Назад | Перейти на главную страницу

Hub-and-Spoke VPN с использованием Window Server 2008 R2 и RRAS

Я пытаюсь создать простую топографию VPN со спицами. Мне удалось пройти довольно долгий путь, и я надеюсь, что следующая диаграмма описывает то, что мне удалось построить до сих пор:

Как видите, хаб - это компьютер под управлением Windows Server 2008 R2 с RRAS. В качестве периферийных устройств используются маршрутизаторы Dreytek с несколькими ПК (или другими устройствами) в локальной сети за ними, либо ПК, подключающиеся напрямую к серверу. Все это работает, как ожидалось, за исключением того факта, что ни одно из устройств LAN на периферийных устройствах не может связываться с устройствами на других периферийных устройствах. Например, ПК с прямым набором номера (192.168.1.11) не может взаимодействовать с 192.168.3.1 или 192.168.10.1.

Вещи, которые я пробовал и которые работают:

Все устройства LAN могут пинговать любой из адресов VPN (так, например, ПК с прямым подключением может пинговать 10.0.0.1, 10.0.0.4 и 10.0.0.5).
Я включил системный журнал на маршрутизаторах Draytek и могу видеть ICMP-трафик через брандмауэр при проверке связи с адресом маршрутизатора 10.0.0.x (например, если я пропингую 10.0.0.5 с ПК с прямым подключением, я могу увидеть брандмауэр, разрешающий пинг).
Я добавил статические маршруты к маршрутизаторам Dreytek (например, на маршрутизаторе 10.0.0.5 я добавил маршрут для маршрутизации 192.168.1.0 / 24 и 192.168.3.0 / 24 через 10.0.0.1).
Я добавил статические маршруты к ПК с прямым набором номера для 192.168.3.0 / 24 через 10.0.0.4 и 192.168.10.0 / 24 через 10.0.0.5
Я добавил статические маршруты к серверу для каждой локальной сети в конце луча (например, я добавил маршрут для 192.168.1.0 / 24 для маршрутизации через 10.0.0.2 и 192.168.10.0 / 24 через 10.0.0.5). У меня возникли проблемы с сохранением этих маршрутов, чтобы они восстанавливались, если VPN-соединение разрывается и снова подключается.

Что не работает:

Сервер не может выполнить эхо-запрос ни одного компьютера в локальной сети (например, он не может пинговать 192.168.10.1 или .2 и т. Д.). Системный журнал на маршрутизаторах не видит никакого трафика ICMP.
Клиентские ПК не могут пинговать какие-либо удаленные ПК (например, компьютеры 192.168.10.x не могут пинговать компьютеры 192.168.3.x или клиент прямого дозвона по адресу 192.168.1.11).

Если использовать Tracert или путь, похоже, что трафик пытается пройти через сервер, но никогда не достигает его. Например:

C:\Users\Administrator>pathping -n 192.168.10.2

Tracing route to 192.168.10.2 over a maximum of 30 hops

  0  10.0.0.1
  1  10.0.0.5
  2     *        *        *

Я действительно не знаю, что делать дальше. Должно быть возможно заставить это работать ... Я нашел так много статей по этой теме, но, похоже, ничего не решает эту конкретную проблему. Итак, я думаю, у меня есть два основных вопроса:

Что мне не хватает, чтобы удаленные ПК в локальной сети могли общаться друг с другом?
Что мне нужно сделать, чтобы сохранить маршруты через VPN-клиентов в их локальные сети?
Могу ли я полностью избежать статических маршрутов и использовать динамические маршруты? Я пробовал использовать RIP, но многоадресные рассылки RIP поступают через VPN (я видел это с помощью Wireshark), и я не могу создать RIP на «внутреннем интерфейсе».

Одна идея, которая у меня возникла ... Может ли проблема быть связана с IPv6? Когда я экспериментировал, я попытался отключить его с помощью Microsoft Fixit 50409. После того, как я это сделал, ни маршрутизаторы, ни клиент W7 с прямым набором номера не смогли установить VPN-соединение, пока я не включил его снова ... Я предположил, что весь трафик будет IPv4, но, может быть, я ошибаюсь?

Большое спасибо!

Изменить: в ответ на комментарий Стефана вот таблицы маршрутизации для различных компонентов в сети ...

