DNS-сервер разрешает внешний адрес, когда vpn dns должен разрешать внутренний адрес
У нас есть особая ситуация, когда Juniper Network Connect используется как VPN-соединение. Когда VPN запускается, он создает сетевой адаптер. Когда vpn закрывается, сетевой адаптер исчезает. Каждый раз, когда Juniper Network Connect vpn создает адаптер, компьютер Win7 x64 автоматически добавляет наш внутренний DNS-сервер в качестве DNS-сервера для vpn-адаптера. Это вызывает проблему, потому что некоторые серверы внутри vpn имеют внешний адрес, который отличается от их внутреннего адреса, поэтому в основном наш внутренний DNS-сервер правильно разрешает внешний IP-адрес, но поскольку IP-адрес разрешен для внешнего IP-адреса, пакеты никогда не пытаются пересечь vpn и вместо этого попытаться пройти через WAN. который с треском проваливается. Я вручную изменил adpater на автоматическое обнаружение DNS, но каждый раз, когда служба останавливает, адаптер исчезает и воссоздается при следующем запуске.
Мы также используем модуль Juniper SA (с Network Connect для некоторых клиентов / пользователей).
Во-первых, вы не должны вручную ничего менять в самом виртуальном адаптере, все должно контролироваться блоком Juniper SA (с помощью Central Manager).
Созданная сетевая карта является туннельным ником, который устанавливает новый маршрут по умолчанию, IP и т. Д. (Точнее, виртуальный адаптер Juniper Network Connect).
Он должен настраивать маршрут по умолчанию, когда вы подключаетесь, чтобы пройти через этот интерфейс и, таким образом, туннелировать через устройство Juniper SA.
Однако, если вы разрешаете раздельное туннелирование, вы можете столкнуться с проблемой, но это кажется странным. Это больше похоже на проблему с DNS, когда вы должны разрешать VPN на внутренний IP-адрес сервера, а не на внешний IP-адрес. Кажется, вы говорите, что они получают внешний IP-адрес, но они должны подключаться к внутреннему серверу внутри локальной сети. Так что на самом деле DNS должен указывать им переход на внутренний IP-адрес, который является локальным для подсети VPN, а не на внешний IP-адрес.
Тем не менее, если это действительно проблема сетевого подключения, а не разрешение DNS, тогда решение должно лежать в центральном диспетчере SA в разделе «Политики ресурсов, подключение к сети», особенно если у вас есть настройка политики раздельного туннелирования в разделе там. Также проверьте настройки профилей (Профили подключения к сети), чтобы убедиться, что они верны.
Наконец, проверьте роли пользователей для этой группы и параметры сетевого подключения, как показано на снимке экрана ниже:
Это не означает, что один способ лучше другого. Вам нужно будет решить, какие настройки подходят для вашего развертывания.