошибка), выяснил что им "не удалось авторизовать пользователя потому что не удалось подобрать совместимый протокол для авторизации". Если бы у меня в руках была только клиентская сторона, то ясно что я начал бы крутить клиента. Но (1) в доступных "с парадного входа" (через новый интерфейс "десятки") настройках почти ничего на эту тему не было, и (2) показалось логичным, раз в моих руках ещё и сервер, настроить его так, чтобы он нормально принимал "новую винду с дефолтными настройками". Я залез в настройки сервера, и повключал все способы авторизации, которые нашёл.
"Десятка" так и не соединилась, зато, как выяснилось чуть позже в ходе экспериментов... перестал соединяться андроид! Этот - потому что "не удалось подобрать совместимых протоколов шифрования" (сам андроид лаконично говорил "сбой", но винда, слава Гейтсу, в логи писала достаточно подробно). Отключение шифрования в настройках VPN андроида помогало, но (1) "неаккуратненько как-то" (раньше же работало) и (2) десятка всё равно не подключалась.
Ну а дальше я засел за интернет и мышь, проштудировал всё что нашёл на тему "VPN шифрование несовместимость 2003 сервер" (в основном всякое "не то" на форумах, и не меньше десятка копий того самого "туториала"), раз двадцать проверил и покрутил настройки авторизации (если бы я ещё записал, как оно было изначально!), убедился что в настройках шифрования разрешено всё... и через несколько часов такого страдания, уже скорее от безысходности, отреагировал в интернете на отсылку "а вообще почитайте встроенный хелп, там много чего написано", открыл встроенный в винду хелп, задал поиск по "шифрование VPN", и начал читать найденное подряд, сверху вниз.

Ну и через непродолжительное время нашел, что шифрование в PPTP в принципе работает только при методах авторизации MS-CHAP или EAP-TLS (что бы это ни значило), отключил все остальные методы авторизации, и получил нормально соединяющийся с шифрованием андроид. И судя по логам получается что андроид сначала согласовывал с сервером какой-то метод авторизации "попроще", после чего, раз в настройках стоит галка "шифровать", требовал шифрование, и получал отлуп.
После чего зашёл в десятке в настройки VPN через "старый", оставшийся со времён XP, интерфейс, обнаружил там искомые настройки, поставил авторизацию MS-CHAP, и получил наконец коннект.



И вроде даже привычно ругать микрософт за кривизну 2003 сервера не получается. Потому что сервер как раз делал всё правильно: показывал клиенту что он может, и делал как скажет клиент. И более того - когда я в настройках менял галки на методах авторизации, он честно предлагал "давайте я вам хелп покажу, прям счас! Там много чего написано" - а я, ессно, жал отмену (ну кто же в таких условиях читает хелп, тут трясти надо, а не думать). А виноват получается вроде как гугл, клиент которого в такой конфигурации ухитрялся выстрелить себе в ногу. Но всё равно забавно.
Хотя к микрософту кончено тоже вопросы есть. Про новый интерфейс настроек. Там всё настолько плохо, что даже и перечислять не хочется. Хотя если ничего не настраивать - то вроде как и удобная система...

И чтобы два раза не вставать.
Windows Update в десятке довольно своеобразно работает с прокси. Ну то есть, обычно он с ним работает. Но иногда (довольно часто) не работает - тогда нужно запустить "мастер исправления ошибок", и он каким-то образом заставляет WU работать. Но система обновляется и изменяется, и иногда - этак раз в полгода - она изменяет себя в такое состояние, в котором WU не работает через прокси, и "мастер" уже не помогает. И перезагрузка не помогает. И, в общем, ничего не помогает, кроме как показать системе прямой, без прокси, интернет, и попросить обновиться. Отдельно забавно, что при этом срабатывает эффект "pkunzip.zip" - чтобы WU смог работать с прокси, его нужно обновить, но он не может обновиться сам, потому что не может работать с прокси.
Раньше я подцеплял интернет с телефона, а сейчас решил подцепить проводной-с-сервера, но не при помощи NAT (NAT там настроен, но на другой интерфейс, и я эти настройки просто боюсь трогать - как бы не слетело к чертям, уж больно оно путано), а при помощи вот такого вот коннекта через VPN (NAT при этом тоже происходит, но VPN соединение можно легко подключать-отключать по потребности, не залазя каждый раз в кишки настроек). Ну, и...

Люблю IT.
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 15 comments