Сервер:

C:\Users\Administrator>route print -4
===========================================================================
Interface List
 18...........................RAS (Dial In) Interface
 11...00 15 5d 2f 4d 2d ......Microsoft Virtual Machine Bus Network Adapter
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     109.228.20.1   109.228.20.174      6
         10.0.0.1  255.255.255.255         On-link          10.0.0.1    276
         10.0.0.2  255.255.255.255         10.0.0.2         10.0.0.1     21
         10.0.0.4  255.255.255.255         10.0.0.4         10.0.0.1     21
         10.0.0.5  255.255.255.255         10.0.0.5         10.0.0.1     21
     109.228.20.0    255.255.252.0         On-link    109.228.20.174    261
   109.228.20.174  255.255.255.255         On-link    109.228.20.174    261
   109.228.23.255  255.255.255.255         On-link    109.228.20.174    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.1.11  255.255.255.255         10.0.0.2         10.0.0.1     21
      192.168.3.0    255.255.255.0         10.0.0.4         10.0.0.1     21
     192.168.10.0    255.255.255.0         10.0.0.5         10.0.0.1     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    109.228.20.174    261
        224.0.0.0        240.0.0.0         On-link          10.0.0.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    109.228.20.174    261
  255.255.255.255  255.255.255.255         On-link          10.0.0.1    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0     109.228.20.1       1
===========================================================================

Примечание: Одна из моих проблем заключается в том, что мне приходится вручную добавлять маршруты для 192.168.1.11, 192.168.3.0/24 и 192.168.10.0/24 каждый раз, когда подключаются клиенты VPN. Это явно серьезная проблема, так как я должен иметь возможность сохранять эти маршруты, но, может быть, это невозможно?

Клиент Windows 7:

C:\Windows\system32>route print -4
===========================================================================
Interface List
 26...........................CodeArt Consulting VPN
 17...90 b1 1c 67 94 d4 ......Realtek PCIe GBE Family Controller
 13...68 94 23 36 83 ba ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.11     10
         10.0.0.0        255.0.0.0         10.0.0.1         10.0.0.2     11
         10.0.0.2  255.255.255.255         On-link          10.0.0.2    266
   109.228.20.174  255.255.255.255      192.168.1.1     192.168.1.11     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.11    266
     192.168.1.11  255.255.255.255         On-link      192.168.1.11    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.11    266
      192.168.3.0    255.255.255.0         10.0.0.1         10.0.0.2     11
     192.168.10.0    255.255.255.0         10.0.0.1         10.0.0.2     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.11    266
        224.0.0.0        240.0.0.0         On-link          10.0.0.2    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.11    266
  255.255.255.255  255.255.255.255         On-link          10.0.0.2    266
===========================================================================
Persistent Routes:
  None

Примечание: Я добавил маршрутизаторы к 192.168.3.0/24 и 192.168.10.0/24 вручную.

Маршрутизатор 10.0.0.5 / 192.168.10.0/24:

Key: C - connected, S - static, R - RIP, * - default, ~ - private
*            0.0.0.0/ 0.0.0.0          via 188.30.37.17      WAN2
C           10.0.0.1/ 255.255.255.255  directly connected   VPN-1
S           10.0.0.0/ 255.255.255.0    via 10.0.0.1         VPN-1
C~      192.168.10.0/ 255.255.255.0    directly connected    LAN 
S        192.168.1.0/ 255.255.255.0    via 10.0.0.1         VPN-1
S        192.168.3.0/ 255.255.255.0    via 10.0.0.1         VPN-1
S       188.30.37.17/ 255.255.255.255  via 188.30.37.17      WAN2

Примечание: Статические маршруты к 192.168.1.0/24 и 192.168.3.0/24 были добавлены к маршрутизатору и сохраняются, как и ожидалось.

Насколько я могу судить, все маршруты налажены правильно, но, конечно, может быть ошибка или чего-то не хватает ...

Мне удалось решить эту проблему.

Проблема заключалась в том, что я настроил маршрутизатор на использование NAT для VPN-соединения. Изменение его на полный маршрут устранило проблему, так как вся информация о маршрутизации была правильной. Устройства в локальных сетях на каждом луче теперь могут связываться друг с другом.

Привет,

Бен