Я хочу спросить, в правильном ли направлении я смотрю. У нас есть:
В настоящее время из нашего удаленного офиса только один пользователь может одновременно подключиться к VPN, поскольку, когда другие пытаются подключиться одновременно, соединения не работают.
Я не специалист по сетям, но предполагаю, что это связано с тем, что VPN-сервер не понимает, куда отправлять пакеты или что-то подобное.
Я видел упомянутые в другом месте pfSense .. и это, похоже, указывало на то, что я мог бы использовать его для маршрутизации VPN-соединений, а не Windows - и это воля обрабатывать нескольких пользователей с одного и того же внешнего IP.
Это верно; pfSense - решение этой проблемы? (например: отказ от Windows VPN и использование вместо этого pfSense).
TL; DR: Если вы используете IPsec: попробуйте отключение "IPsec Passthrough" на маршрутизаторе NAT в вашем удаленный офис. Т.е. ящик, за которым находятся клиенты VPN и которому принадлежит единственный общедоступный IP-адрес.
Я думаю, это твоя настоящая проблема. Переход на pfsense с тем же протоколом VPN не поможет.
Вы должны сказать, какой протокол VPN вы используете в данный момент (IPsec?). Я предполагаю, что вы используете все программное обеспечение, встроенное в Windows, иначе вы бы упомянули об этом ...
Вы правы, отметив "один общедоступный IP-адрес" как проблему. NAPT (NAT) должен обрабатывать каждый используемый IP-протокол. Если протокол VPN работает напрямую через IP, на него будут распространяться ограничения блока NAPT в удаленном офисе. Ограничения, такие как максимум одно соединение в любое время - я уверен, что видел это в домашних маршрутизаторах.
Некоторые Passthrough ограничены одним туннелем VPN за раз; другие реализации используют такие поля, как IPsec SPI, для мультиплексирования нескольких туннелей через одно устройство NAT. VPN Passthrough не является стандартом, и его поведение зависит от продукта. Cite - цитата на самом деле не платная - просто прокрутите вниз.
В этом случае вы хотите использовать свой протокол VPN через UDP / IP, а не напрямую через IP. Это часто обозначается как NAT-T, что означает «NAT Traversal». (И в отличие от VPN-транзита - это стандарт).
Чтобы принудительно использовать NAT-T, попробуйте настроить блок NAPT для блокировки VPN через IP. Другими словами, отключите функцию «Сквозной VPN». Клиенты VPN тогда должны будут использовать NAT-T. Windows IPsec клиент и сервер 2003 должен поддерживать это из коробки. Согласно приведенной выше ссылке клиента, вам может потребоваться убедиться, что у VPN-сервера есть собственный общедоступный IP-адрес. ("NAT-T ... отключен по умолчанию для случая, когда VPN сервер также находится за устройством NAT »).
В качестве альтернативы замените свой блок NAT на тот, который делает поддерживайте сквозную передачу вашего протокола VPN с любым количеством подключений :).
Та же проблема применима и к PPTP, но хуже, потому что вы не можете запустить его через UDP. (Пожалуйста, не используйте PPTP, это не является безопасным).