Configuration du routage et de l'accès à distance VPN

J'essaie de configurer VPN En utilisant le routage et l'accès à distance.

J'ai essayé deux configurations: une avec une carte réseau et une autre avec deux cartes réseau.

Je peux me connecter à travers mon VPN Et obtenez l'adresse IP du serveur DHCP, mais je ne peux rien "voir" quoi que ce soit. Par cela, je veux dire que le client semble complètement aveugle pour le réseau de bureau, cela signifie:

Il n'y a pas de ping pour aucun serveur de bureau, y compris un serveur VPN (J'ai cessé de filtrer ICMP)

Aucune autorisation DNS (Pas étonnant si je ne peux pas me connecter via l'adresse IP. J'ai essayé d'accéder à la ressource partagée du serveur. VPN et posté sur une page Web utilisant le nom de domaine et une adresse IP, par exemple
http://host.com/abc
et
http://192.169.254.199/abc
)

Aucun accès aux ressources réseau (qui n'est pas non plus surprenant, compte tenu de ce qui précède)

Je n'ai eu aucun problème avec la connexion à VPN (Je pensais qu'ils étaient, mais il était lié au routeur de test que j'ai donné).

Cela ne ressemble pas à un problème de pare-feu / routeur parce que je l'ai mis en place afin de passer du trafic VPN Et envoyer au bon serveur.

Je pense que c'est confirmé parce que les journaux d'événements serveur VPN Montrer des chèques réussis (C'est-à-dire des événements de connexion).

Cependant, il montre l'événement suivant immédiatement après que l'événement de connexion réussi se produise. (et je ne sais pas si c'est normal, mais je ne m'attendais pas à ce que ce soit - client VPN Ne pas eteindre).

An account was logged off.

Subject:
Security ID: [DomainName]\[UserName]
Account Name: [UserName]
Account Domain: [DomainName]
Logon ID: 0x[xxxxxx]

Logon Type: 3

Cet événement est généré lorsque la session de connexion est détruite. Cela peut être corrélé positivement avec l'événement de connexion en utilisant la valeur d'identification de connexion. Les identificateurs de connexion sont uniques uniquement entre Rediffers sur un ordinateur.

Je ne suis pas sûr si cela est utile, mais
http://en.wikipedia.org/wiki/Wireshark
Montre que je suis connecté avec succès, puis chargez des packages cryptés, que je soupçonnais:

Il y a un dialogue de configuration PPP LCP / CHAP, qui est une connexion cliente.

Je ne vois pas de ICMP D'une part, quand je fais une demande d'écho à une interface publique VPN (Je suppose que cela est encapsulé dans des packages GRE).

Cependant, ce qui suit est intéressant (que je ne peux pas expliquer):

Pinguya Interface publique (A) (Serveur VPN), Je vois une augmentation du trafic PPP et GRE

Le même si je ping une interface privée (B) (Serveur VPN)

Si je ping un autre serveur (C) En ligne, je vois des demandes de packages ICMP, Mais je n'ai pas de réponses (Je ne suis pas sûr que (C) Serveur directement à l'adresse IP VPN client (D) ou non - C'est vrai. On dirait que la chose est le cas que je vois le mouvement dans (A))

Je ne peux pas expliquer les articles 1 ou 2 - Je m'attendais à voir ICMP, Mais le problème semble être d'envoyer du trafic à (D). Pour vérifier, j'ai envoyé une demande d'écho (D) de (C) et a reçu une réponse, mais je n'ai pas vu le trafic de corrélation ICMP sur (D) (Pourrait-il être la circulation GRE?). Cela me semble étrange mais (C) Vérifie définitivement la connexion avec la machine souhaitée, car elle cesse de répondre lorsque je désactive (D) de VPN.

Notez également que je ne vois pas la circulation sur (D) sur les adresses de réseau VPN, Seulement sur les routeurs pour lesquels le transfert de port est configuré. Peut-être que c'est une sorte de problème avec le routage?

