У нашей компании есть несколько полевых офисов, которые недавно были подключены к обычному Интернету после того, как мы удалили T1 и маршрутизатор, которые подключили их напрямую к нашей сети. Теперь, когда пользователи находятся в офисе, они входят в VPN, чтобы иметь возможность подключиться к сети.
Чтобы они могли печатать и сканировать с локального многофункционального устройства, мы настроили VPN с разделенным туннелем. В настоящее время у нас около 15-20 пользователей, использующих эту установку по всей стране без каких-либо проблем.
Недавно у одного из наших пользователей начались проблемы с доступом к внутренним программам / сайтам при подключении как из дома, так и из офиса. В том же офисе есть еще три пользователя, и у них нет этой проблемы. Я предположил, что это что-то с компьютером, и заменил его другим такой же модели. В нашем домашнем офисе компьютер работал нормально; однако, когда пользователь получил его, у нее была точно такая же проблема как дома, так и в полевом офисе.
Думая, что это может быть проблема с драйвером сетевой карты, я отправил ей другой компьютер, на этот раз другой модели, возникла та же проблема.
Если я обновлю файл хоста, чтобы он указывал на правильные пути, все будет работать, а если я подключусь через обычное VPN-соединение, все будет работать, но пользователь не может сканировать или печатать - что является проблемой. Пытался найти способы создать еще один туннель в обычном VPN и попытаться найти способы принудительно установить правильный туннель в VPN с разделенным туннелем.
Похоже, что есть что-то, связанное с провайдером, потому что если я подключаюсь к Comcast или Verizon, это нормально, но как только она подключается к Insite, у нее возникают проблемы. Мне не удалось получить поддержку от Insite, поскольку они не считают, что проблема в них. Мы используем клиент Nortel VPN.
Любые мысли или идеи будут оценены.
Я видел это раньше, когда пользователи получают ложную информацию DNS, которая остается в настройках сетевого адаптера. Я видел статические IP-настройки для DNS или шлюзов, установленные в расширенном разделе конфигурации IP. Если вы откроете сетевой адаптер, а затем перейдете к свойствам ipv4, а затем нажмете расширенную кнопку. Есть ли там какие-то настройки, которые выглядят неправильно? У меня были DNS-серверы, которых не должно быть, а в разделе DNS-суффиксов есть всевозможные странные записи, когда они перешли в точки доступа Wi-Fi.
Пока файл хоста чист, за исключением случаев, когда вы вводите статические записи, похоже, что проблема связана с DNS. Если у вас нет записи хоста в файле hosts и вы пытаетесь выполнить эхо-запрос действительного адреса сервера, разрешается ли он правильно?
Иногда DNS-суффикс может зависнуть, поэтому у них может быть какой-то странный DNS-суффикс, настроенный на их домашнем маршрутизаторе, который застревает в конфигурации адаптеров. Это означает, что если они приходят в офис, а записи DNS не являются полным доменным именем (FQDN), они будут использовать этот суффикс.
Пример: файловый сервер называется fileserver1, ваш домен - primarydomain.com, а их домашний суффикс isp - homeisp.com, сетевой диск сопоставлен с \ fileserver1 \ fileshare. Если суффикс домена принимает верх, компьютер попытается перейти к \ fileserver1. homeisp.com \ fileshare Это вызывает хаос с множеством вещей, для которых не указан fqdn.
Это определенно будет зависеть от того, какой VPN-клиент вы используете.
На нашем сайте мы используем сервер 2003 с RRAS для VPN-подключений, и у меня были похожие проблемы, которые я решил, создав собственный «коннектоид» VPN с помощью Microsoft CMAK (административный комплект диспетчера подключений)
Я использовал это руководство при создании клиента http://www.isaserver.org/tutorials/work-around-VPN-clients-split-DNS.html Это помогло мне заставить клиентов подключаться, использовать DNS-серверы в офисе для разрешения имен, но также позволило всему интернет-трафику правильно использовать локальный шлюз.
Ваши проблемы, если они похожи на мои, связаны с двумя вещами.
По умолчанию VPN-соединения имеют низкий уровень привязки для DNS в Windows. Это означает, что он будет отдавать предпочтение вашим локальным DNS-серверам локальной сети по сравнению с серверами ваших VPN-подключений, если вы не укажете Windows, чтобы ваше VPN-соединение было предпочтительнее других.
Разрешение DNS не работает должным образом, потому что для VPN-подключения не указан DNS-суффикс. Даже если вы смотрите на правильные DNS-серверы, если для этой ссылки не настроен суффикс поиска, машина не сможет преобразовать имя «server» в «server.domain.com» при выполнении поиска. если вы не ссылаетесь на все с помощью fqdn, чего я никогда не видел на практике, это тоже может быть препятствием для показа.
Надеюсь, руководство по набору CMAK 2003 и эта информация помогут вам наладить работу клиента Nortel в вашей среде.
ОДНАКО, другой вариант для этих сетей - использовать шлюз, который может выполнять IPsec с вашим основным сайтом, чтобы пользователям не требовалось подключаться с помощью отдельных VPN-подключений, когда они находятся на любом из ваших сайтов. PFsense - отличный дистрибутив брандмауэра / маршрутизатора на основе BSD, который в прошлом проделал для меня потрясающую работу. Я использовал PFsense в производстве, чтобы направить 150+ пользователей через соединение IPsec с устройством cisco на другом конце, и это даже не моргнул.
Вернитесь с дополнительной информацией, если вы думаете, что я неправильно понял вашу проблему!