У меня происходит следующая настройка.
Сервер: настроен сервер Windows 2008 как AD, DHCP, DNS, CA и RRAS. Короче говоря, RRAS может принимать соединение SSTP, и клиенты подключаются нормально. Клиенты получают IP-адрес.
Клиент: ОС Windows 7
Конфигурация:
У меня по периметру установлен брандмауэр linux. Порт был открыт для пересылки 443 на внутренний IP-адрес и порт на сервере RRAS.
Частная сеть находится в подсети 10.100.0.0/16.
Сервер RRAS имеет 2 NIC. NIC1 = 10.100.85.15 и NIC2 = 10.100.85.16. NIC2 принимает подключения SSTP из общедоступного Интернета. В настройках адаптера NIC2 указаны только статический IP-адрес и подсеть. На NIC2 не настроены шлюз и DNS-серверы (это я сделал, основываясь на том, что где-то читал о настройке PPTP в Windows 2003). NIC1 имеет наивысший приоритет из 2-х сетевых адаптеров.
RRAS настроен только для VPN (без NAT). Выделение IP-адресов является статическим, и оно происходит из пула 10.100.77.250 по 10.100.77.254 (та же подсеть, что и частная сеть).
Я разрешил ICMP любой в любом направлении во входящем и исходящем фильтрах.
Брандмауэр Windows был настроен так, чтобы разрешать почти все, и затем в этой конфигурации я отключил службу брандмауэра Windows.
Я не добавлял никаких статических маршрутов в RRAS.
Как упоминалось ранее, клиент VPN может подключаться к RRAS через SSTP и получать IP-адрес. Клиент может пинговать шлюз RRAS (10.100.77.250), NIC1 и NIC2.
Проблема:
Клиент не может пинговать никакую машину, кроме сервера RRAS
Дополнительная информация об отладке:
Я установил Microsoft Network Monitor на сервере RRAS для мониторинга пакетов ICMP. Я действительно вижу, что запрос ICMP идет от клиента (скажем, 10.100.77.251) к RRAS на целевой сервер (скажем, 10.100.20.10), а 10.100.20.10 отвечает ICMP-ответом на 10.100.77.251 с адресом Ethernet NIC1. На данный момент это таблица маршрутизации с сервера RRAS.
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1
26 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
14 ...00 00 00 00 00 00 00 e0 isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A}
27 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
15 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.16 358
10.100.77.253 255.255.255.255 10.100.77.253 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.85.16 255.255.255.255 On-link 10.100.85.16 358
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.16 358
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.16 358
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.16 358
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
13 266 fe80::/64 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
13 266 fe80::f8a0:2a9d:bee9:e688/128
On-link
1 306 ff00::/8 On-link
13 266 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Я знаю, что есть проблема с маршрутизацией ... и я пробовал все комбинации для добавления маршрута в RRAS, но ничего не работает. Любая помощь приветствуется.
Обновить: Преобразовал машину AD в конфигурацию с одним сетевым адаптером. Вот таблица маршрутизации на клиенте и RRAS при подключении клиента.
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
22 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
23 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
14 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.77.252 255.255.255.255 10.100.77.252 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
1 306 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Клиент
===========================================================================
Interface List
23...........................VPN
10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.2 192.168.123.15 10
10.0.0.0 255.0.0.0 10.100.77.254 10.100.77.252 11
10.100.77.252 255.255.255.255 On-link 10.100.77.252 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.123.0 255.255.255.0 On-link 192.168.123.15 266
192.168.123.15 255.255.255.255 On-link 192.168.123.15 266
192.168.123.255 255.255.255.255 On-link 192.168.123.15 266
216.218.195.214 255.255.255.255 192.168.123.2 192.168.123.15 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.123.15 266
224.0.0.0 240.0.0.0 On-link 10.100.77.252 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.123.15 266
255.255.255.255 255.255.255.255 On-link 10.100.77.252 266
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Я заметил две вещи. 1) В AD никогда не должно быть более одной сетевой карты. Многосетевой DC не поддерживается MS. Но я не думаю, что это вызывает вашу проблему. 2) Вы отключили службу брандмауэра Windows. Наверное, не лучшая идея. Попробуйте снова включить службу и выполнить следующую команду, чтобы отключить профили.
Netsh advfirewall set allprofiles state off
Я все еще не уверен, что это решит вашу проблему, но эти две вещи бросились мне в глаза.
Здесь много чего происходит.
Прежде всего, когда RRAS Windows настроен для выделения IP-адресов VPN-клиентам с использованием пула статических адресов, по умолчанию будет использоваться маска подсети / 24, то есть 255.255.255.0; также, это будет не предоставить дополнительные маршруты для VPN-клиентов.
При такой настройке ваш клиент Windows 7 получает адрес 10.100.77.X / 24, который вообще ничего не говорит ему о том, как достичь большей сети 10.100.0.0/16, то есть любого адреса, где третий байт не 77. Если вы не используете VPN-соединение в качестве шлюза по умолчанию (что часто бывает, если вы не хотите направлять весь свой трафик через VPN), то ваш клиент просто не будет знать, как достичь чего-либо. вне подсети 10.100.77.0/24.
Пожалуйста, предоставьте вывод route print
на вашем ПК с Windows 7 после установки VPN-соединения, чтобы мы могли проверить, так ли это. Конечно, если вы вместо этого используете VPN в качестве шлюза по умолчанию (который используется по умолчанию для VPN-подключений Windows), это не будет проблемой; но ваша сетевая конфигурация все равно будет нарушена.
Кроме того, есть аналогичная проблема на противоположной стороне: если сервер RRAS не является шлюзом по умолчанию для компьютеров в удаленной сети (что я так не думаю, поскольку он имеет только внутренние интерфейсы), они не будут знать, что им необходимо пересылать пакеты, адресованные в сеть 10.100.77.0/24, на сервер RRAS; это смягчается тем фактом, что RRAS поддерживает проксирование ARP, поэтому он автоматически ответит: «Я знаю, где находится этот адрес, дайте мне свои пакеты!»; но эта часть конфигурации также будет нарушена.
В качестве примечания и, как говорили другие, две сетевые карты только ухудшают положение; если вам действительно нужно, чтобы ваш сервер имел два IP-адреса, вы можете просто настроить их оба на одной сетевой карте и устранить большой источник проблем; но они тебе не нужны вообще чтобы RRAS работал как VPN-сервер. Избавиться от второго сетевого адаптера и IP-адреса - лучшее, что вы можете сделать ... и это даже более верно потому что этот сервер является контроллером домена.
И последнее, но не менее важное: вы сказали, что «отключили службу Windows Firewall». Вы отключили брандмауэр, или вы действительно остановили службу брандмауэра Windows?? Если да, то перезапустите его СЕЙЧАС. Это был хороший способ отключить брандмауэр Windows в Windows XP и 2003, но начиная с Vista, если вы остановите эту службу, весь сетевой стек Windows рухнет. Вам следует перезапустить службу, а затем правильно отключить брандмауэр Windows с помощью инструментов настройки.
Приложение: вы сказали: «Я разрешил ICMP любой сигнал в любом направлении во входящем и исходящем фильтрах». Какие фильтры? Те, что в RRAS, в свойствах сетевых интерфейсов? Отключите их. По умолчанию они отключены и пропускают все, но если вы добавите к ним какое-либо правило, они заблокируют все, кроме того, что вы явно разрешаете (или наоборот, в зависимости от того, как вы их настраиваете). Они очень редко нужны, и их правильная настройка может быть сложной задачей. Сначала заставьте все работать, а затем (если вы действительно хотите) можете начать с ними возиться.