Le serveur VPN semble avoir un problème de ping (D) - ne dit aucune ressource
http://en.wikipedia.org/wiki/PathPing
Montre qu'il utilise l'interface (A). Et ce problème ne se produit que lorsque Ping (D), Tout le reste des pinguets sans problèmes.

j'ai changé RRAS Sur la mise en place d'un adaptateur réseau et le problème du manque de ressources a disparu - Je semble que je peux ping un client de toutes les voitures, mais je ne peux rien faire de rien du client. Je dis comme si je vérifiais la connexion avec le client, il faut moins 1 m / s. (N'oubliez pas que cela se passe via Internet et de différents fournisseurs d'Internet), Et je ne vois aucun trafic ICMP sur un serveur VPN - De plus, lorsque je désactive le client, il est toujours possible de ping !?! (Comme si le serveur VPN répond aux demandes d'écho pour le compte du client.) Bien que cela se produise, le serveur VPN reçoit un délai d'attente lorsque le client est épinglé. TRÈS ÉTRANGE!

Après avoir laissé ça pendant un moment (boire du thé, il y a quelque chose comme de la nourriture), Le serveur VPN est retourné au problème qu'il n'y a pas de ressources et je n'ai aucune direction. Coupure RRAS et sa ré-inclusion m'a renvoyé là où j'étais juste maintenant, maintenant je peux ping de LAN au client.
Invité:

Christine

Confirmation de:

Votre terminologie «... Voir n'importe quoi sur le réseau local ...» inexacte. Que voulez-vous dire par "voir"? Vous voulez dire que vous ne pouviez pas remplir PING Ou installer des connexions TCP avec des hôtes sur un réseau local? Voulez-vous dire que certains "lieux de réseau" ou de telles fonctions ne fonctionnaient pas?

Ce que vous essayez de faire va bien fonctionner. Vous n'avez probablement pas de résolution de noms NetBIOS de l'autre côté VPN, Parce que vous n'utilisez probablement pas le serveur WINS sur le réseau local. Ce serait mon hypothèse «extrasensorielle» sur la raison pour laquelle vous avez des problèmes.

Installation RRAS Le contrôleur de domaine en fait une multitude. Cela fonctionnera mais Microsoft Cela ne recommande pas. Vous devez penser à
http://support.microsoft.com/kb/292822
.

Éditer:

Je ne pense pas que dans ma réponse, il y a quelque chose de "bien". J'essaie d'aider, en fonction de votre description inexacte de vos problèmes. (en utilisant le terme "voir", et pas sur quoi exactement ce n'est pas possible lorsque vous êtes connecté), Et sur mon expérience résolvant de tels problèmes. Votre application vague d'utilisation RADIUS m'a donné un sentiment que vous n'étiez pas un administrateur de système professionnel (Plus tard confirmé par votre commentaire sur votre travail) Et que vous avez probablement essayé d'utiliser un outil graphique ou une application pour accéder aux ressources sur le réseau local, mais n'a pas complété les étapes de dépannage principales, telles que la vérification de la connexion de niveau. 3, Résolution du nom, etc.

J'ai installé des serveurs RRAS Sur les contrôleurs de domaine dans les réseaux locaux connectés à Internet pour des pare-feu NAT. Je les connecte plusieurs fois par semaine. Ce que vous essayez de faire, c'est bien fonctionner.

Si vous autorisez le serveur RRAS Attribuer des adresses IP aux clients de DHCP Ou avez-vous indiqué la plage d'adresses? Si vous avez spécifié la plage d'adresses, il s'agit d'une plage dans le sous-réseau. LAN Ou est-ce un autre sous-réseau? L'adresse IP du client est-elle attribuée à "Connexion" Que pensez-vous voir?

Je n'ai toujours pas clairement ce que vous avez essayé de faire après la "connexion", ce qui vous fait penser que vous ne pouvez pas "voir" LAN. Pouvez-vous exécuter PING Adresse IP du serveur RRAS? Pouvez-vous installer des connexions TCP avec des services postés sur le serveur RRAS Ou d'autres serveurs sur le réseau local, par adresse IP? Vous obtenez la permission DNS?

Enfin, je n'ai pas supposé que le transfert RRAS Sur un autre serveur peut faire quelque chose de travail. J'ai suggéré que Microosft Ne recommande pas d'utiliser un contrôleur de domaine avec plusieurs réseaux. RRAS Cela fonctionnera normalement sur un contrôleur de domaine si vous comprenez ses conséquences.

Changement 2:

Avec configuration du serveur RRAS Attribuer des adresses IP de DHCP Vous voyez qu'une bonne adresse IP est attribuée au client. LAN?

