Назад | Перейти на главную страницу

SSTP в Windows 2008 не может проверить связь в любом направлении

У меня происходит следующая настройка.

Сервер: настроен сервер Windows 2008 как AD, DHCP, DNS, CA и RRAS. Короче говоря, RRAS может принимать соединение SSTP, и клиенты подключаются нормально. Клиенты получают IP-адрес.

Клиент: ОС Windows 7

Конфигурация:

У меня по периметру установлен брандмауэр linux. Порт был открыт для пересылки 443 на внутренний IP-адрес и порт на сервере RRAS.

Частная сеть находится в подсети 10.100.0.0/16.

Сервер RRAS имеет 2 NIC. NIC1 = 10.100.85.15 и NIC2 = 10.100.85.16. NIC2 принимает подключения SSTP из общедоступного Интернета. В настройках адаптера NIC2 указаны только статический IP-адрес и подсеть. На NIC2 не настроены шлюз и DNS-серверы (это я сделал, основываясь на том, что где-то читал о настройке PPTP в Windows 2003). NIC1 имеет наивысший приоритет из 2-х сетевых адаптеров.

RRAS настроен только для VPN (без NAT). Выделение IP-адресов является статическим, и оно происходит из пула 10.100.77.250 по 10.100.77.254 (та же подсеть, что и частная сеть).

Я разрешил ICMP любой в любом направлении во входящем и исходящем фильтрах.

Брандмауэр Windows был настроен так, чтобы разрешать почти все, и затем в этой конфигурации я отключил службу брандмауэра Windows.

Я не добавлял никаких статических маршрутов в RRAS.

Как упоминалось ранее, клиент VPN может подключаться к RRAS через SSTP и получать IP-адрес. Клиент может пинговать шлюз RRAS (10.100.77.250), NIC1 и NIC2.

Проблема:

Клиент не может пинговать никакую машину, кроме сервера RRAS

Дополнительная информация об отладке:

Я установил Microsoft Network Monitor на сервере RRAS для мониторинга пакетов ICMP. Я действительно вижу, что запрос ICMP идет от клиента (скажем, 10.100.77.251) к RRAS на целевой сервер (скажем, 10.100.20.10), а 10.100.20.10 отвечает ICMP-ответом на 10.100.77.251 с адресом Ethernet NIC1. На данный момент это таблица маршрутизации с сервера RRAS.

===========================================================================
Interface List
 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
 13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1
 26 ........................... RAS (Dial In) Interface
  1 ........................... Software Loopback Interface 1
 14 ...00 00 00 00 00 00 00 e0  isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A}
 27 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
 15 ...00 00 00 00 00 00 00 e0  isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.100.0.1     10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.16    358
    10.100.77.253  255.255.255.255    10.100.77.253    10.100.77.254     31
    10.100.77.254  255.255.255.255         On-link     10.100.77.254    286
     10.100.85.15  255.255.255.255         On-link      10.100.85.15    356
     10.100.85.16  255.255.255.255         On-link      10.100.85.16    358
   10.100.255.255  255.255.255.255         On-link      10.100.85.15    356
   10.100.255.255  255.255.255.255         On-link      10.100.85.16    358
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.100.85.16    358
        224.0.0.0        240.0.0.0         On-link      10.100.85.15    356
        224.0.0.0        240.0.0.0         On-link     10.100.77.254    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      10.100.85.16    358
  255.255.255.255  255.255.255.255         On-link      10.100.85.15    356
  255.255.255.255  255.255.255.255         On-link     10.100.77.254    286
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 13    266 fe80::/64                On-link
 12    266 fe80::/64                On-link
 12    266 fe80::a8b1:77f:5eb0:d5a8/128
                                    On-link
 13    266 fe80::f8a0:2a9d:bee9:e688/128
                                    On-link
  1    306 ff00::/8                 On-link
 13    266 ff00::/8                 On-link
 12    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Я знаю, что есть проблема с маршрутизацией ... и я пробовал все комбинации для добавления маршрута в RRAS, но ничего не работает. Любая помощь приветствуется.

Обновить: Преобразовал машину AD в конфигурацию с одним сетевым адаптером. Вот таблица маршрутизации на клиенте и RRAS при подключении клиента.

