Две недели я проработаю системным администратором в производственной компании среднего размера, где руководители и сотрудники отдела продаж активно используют удаленный доступ. Почти с того дня, как я приехал, я начал жаловаться на проблемы с производительностью VPN. Вот наша настройка: наш шлюз - это устройство Astaro, настроенное с использованием правил DNAT, которые перенаправляют трафик PPTP и GRE на внутренний сервер, который мы назовем COMPANY-VPN01. COMPANY-VPN01 - это сервер Windows Server 2003, настроенный с помощью RRAS. Наши клиентские компьютеры (в основном XP, но некоторые Vista и 7) имеют подключения Windows PPTP VPN, настроенные так, чтобы указывать на vpn.company.com, который преобразуется в общедоступный IP-адрес внешнего интерфейса устройства Astaro.
Вот действительно странная часть: каждый когда пользователи подключаются к VPN-соединению, кажется, что оно работает. На клиентском компьютере VPN-соединение показывает «подключено» (а их ipconfig показывает PPP-адаптер с внутренним IP-адресом, выданным DHCP), и я также могу видеть их соединение на COMPANY-VPN01). Однако более чем в половине случаев эти соединения бесполезны - пользователи не могут получить доступ любой внутренние ресурсы. Поскольку я испытал это на себе, я протестировал некоторые из очевидных вещей - попытался использовать FQDN внутренних ресурсов вместо имен NetBIOS, попытался использовать IP-адреса, попытался проверить связь с внутренними ресурсами по имени и IP-адресу. Ничего идет через. Но если я несколько раз отключу и снова подключу VPN-соединение, я в конечном итоге получу работающее соединение. безупречно - и продолжит работать безупречно, сколько бы я ни оставил его подключенным. Итак, какова бы ни была проблема, она а) прерывистая и б) возникает при установке VPN-соединения - потому что, если вы получаете «хорошее» соединение, оно остается хорошим.
Есть ли у кого-нибудь идеи о том, что здесь может происходить, или предложения по устранению неполадок?
Думаю, мне не следует оставлять это без ответа навсегда, когда я действительно решил проблему.
Когда меня наняли, мне сказали, что локальная сеть «выходит за рамки». Сеть имеет 24-битную маску подсети и использует DHCP для адресации клиентов. DHCP-сервер не был настроен на проверку DNS перед выдачей адресов. DNS не был настроен на очистку старых записей. RRAS был настроен на получение адресов для VPN-клиентов от DHCP, и по умолчанию он захватывает блоки по 10. Таким образом, он захватывает блоки по 10 и начинает раздавать их клиентам, но по мере того, как наше адресное пространство заканчивается, некоторые из них были «хорошими» "а некоторые уже были зарегистрированы для других клиентов в DNS. Я сократил маску подсети до 22-битной, и проблема была решена.
Я подозреваю, что проблема здесь в приборе, просто догадка.
Попробуйте обновить прошивку. Свяжитесь с Astaro по этому поводу.
Попробуйте использовать DMZ для сервера COMPANY-VPN01 вместо правил DNAT.
И / или попробуйте подключить свой Интернет непосредственно ко второму сетевому адаптеру на vpn-сервере и использовать RRAS Basic Firewall + NAT и изменить свой DHCP, чтобы новый шлюз по умолчанию был этим сервером.
ИЛИ ... вы можете написать либо простой пакетный сценарий, либо довольно простое приложение на C #, чтобы автоматически повторно набирать конечную точку vpn в случае сбоя ping после x раз и отправлять копию на все ноутбуки (.msi?).
Вот предложение: настройте другой сервер RRAS и направьте входящие соединения VPN на этот новый сервер. Если проблема не исчезнет, вы исключите сервер как проблему и можете сосредоточиться на вышестоящих устройствах, скорее всего, на устройстве Astaro.
Это могло быть до PPTP Passthrough не поддерживается или работает некорректно на вашем исходящем маршрутизаторе. Вы также можете прочитать Множественные VPN-подключения - почему это невозможно что объясняет, почему это происходит, и способы решения этой проблемы. Это хорошее чтение!