Я сделал очень простую вещь. Или я так думал ...
У меня есть доступ к VPN-клиенту в TMG (или ISA, они очень похожи). Я создал группу под названием VPN в AD, добавил, что как разрешенные пользователи VPN в TMG, настроил область IP для VPN-клиентов (192.168.6.0-192.168.6.255) и добавил маршрутизацию сетевых правил между VPN-клиентами и внутренней сетью в TMG (192.168 .5.0-192.168.5.255). Я также добавил правило «Разрешить все» между VPN-клиентами и внутренней сетью в политиках брандмауэра.
К моей проблеме: я подключился к этой сети с клиента под управлением Windows 7, используя соединение PPTP (которое также установлено в TMG). Я могу войти в систему без ошибок, но когда я пытаюсь связаться с любым сервером во внутренней сети, я не получаю ответа. Поэтому, естественно, я безуспешно много искал неисправностей (в журналах TMG ничего не отображалось, нигде не было запрещенного доступа).
Позже я попытался подключиться к VPN с помощью своего мобильного телефона и использовал RDP-клиент на своем телефоне, чтобы связаться с сервером во внутренней сети. Это сработало!
Я попробовал другую рабочую станцию Windows 7 в другом физическом месте, и с ее помощью я даже не смог войти в VPN.
Еще одна рабочая станция в другом физическом месте, и я могу войти и получить доступ к внутренней сети.
Что могло быть причиной этих расхождений? Почему из одних мест он работал, из других - нет, и с разными ошибками?
Заранее спасибо!
Здесь у вас может быть несколько проблем. Один, вероятно, связан с тем, что трафик GRE действительно попадает на сервер VPN, а другой, вероятно, связан с проблемой IP-маршрутизации.
Проблемы с PPTP обычно возникают из-за того, что устройства NAT или межсетевые экраны обрабатывают пакеты GRE, содержащие инкапсулированный трафик PPP.
Обычно я обнюхиваю трафик на VPN-сервере и на клиенте при устранении проблем с PPTP. Таким образом я могу наблюдать, что трафик GRE действительно течет между клиентом и сервером. Ваша проблема с машиной, которая «не может даже войти в VPN», скорее всего, связана с пересылкой GRE или NAT пакетов GRE.
Проблема с "подключенным" клиентом, не имеющим доступа к сетевым ресурсам, обычно связана с маршрутизацией. Взгляните на таблицу маршрутизации «подключенного» клиента и посмотрите, как будут маршрутизироваться пакеты, привязанные к удаленной локальной сети. Обычно это не проблема, если в свойствах TCP / IP клиента установлен флажок по умолчанию «Использовать шлюз по умолчанию в удаленной сети», но если вы отключили его, вам может потребоваться явно добавить маршрут после клиент подключается, чтобы направить трафик в удаленную локальную сеть, а не в Интернет. (Версии Windows до Windows 7 добавляют «классный» маршрут к удаленной сети, когда опция «Использовать шлюз по умолчанию в удаленной сети» не отмечена. Windows 7 - первая версия Windows, которая также позволяет отключить это поведение .)