Проблема такая.
Есть сервер 2008 - с впн сервером виндовым.
Есть машина 1 Вин7
Есть машина 2 Вин7
Все 3 устроства друг с другом не связаны ни физически ни духовно.
Все 3 в разных сетях с выходом в интернет.
1 машина конектится без проблем, а вот вторая при проверке имени пользователя и пароля додго так думает, выдает ошибку 800.
Винда в логах пишет про некий GRE и о том, что неможут они установить соединение друг с другом.

Как быть?

Вот что пишет:
Подключение между сервером и клиентом виртуальной частной сети 33.221.53.69 установлено, но завершить подключение не удалось. Чаще всего причина заключается в том, что брандмауэр или маршрутизатор между сервером и клиентом виртуальной частной сети не настроен на поддержку пакетов протокола GRE (Generic Routing Encapsulation) (протокол 47).

С какой стороны затык понять не могу.
Кто бородат? Подскажите.

как вариант закрыт у провайдера
ЗЫ но эт нужно уточнять

3g провайдеры обычно закрывают.
Но и роутер на клиенте 2 тоже может это резать

l2tp лучше подними, там все тоже что и в pptp, но данные и авторизация идут по одному протоколу\порту.

(1) а 47 порт открыт ?

(6) Это не порт, а протокол

(7) ой, пардон, тупанул

Еще есть openVPN, это еще удобнее и защищенее чем l2tp.

(9) Каким образом он защищённее ?

(10) Сертифицированием сторон.

То есть, со стороны клиента мало "знать пароль на VPN", надо ещё и иметь сертификат, признаваемый сервером. Мелочь, вроде -- а сильно упрощает админу жизнь.

(11) У L2TP нет сертификатов ?

(0) Используй Опен ВПН, куда демократичней :)

(11) Еще скажи, как его сгенерировать...
Или купить :)

(14) При помощи openssl генерируем все сертификаты.
http://forum.ixbt.com/topic.cgi?id=14:40906

.1. Ключи
Все действия производятся в папке C:\Program Files\OpenVPN\easy-rsa
Действия выполнять так, чтобы сохранялся контекст переменных, например, в командной строке без выхода из неё. Первой командой при каждой операции работы с ключами (кроме начальной инициализации) должна быть vars.bat.

Начальная инициализация, выполняется 1 раз
init-config.bat - начальная инициализация, создаст файлы vars.bat и openssl.cnf
В файле vars.bat надо установить ВСЕ параметры
set HOME=%ProgramFiles%\OpenVPN\easy-rsa
set KEY_CONFIG=openssl.cnf
set KEY_DIR=keys # путь к папке ключей относительно текущей (..\easy-rsa)
set KEY_SIZE=1024
set KEY_COUNTRY=ZZ
set KEY_PROVINCE=ZZ
set KEY_CITY=ZZZ
set KEY_ORG=ZZZ
set [email protected]
vars.bat
clean-all.bat     # очистка и инициализация папки ключей
Создание master Certificate Authority (CA) certificate & key, выполняется 1 раз
vars.bat
build-ca.bat     # генерация сертификата и ключа - ca.crt, ca.key
Генерация сертификата и ключа для сервера, выполняется 1 раз
vars.bat
build-key-server ServerName     # ServerName - имя сервера. На некоторые доп вопросы можно ответить 2 раза "пусто", на 2 последних - "y":
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
В результате будет создан ключ ServerName.key, сертификат ServerName.crt, запрос Certificate Signing Request (CSR) ServerName.csr, ?непонятный файл? 01.pem (копия ServerName.csr)
Генерация Diffie Hellman parameters, выполняется 1 раз, нужно только для tls-server
vars.bat
build-dh     # работает около минуты, грузит CPU под 100% , генерит файл dh1024.pem
Генерация сертификатов и ключей клиентов, выполняется по необходимости
vars.bat
build-key client1
build-key client2
build-key client3
ВАЖНО!!! В вопросе "Common Name (eg, your name or your server's hostname) []:" нужно для каждого ключа указывать УНИКАЛЬНОЕ имя, например, client1, и т.д.
В результате будет создан ключ client1.key, сертификат client1.crt, запрос Certificate Signing Request (CSR) client1.csr, ?непонятный файл? 02.pem (копия client1.csr)

В итоге имеем:
ключи *.key     # секретная информация, должны распространяться ТОЛЬКО ПО СЕКРЕТНЫМ КАНАЛАМ. Нужны только на соотв. хостах.
сертификаты *.crt    # несекретная информация.
запросы серт. *.csr    # Certificate Signing Request, нужны для распределённой генерации и сертификации ключей.
dh1024.pem     # Diffie Hellman parameters

Вместо использования на клиентах 3-ёх раздельных файлов (ca, cert, key) можно использовать единый файл формата PKCS12. Для этого надо генерировать ключ клиента командой:
build-key-pkcs12 client1
Будет создан и обычный комплект файлов, и новый файл .p12 - это и есть этот комбинированный файл. Его можно использовать в конфиге клиента одной командой pkcs12 вместо трёх команд ca, cert, key.
Также при генерации этому файлу можно задать пароль для защиты секретного ключа, в таком случае каждый раз при установке соединения будет запрашиваться пароль для доступа к секретному ключу (Внимание! Так нельзя делать при запуске сервиса, т.к. он не сможет запросить пароль и не сможет установить соединение.). Следует также иметь ввиду, что пользователь имеет право самостоятельно изменить/удалить/установить пароль защиты секретного ключа.[/ list]

Отзыв сертификатов клиентов, выполняется по необходимости, например, при утере ключа или пароля, утечке или компрометации ключа клиента.
vars.bat
revoke-full client1
Будет сгенерирован файл crl.pem в каталоге keys, этот файл и должен быть параметром инструкции "crl-verify crl.pem". Этот файл несекретный, но от несанкционированных изменений должен быть защищён. После отзыва можно сгенерировать новый ключ с тем же CN-именем (Common Name).