У нас есть следующая конфигурация:
- СТОРОНА ЛАН
Местные клиенты #N
Локальный сервер A (DC + RRAS)
Локальный сервер B (DC + RRAS)
Локальные серверы C ... Z
--- МАРШРУТИЗАТОР / ФЕЙЕРВОЛ
- ОБЩЕСТВЕННАЯ СТОРОНА
Иностранные клиенты 1,2 .., # N
На обоих серверах A и B установлена последняя версия (август 2017 г.) Windows Server 2016 Standard.
У нас есть эта проблема на обоих серверах, поэтому для простоты мы возьмем сервер A в качестве примера.
** Конфигурация RRAS **:
У сервера A всего один ник, и он настроен следующим образом:
1Физическая сетевая карта
Ethernet IF: 192.168.12.41/255.255.255.0
Псевдоним IF: 192.168.12.38/255.255.255.255 (был создан сервером RRAS)
Порты сервера RRAS (как PPTP, так и SSTP) перенаправляются с их общедоступного IP-адреса на IP-адрес Ethernet IF маршрутизатором.
Конфигурация внешнего клиента:
все местные и зарубежные клиенты - это все от Windows 7 до Windows 10 Professional, дополнительной соответствующей информации нет, кроме предоставленного вывода ipconfig / nmap:
Представление проблемы
Внешние клиенты могут успешно подключиться к локальной сети через RRAS сервера A. Но когда они это делают, на сетевом уровне они могут подключаться к чему угодно, НО к серверу A. Проблема впервые была замечена, когда один из подключенных к серверу A не смог подключиться к серверу A по RDP. Затем мы обнаружили, что никакие службы не могут быть повторно доступны на Сервер A, но вы можете подключиться к любому клиенту, а серверы B - к Z.
Если соединение установлено наоборот (внешний клиент подключается к RRAS сервера B), он будет подключаться ко всему в локальной сети, но к серверу B.
Порты UDP и TCP недоступны через подключенный RRAS:
Это nslookup от внешнего клиента к серверу A и B при подключении к серверу A:
c:\Users\user>nslookup site.customer.com 192.168.12.41
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.12.41
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Tempo scaduto per la richiesta a UnKnown
c:\Users\user>nslookup site.customer.com 192.168.12.42
Server: moon.site.customer.com
Address: 192.168.12.42
Nome: site.customer.com
Addresses: 192.168.12.41
192.168.12.42
Это ipconfig / all внешнего клиента после успешного подключения к серверу A:
c:\Users\user>ipconfig /all
...
Scheda PPP CUSTOMER:
Suffisso DNS specifico per connessione: site.customer.com
Descrizione . . . . . . . . . . . . . : CUSTOMER
Indirizzo fisico. . . . . . . . . . . :
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì
Indirizzo IPv4. . . . . . . . . . . . : 192.168.12.143(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . :
Server DNS . . . . . . . . . . . . . : 192.168.12.42
192.168.12.41
NetBIOS su TCP/IP . . . . . . . . . . : Disattivato
...
Это трассировка к ServerA.
c:\Users\user>tracert -w 100 sun.site.customer.com
Traccia instradamento verso sun.site.customer.com [192.168.12.41]
su un massimo di 30 punti di passaggio:
1 16 ms * 14 ms 192.168.12.38
2 15 ms 15 ms 14 ms 192.168.12.41
Traccia completata.
Это трассировка к ServerB.
c:\Users\user>tracert -w 100 moon.site.customer.com
Traccia instradamento verso moon.site.customer.com [192.168.12.42]
su un massimo di 30 punti di passaggio:
1 * 29 ms 26 ms 192.168.12.38
2 23 ms 29 ms 31 ms 192.168.12.42
Traccia completata.
Сервер Nmap B:
c:\Users\user>nmap --unprivileged -P0 -F 192.168.12.42
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 17:54 ora legale Europa occidentale
Nmap scan report for moon.site.customer.com (192.168.12.42)
Host is up (1.1s latency).
Not shown: 89 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
1433/tcp open ms-sql-s
1723/tcp open pptp
3389/tcp open ms-wbt-server
Nmap done: 1 IP address (1 host up) scanned in 32.27 seconds
Сервер Nmap A:
c:\Users\user>nmap --unprivileged -e ppp0 -P0 -F 192.168.12.41
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 17:56 ora legale Europa occidentale
Nmap scan report for sun.site.customer.com (192.168.12.41)
Host is up.
All 100 scanned ports on sun.site.customer.com (192.168.12.41) are filtered
Nmap done: 1 IP address (1 host up) scanned in 46.63 seconds
Как вы можете видеть, разрешение имен работает нормально, но соединения tcp / udp с сервером A не будут работать, если подключены к RRAS сервера A, или не будут работать с сервером B, если подключены к RRAS сервера B.
Ни RRAS, ни какие-либо другие службы на Серверах или Внешних клиентах не показывают ничего значимого, и я думаю, что это нормально, поскольку у нас здесь проблема на сетевом уровне.
Фактически мы обнаружили, что для внешних клиентов второй автоматически созданный внутренний IP-адрес RRAS имеет опубликованные и доступные службы сервера A:
c:\Users\user>nmap --unprivileged -P0 -F 192.168.12.38
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 18:26 ora legale Europa occidentale
Nmap scan report for 192.168.12.38
Host is up (0.19s latency).
Not shown: 90 filtered ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
1723/tcp open pptp
3389/tcp open ms-wbt-server
Nmap done: 1 IP address (1 host up) scanned in 38.33 seconds
Вопрос: что можно сделать, чтобы диагностировать и предотвратить этот симптом?
Изменить 1 в ответ на запрос @ Mr.Raspberry
печать маршрута, выполненная на ServerA
192.168.12.128 и 192.168.12.79 в настоящее время подключены к клиентам RRAS
C:\Users\Vincenzo>route print
===========================================================================
Elenco interfacce
14...00 50 56 ac 63 1a ......vmxnet3 Ethernet Adapter
30...........................RAS (Dial In) Interface
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Tabella route
===========================================================================
Route attive:
Indirizzo rete Mask Gateway Interfaccia Metrica
0.0.0.0 0.0.0.0 192.168.12.39 192.168.12.41 271
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.12.0 255.255.255.0 On-link 192.168.12.41 271
192.168.12.79 255.255.255.255 192.168.12.79 192.168.12.38 42
192.168.12.128 255.255.255.255 192.168.12.128 192.168.12.38 42
192.168.12.38 255.255.255.255 On-link 192.168.12.38 297
192.168.12.41 255.255.255.255 On-link 192.168.12.41 271
192.168.12.255 255.255.255.255 On-link 192.168.12.41 271
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.12.41 271
224.0.0.0 240.0.0.0 On-link 192.168.12.38 297
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.12.41 271
255.255.255.255 255.255.255.255 On-link 192.168.12.38 297
===========================================================================
Route permanenti:
Indirizzo rete Mask Indir. gateway Metrica
0.0.0.0 0.0.0.0 192.168.12.39 Predefinito
===========================================================================