En supposant que cela en soit ainsi, et vous ne pouvez pas exécuter la demande d'écho de l'adresse IP LAN Serveur RRAS Du client, il est temps de commencer à écouter le trafic. Je tamponnerais sur le serveur RRAS

et

sur le client pour vous assurer que la demande PING Routes correctement la connexion VPN (comme charge utile cryptée GRE - Vraisemblablement que vous utilisez PPTP). Si l'écoute est inconfortable, vous pouvez regarder les octets passés par la boîte de dialogue Statut du client connecté dans le nœud des clients d'accès distant dans la console de gestion de routage et de gestion de l'accès distant. Bien que j'aurais compris - Rien ne remplacera la visualisation des données sur les fils.

La table de routage du client ressemble à celle attendue après la connexion, je suppose. Par défaut, client Microsoft VPN Attribue votre passerelle par défaut pour le réseau distant. (Case à cocher "Utiliser la passerelle par défaut dans un réseau distant" dans les propriétés TCP / IP "Facultatif" pour la connexion VPN). Si vous le déconnectez, au lieu de changer la passerelle par défaut, vous verrez une entrée pour un réseau distant avec une passerelle d'adresse IP attribuée à l'adaptateur client. VPN. Vous ne mentionnez pas ce que le système d'exploitation client est, mais le comportement du client Microsoft VPN Un peu changé B. Windows 7 (Ce qui vous permet de désactiver clairement le comportement stupide de "classe" d'ajouter un itinéraire).

Probablement, ça va sans demande, mais sous-réseau IP LAN Serveur VPN et sous-réseau LAN, A quoi le client est connecté, utilisez différentes gammes d'adresses, n'est-ce pas?

Dominique

Confirmation de:

Je propose de changer votre sous-réseau IP. Si votre adresse IP 192.168.x.100 Dans votre réseau local et que vous essayez de vous connecter VPN Sur le site distant, qui utilise également le sous-réseau x, Vos problèmes peuvent avoir un sens.

Changez votre sous-réseau IP. Pas si facile, je sais ... Haha.

Dominique

Confirmation de:

Il me semble que votre connexion VPN est correctement configurée. À VPN Travaillé, le client doit modifier certains détails de sa configuration IP, notamment:

Votre serveur de noms doit pouvoir permettre aux noms du réseau cible. Ceci est généralement réalisé en envoyant le serveur VPN une adresse IP d'un serveur DNS approprié.

Votre serveur VPN doit rediriger les itinéraires pertinents requis pour réussir le trafic. Habituellement, la connexion VPN fonctionne en très petit (/ 30) Sous-réseau, et votre serveur VPN traitera la distribution par divers tunnels qu'il contient. Toutefois, votre client doit savoir que l'adresse IP du réseau cible est disponible via le tunnel, et donc des itinéraires supplémentaires sont requis dans la table de routage du client.

Vous pouvez le vérifier comme suit: être dans VPN, Ouvrir la coquille (DOS Invitation ou quoi que ce soit) sur votre client et courez (sous Windows)

ipconfig /all
or (under linux)
cat /etc/resolv.conf
This will show you which DNS server you are using. This DNS server either must reside on the target network (the most commonly used solution) or must be able to resolve names of machines in the target network to IP addresses.

Deuxième test - Vérifiez votre routage. Sous le type Windows

route print
Under Linux, use
sudo route -nv
This will give you output looking like this:

# route -nv
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.180.0.1 10.180.0.169 255.255.255.255 UGH 0 0 0 tun0
10.180.0.169 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.172.0.0 10.180.0.169 255.255.0.0 UG 0 0 0 tun0
10.171.0.0 10.180.0.169 255.255.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.10.254 0.0.0.0 UG 0 0 0 eth0
Dans l'exemple de réseau ci-dessus 10.171.0.0/16 et 10.172.0.0/16 Voie à travers le tunnel.

Si l'un de ces deux paramètres est manquant sur le client, vérifiez la configuration de votre serveur VPN, qu'il soit configuré pour envoyer les bits correspondants au client. De toute évidence, cela dépend du type de serveur VPN que vous utilisez.

Babette

Confirmation de:

On dirait que ceci est un problème de trafic DHCP. Je ne sais pas pourquoi.

Pour résoudre ce problème, j'ai ajouté manuellement un bassin d'adresses statiques (Cela ne fonctionnera pas si vous le configurez de cette manière lors de la mise en place RRAS).

Maintenant je peux ping. Même si DNS Il semble un problème, même si les serveurs DNS appropriés sont sélectionnés par le client - Pour résoudre ce problème, vous devez configurer une connexion réseau. VPN Sur le client pour ajouter suffixe DNS.

Pour répondre aux questions, connectez-vous ou registre