Настроить:
L2TP VPN-сервер на машине Windows Server 2008, которая находится за маршрутизатором, который находится за модемом / маршрутизатором.
Модем / маршрутизатор (IP: 192.168.2.1, подсеть: 255.255.255.0, DHCP обслуживает маршрутизатор 192.168.2.2)
---- | _ Маршрутизатор (IP: 192.168.2.2, подсеть: 255.255.255.0, Sub LAN IP: 192.168.0.1, Sub подсеть LAN: 255.255.255.128, DHCP обслуживает компьютеры 192.168.0. *)
------------ | _ Windows Server 2008 (IP: 192.168.0.3, подсеть: 255.255.255.128, обслуживает IP-адрес VPN из пула ... 192.168.0.130 - 192.168.0.140)
Маршрутизатор устанавливает WS2008 в качестве основного DNS, WS2008 направляет запросы обратно на маршрутизатор в случае сбоев. Видеть эта почта в целях разъяснения.
Я могу подключиться к VPN нормально, это результат ipconfig:
PPP adapter Work VPN:
Connection-specific DNS Suffix . : ss
Description . . . . . . . . . . . : Work VPN
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.130(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.0.3
192.168.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled
Странно то, что происходит, когда я смотрю на шлюз для подключения vpn. Он установлен на 192.168.0.129. Я новичок в маршрутизации, поэтому не знаю, что хорошо / плохо, когда смотрю на результаты route print. я кладу XXX.XXX.XXX.XXX вместо моего публичного IP.
===========================================================================
Interface List
24...........................Work VPN
16...00 02 76 09 4b b7 ......Bluetooth Device (Personal Area Network)
14...f4 6d 04 d2 59 74 ......Realtek PCIe GBE Family Controller
1...........................Software Loopback Interface 1
10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
11...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
XXX.XXX.XXX.XXX 255.255.255.255 192.168.1.1 192.168.1.2 11
192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130 11
192.168.0.130 255.255.255.255 On-link 192.168.0.130 266
192.168.1.0 255.255.255.0 On-link 192.168.1.2 266
192.168.1.2 255.255.255.255 On-link 192.168.1.2 266
192.168.1.255 255.255.255.255 On-link 192.168.1.2 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.2 266
224.0.0.0 240.0.0.0 On-link 192.168.0.130 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.2 266
255.255.255.255 255.255.255.255 On-link 192.168.0.130 266
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
11 58 ::/0 On-link
1 306 ::1/128 On-link
11 58 2001::/32 On-link
11 306 2001:0:9d38:6ab8:880:caa:e7c6:9416/128
On-link
14 266 fe80::/64 On-link
11 306 fe80::/64 On-link
11 306 fe80::880:caa:e7c6:9416/128
On-link
14 266 fe80::8184:12a1:9307:968a/128
On-link
1 306 ff00::/8 On-link
11 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
IP-адреса 192.168.1. * Взяты из клиентской сети (компьютер, на котором я использую VPN для подключения к удаленной VPN). Не должен этот маршрут (192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130) находиться в подсети 255.255.255.128 или мне что-то не хватает по маршрутизации и VPN?
NAT активен и на модеме, и на маршрутизаторе. Я не уверен, какую роль это должно играть в отношении безопасности / подключения и что я должен с этим делать. Порты 500, 1701, 4500 перенаправляются на маршрутизаторе на 192.168.0.3, и я предполагаю, почему я вообще могу подключиться. Маршрутизатор настроен на DMZ на модеме. На маршрутизаторе включен транзитный трафик L2TP (на модеме этого нет). На маршрутизаторе включен межсетевой экран SPI. Опять же, я не знаю, влияет ли это на что-нибудь.
Я получаю тайм-аут запроса при попытке tracert к 192.168.0.3. Я тоже не могу пинговать VPN-шлюз. Сервер VPN не может проверить связь с назначенным IP-адресом клиента.
Надеюсь, эта информация поможет, в данный момент я не могу придумать, что еще упомянуть. Подводя итог моей проблеме, я могу подключиться к VPN, но я ничего не могу сделать, когда нахожусь внутри. Ни пинга, ни DNS, ни доступа через имена компьютеров, ничего.
Оказывается, клиенты могут подключаться, и с маршрутизацией все в порядке, но клиент был помещен в карантин NPS (сервером сетевой политики). Первоначально я установил NPS, а затем удалил его во время устранения неполадок. Только при переустановке я вижу журналы RRAS, в которых упоминается, что клиент помещен в карантин. У клиента был статус «VPN Non-NAP Capable», и политика в отношении этого статуса заключалась в предоставлении ограниченного доступа к сети, а не полного доступа к сети. Я изменил политику, и теперь она работает.
Другой проблемой могла быть моя маска подсети. IP-адреса за пределами .127 не смогут взаимодействовать с IP-адресами ниже .128 из-за маски подсети 255.255.255.128, даже если подсеть (192.168.0. *) И маска подсети (255.255.255.128) совпадают.
После того, как я сломал голову над этим, обходной путь был таким простым. Если VPN-клиент подключается, он получает IP-адрес от основного DHCP-сервера, тогда весь сетевой трафик блокируется. Вы должны использовать DHCP-область из RRAS. Когда я установил прицел, все заработало мгновенно!