windows-server-2008 – 路由和远程访问VPN设置

我正在尝试使用路由和远程访问来设置VPN.

我尝试了两种配置,一种使用单个网卡,另一种使用两个网卡.

我可以通过我的VPN连接并由DHCP服务器分配一个IP地址,但我不能“看到”任何东西.我的意思是客户端对办公室网络完全视而不见,这意味着:

>没有ping任何办公室服务器,包括VPN服务器(我已经停止ICMP被过滤进出)
>没有DNS解析(如果我无法通过IP地址连接就不足为奇了.我尝试使用域名和IP地址访问VPN服务器共享和托管在其上的网页,例如http://host.com/abchttp://192.169.254.199/abc)
>无法访问任何网络资源(鉴于上述情况也不足为奇)

我根本没有连接VPN的任何问题(我以为我有,但这与我给出的测试路由器有关).

这似乎不是防火墙/路由器问题,因为我将其配置为允许VPN流量通过并转发到正确的服务器.

我认为这已得到确认,因为VPN服务器事件日志显示了成功审核(即登录事件).

但是,它确实在成功审核登录事件发生后直接显示以下事件(我不知道这是否正常,但不希望它是 – VPN客户端不会断开连接).

An account was logged off.

Subject:
    Security ID:        [DomainName]\[UserName]
    Account Name:       [UserName]
    Account Domain:     [DomainName]
    logon ID:       0x[xxxxxx]

logon Type:         3

销毁登录会话时会生成此事件.它可能与使用登录ID值的登录事件正相关.登录ID仅在同一台计算机上重新启动之间唯一.

我不确定这是否有用,但是Wireshark显示我成功连接然后加载了一大堆加密数据包,这是我怀疑的:

>有一个PPP LCP / CHAP配置对话,它是客户端连接.
>当我对VPN公共接口执行ping操作时,我看不到任何一侧的ICMP(我认为这是因为它封装在GRE数据包上).

然而以下是有趣的(我无法解释):

> Ping公共接口(A)(VPN服务器)我看到增加了PPP和GRE流量
>如果我ping私有接口(B)(VPN服务器)
>如果我在网络上ping另一台服务器(C),我可以看到ICMP数据包请求但没有回复(我不确定(C)服务器是否正在直接回复客户端的VPN IP(D) – 这确实出现了这种情况,因为我看到(A)中的流量

我无法解释第1点或第2点 – 我希望看到ICMP,但问题似乎确实是向(D)发送流量.为了检查这一点,我从(C)ping了(D)并收到了回复,但是我没有看到关联(D)上的ICMP流量(这可能是GRE流量吗?).我发现这很奇怪,但是(C)肯定会ping正确的机器,因为当我从VPN断开(D)时它停止响应.

另请注意,我看不到(D)到VPN网络地址的任何流量,只看到设置了端口转发的路由器.这可能是某种路由问题吗?

VPN服务器确实有问题ping(D) – 说没有资源,PathPing显示它正在使用接口(A).这个问题只发生在ping(D)时,它会ping其他所有问题.

我将RRAS更改为单个NIC设置并且没有资源问题消失了 – 我似乎可以从所有计算机ping客户端,但无法从客户端ping任何内容.我说似乎当我ping客户端它需要不到1毫秒(记住这是在互联网和不同的ISP),我没有在VPN服务器上看到任何ICMP流量 – 加上我断开客户端,它仍然可以ping!! (好像VPN服务器代表客户端回复ping.)当发生这种情况时,VPN服务器在ping断开连接的客户端时会超时.很奇怪!

离开它一段时间后(喝着茶,吃着各种各样的食物)VPN服务器已经回到No资源问题,而不是我在任何一个方向都没有ping.禁用RRAS并再次启用它会让我回到刚才的位置,我现在可以从LAN ping到客户端.

你的术语“……看到局域网上的任何东西……”是不精确的. “看”是什么意思?你是说你不能PING或与局域网上的主机建立TCP连接?你是说一些“网络地方”或这样的功能不起作用?

要做的事情会很好.您可能没有通过VPN获得NetBIOS名称解析,因为您可能没有在LAN上使用WINS服务器.这将是我的“心灵力量”猜测你为什么遇到问题.

在域控制器上安装RRAS使其成为多宿主.它会工作,但微软不推荐它.你应该考虑preventing the RRAS adapter from registering in DNS and WINS.

编辑:

我不认为我的答案有任何“做作”.我正在尝试根据您对问题的不精确描述提供帮助(使用术语“请参阅”,而不是确切说明连接时失败的原因)以及我对这些类型问题的体验.你关于使用RADIUS的模糊陈述给了我一些感觉,你不是一个专业的系统管理员(后来你的评论重新验证了你的工作),你可能试图使用一些图形工具或应用程序来访问局域网上的资源但是没有没有执行验证第3层通信,名称解析等的基本故障排除步骤.

我已经在连接到NAT防火墙后面的Internet的LAN上的域控制器上设置RRAS服务器.我每周连接几次.你要做的事情很好.

您是否允许RRAS服务器从DHCP为客户端分配IP地址,或者您是否指定了地址范围?如果您已指定地址范围,那么它是LAN子网内的范围,还是不同的子网?当“连接”您希望看到的内容时,是否将IP分配给客户端?

我仍然不清楚你曾经尝试做过什么“连接”,这让你觉得你不能“看到”局域网.你可以PING RRAS服务器的IP地址吗?您是否可以通过IP地址与LAN上的RRAS服务器或其他服务器托管的服务建立TCP连接?你得到DNS解析?

最后,我没有建议将RRAS移动到另一台服务器会使任何工作.我建议Microosft不推荐使用多宿主域控制器. RRAS将在域控制器上正常运行,只要您了解其后果即可.

编辑2:

通过RRAS服务器设置从DHCP分配IP地址,您看到一个好的LAN IP地址被分配给客户端,那么?

假设您是,并且您无法从客户端PING RRAS服务器的LAN IP地址,那么就该开始嗅探流量了.我会在RRAS服务器和客户端上嗅到PING请求正确地路由出VPN连接(作为加密的GRE负载 – 可能是你正在使用PPTP).如果嗅探不方便,您可以通过“路由和远程访问”管理控制台管理单元中“远程访问客户端”节点中已连接客户端的“状态”对话框查看传输的字节数.不过,我会嗤之以鼻 – 看到电线上的数据是无可替代的.

客户端的路由表看起来像你在连接后期望的那样,我假设.认情况下,Microsoft VPN客户端将您的认网关分配给远程网络(VPN连接的“高级”TCP / IP属性中的“在远程网络上使用认网关”复选框).如果您关闭它,而不是看到您的认网关更改,您将看到远程网络的条目,其中IP地址的网关分配给客户端的VPN适配器.您没有提到客户端操作系统是什么,但是在Windows 7中Microsoft VPN客户端的行为略有改变(允许您明确禁用愚蠢的“有类”路由添加行为).

它可能没有问,但VPN服务器的LAN IP子网和客户端连接的LAN子网使用不同的地址范围,不是吗?

相关文章

Windows2012R2备用域控搭建 前置操作 域控主域控的主dns:自...
主域控角色迁移和夺取(转载) 转载自:http://yupeizhi.blo...
Windows2012R2 NTP时间同步 Windows2012R2里没有了internet时...
Windows注册表操作基础代码 Windows下对注册表进行操作使用的...
黑客常用WinAPI函数整理之前的博客写了很多关于Windows编程的...
一个简单的Windows Socket可复用框架说起网络编程,无非是建...