Клиенты SSTP VPN подключаются нормально, но не могут получить доступ к ресурсам LAN
Я недавно перенастроил наш брандмауэр, который обрабатывает DHCP для нашей LAN 192.168.0.0/23 (т.е. 192.168.0.0 - 192.168.1.254 с маской подсети 255.255.254.0) из-за расширяющегося списка подключенных устройств. Все устройства нормально получают свой DHCP-адрес и могут получить доступ ко всему остальному в локальной сети, что мы им разрешили, проблема, с которой я столкнулся, на самом деле связана с подключением SSTP VPN, которое у нас было нормально, когда оно было всего 192.168.1.0/24.
Сервер VPN - это ящик ADDC Windows Server 2012 R2. Это DNS, но не DHCP. VPN настроен с использованием RRaS и работал нормально до расширения сети.
Таким образом, когда клиенты подключаются теперь, они не получают адрес DHCP в том же диапазоне 192.168.0.0/23 ... они либо получают адрес APIPA 169.254.xx, либо если я установил IPv4 на статический в свойствах RRaS, адрес в правильном диапазоне, но с 255.255.255.255 SNM. Это ли останавливает доступ к локальной сети? Или это нормально для VPN-подключения? Где в RRaS мне нужно изменить настройки, чтобы он снова заработал?
Небольшой отказ от ответственности - навыки сетевого администрирования не являются моей сильной стороной, поэтому я могу что-то неправильно понять в конфигурации.
Кстати, это может быть настройка нашего брандмауэра Juniper NS-25, который является DHCP-сервером? ... когда SSTP VPN работал нормально, это было, когда мы временно использовали маршрутизатор Netgear SMB (DEVG2020 или что-то в этом роде) с просто TCP-порт 443 пересылает на сервер 2012 R2 через NAT. Теперь, вернувшись к нашему верному старому Juniper, я создал соответствующие VIP-адреса на интерфейсе WAN, создал соответствующие политики брандмауэра «Any -> VIP» и протестировал доступ к TCP-порту 443, и все выглядит хорошо - в противном случае внешний компьютер не работал бы. не подключаться к SSTP вообще. Так, может быть, сервер Server 2012 R2 неправильно передает DHCP из-за способа вещания Juniper? Или я над этим слишком много думаю?
Вы можете попробовать разрешить серверу rras раздавать диапазон IP-адресов вместо использования DHCP-ретранслятора.
Чтобы выяснить, является ли ретрансляция проблемой.