===========================================================================
Interface List
 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
 22 ........................... RAS (Dial In) Interface
  1 ........................... Software Loopback Interface 1
 23 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
 14 ...00 00 00 00 00 00 00 e0  isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.100.0.1     10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.15    356
    10.100.77.252  255.255.255.255    10.100.77.252    10.100.77.254     31
    10.100.77.254  255.255.255.255         On-link     10.100.77.254    286
     10.100.85.15  255.255.255.255         On-link      10.100.85.15    356
   10.100.255.255  255.255.255.255         On-link      10.100.85.15    356
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.100.85.15    356
        224.0.0.0        240.0.0.0         On-link     10.100.77.254    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      10.100.85.15    356
  255.255.255.255  255.255.255.255         On-link     10.100.77.254    286
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 12    266 fe80::/64                On-link
 12    266 fe80::a8b1:77f:5eb0:d5a8/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Клиент

===========================================================================
Interface List
 23...........................VPN
 10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.123.2   192.168.123.15     10
         10.0.0.0        255.0.0.0    10.100.77.254    10.100.77.252     11
    10.100.77.252  255.255.255.255         On-link     10.100.77.252    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.123.0    255.255.255.0         On-link    192.168.123.15    266
   192.168.123.15  255.255.255.255         On-link    192.168.123.15    266
  192.168.123.255  255.255.255.255         On-link    192.168.123.15    266
  216.218.195.214  255.255.255.255    192.168.123.2   192.168.123.15     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.123.15    266
        224.0.0.0        240.0.0.0         On-link     10.100.77.252    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.123.15    266
  255.255.255.255  255.255.255.255         On-link     10.100.77.252    266
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Я заметил две вещи. 1) В AD никогда не должно быть более одной сетевой карты. Многосетевой DC не поддерживается MS. Но я не думаю, что это вызывает вашу проблему. 2) Вы отключили службу брандмауэра Windows. Наверное, не лучшая идея. Попробуйте снова включить службу и выполнить следующую команду, чтобы отключить профили.

Netsh advfirewall set allprofiles state off

Я все еще не уверен, что это решит вашу проблему, но эти две вещи бросились мне в глаза.

Здесь много чего происходит.

Прежде всего, когда RRAS Windows настроен для выделения IP-адресов VPN-клиентам с использованием пула статических адресов, по умолчанию будет использоваться маска подсети / 24, то есть 255.255.255.0; также, это будет не предоставить дополнительные маршруты для VPN-клиентов.

При такой настройке ваш клиент Windows 7 получает адрес 10.100.77.X / 24, который вообще ничего не говорит ему о том, как достичь большей сети 10.100.0.0/16, то есть любого адреса, где третий байт не 77. Если вы не используете VPN-соединение в качестве шлюза по умолчанию (что часто бывает, если вы не хотите направлять весь свой трафик через VPN), то ваш клиент просто не будет знать, как достичь чего-либо. вне подсети 10.100.77.0/24.

Пожалуйста, предоставьте вывод route print на вашем ПК с Windows 7 после установки VPN-соединения, чтобы мы могли проверить, так ли это. Конечно, если вы вместо этого используете VPN в качестве шлюза по умолчанию (который используется по умолчанию для VPN-подключений Windows), это не будет проблемой; но ваша сетевая конфигурация все равно будет нарушена.


Кроме того, есть аналогичная проблема на противоположной стороне: если сервер RRAS не является шлюзом по умолчанию для компьютеров в удаленной сети (что я так не думаю, поскольку он имеет только внутренние интерфейсы), они не будут знать, что им необходимо пересылать пакеты, адресованные в сеть 10.100.77.0/24, на сервер RRAS; это смягчается тем фактом, что RRAS поддерживает проксирование ARP, поэтому он автоматически ответит: «Я знаю, где находится этот адрес, дайте мне свои пакеты!»; но эта часть конфигурации также будет нарушена.


В качестве примечания и, как говорили другие, две сетевые карты только ухудшают положение; если вам действительно нужно, чтобы ваш сервер имел два IP-адреса, вы можете просто настроить их оба на одной сетевой карте и устранить большой источник проблем; но они тебе не нужны вообще чтобы RRAS работал как VPN-сервер. Избавиться от второго сетевого адаптера и IP-адреса - лучшее, что вы можете сделать ... и это даже более верно потому что этот сервер является контроллером домена.


И последнее, но не менее важное: вы сказали, что «отключили службу Windows Firewall». Вы отключили брандмауэр, или вы действительно остановили службу брандмауэра Windows?? Если да, то перезапустите его СЕЙЧАС. Это был хороший способ отключить брандмауэр Windows в Windows XP и 2003, но начиная с Vista, если вы остановите эту службу, весь сетевой стек Windows рухнет. Вам следует перезапустить службу, а затем правильно отключить брандмауэр Windows с помощью инструментов настройки.


Приложение: вы сказали: «Я разрешил ICMP любой сигнал в любом направлении во входящем и исходящем фильтрах». Какие фильтры? Те, что в RRAS, в свойствах сетевых интерфейсов? Отключите их. По умолчанию они отключены и пропускают все, но если вы добавите к ним какое-либо правило, они заблокируют все, кроме того, что вы явно разрешаете (или наоборот, в зависимости от того, как вы их настраиваете). Они очень редко нужны, и их правильная настройка может быть сложной задачей. Сначала заставьте все работать, а затем (если вы действительно хотите) можете начать с ними возиться.