Domain-Name-System

我可以連接,但無法 ping/路由到遠端 VPN 電腦

  • October 6, 2016

設置:

Windows Server 2008 機器上的 L2TP VPN 伺服器位於路由器後面,路由器位於調製解調器/路由器後面。

調製解調器/路由器(IP:192.168.2.1,子網:255.255.255.0,DHCP 為路由器服務 192.168.2.2)

—-|_ 路由器(IP:192.168.2.2,子網:255.255.255.0,子 LAN IP:192.168。 0.1,子 LAN 子網:255.255.255.128,DHCP 為電腦提供 192.168.0.*)

————|_ Windows Server 2008(IP:192.168.0.3,子網:255.255.255.128,從池中提供 VPN IP 地址…192.168.0.130 - 192.168.0.140)

路由器將 WS2008 設置為主 DNS,WS2008 將查詢轉發迴路由器以查找故障。請參閱此文章以進行澄清。

我可以很好地連接到VPN,這是ipconfig的結果:

PPP adapter Work VPN:

  Connection-specific DNS Suffix  . : ss
  Description . . . . . . . . . . . : Work VPN
  Physical Address. . . . . . . . . :
  DHCP Enabled. . . . . . . . . . . : No
  Autoconfiguration Enabled . . . . : Yes
  IPv4 Address. . . . . . . . . . . : 192.168.0.130(Preferred)
  Subnet Mask . . . . . . . . . . . : 255.255.255.255
  Default Gateway . . . . . . . . . :
  DNS Servers . . . . . . . . . . . : 192.168.0.3
                                      192.168.0.1
  NetBIOS over Tcpip. . . . . . . . : Enabled

奇怪的是,當我查看 vpn 連接的網關時會發生什麼。它設置為 192.168.0.129。我是路由新手,所以在查看route print. 我XXX.XXX.XXX.XXX代替了我的公共 IP。

===========================================================================
Interface List
24...........................Work VPN
16...00 02 76 09 4b b7 ......Bluetooth Device (Personal Area Network)
14...f4 6d 04 d2 59 74 ......Realtek PCIe GBE Family Controller
 1...........................Software Loopback Interface 1
10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
11...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
         0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2     10
       127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
       127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
 127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
 XXX.XXX.XXX.XXX  255.255.255.255      192.168.1.1      192.168.1.2     11
     192.168.0.0    255.255.255.0    192.168.0.129    192.168.0.130     11
   192.168.0.130  255.255.255.255         On-link     192.168.0.130    266
     192.168.1.0    255.255.255.0         On-link       192.168.1.2    266
     192.168.1.2  255.255.255.255         On-link       192.168.1.2    266
   192.168.1.255  255.255.255.255         On-link       192.168.1.2    266
       224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
       224.0.0.0        240.0.0.0         On-link       192.168.1.2    266
       224.0.0.0        240.0.0.0         On-link     192.168.0.130    266
 255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
 255.255.255.255  255.255.255.255         On-link       192.168.1.2    266
 255.255.255.255  255.255.255.255         On-link     192.168.0.130    266
===========================================================================
Persistent Routes:
 None

IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination      Gateway
11     58 ::/0                     On-link
 1    306 ::1/128                  On-link
11     58 2001::/32                On-link
11    306 2001:0:9d38:6ab8:880:caa:e7c6:9416/128
                                   On-link
14    266 fe80::/64                On-link
11    306 fe80::/64                On-link
11    306 fe80::880:caa:e7c6:9416/128
                                   On-link
14    266 fe80::8184:12a1:9307:968a/128
                                   On-link
 1    306 ff00::/8                 On-link
11    306 ff00::/8                 On-link
14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
 None

IP 192.168.1.* 來自客戶端網路(我使用 VPN 連接到遠端 VPN 的電腦)。這條路由 ( 192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130) 不應該在子網上255.255.255.128還是我錯過了有關路由和 VPN 的一些東西?

NAT 在調製解調器和路由器上都處於活動狀態。我不確定這對安全/連接性有什麼影響,以及我應該如何處理。埠 500、1701、4500 在路由器上轉發到 192.168.0.3,這就是我猜為什麼我可以首先連接。路由器在調製解調器上設置為 DMZ。路由器上啟用了 L2TP 直通(調製解調器上沒有此選項)。路由器上啟用了 SPI 防火牆。同樣,我不知道這是否會影響任何事情。

嘗試對 192.168.0.3 進行跟踪時出現請求超時。我什至無法 ping VPN 網關。VPN 伺服器無法 ping 客戶端分配的 IP 地址。

我希望這些資訊對您有所幫助,目前我想不出還有什麼要提的。總結一下我的問題,我可以連接到 VPN,但是當我進入時我什麼也做不了。沒有 ping,沒有 DNS,沒有通過電腦名訪問,什麼都沒有。

事實證明客戶端可以連接並且路由很好,但是客戶端被 NPS(網路策略伺服器)隔離。最初我安裝了 NPS,然後在故障排除期間將其解除安裝。只有在重新安裝它時,我才會看到 RRAS 日誌提到客戶端已被隔離。客戶端具有“VPN Non-NAP Capable”狀態,關於該狀態的策略是提供有限的網路訪問,而不是完全的網路訪問。我改變了政策,它現在正在工作。

另一個問題可能是我的子網遮罩。由於子網遮罩 255.255.255.128,即使子網 (192.168.0.*) 和子網遮罩 (255.255.255.128) 相同,超過 .127 的 IP 地址將無法與低於 0.128 的 IP 通信。

引用自:https://serverfault.com/questions/496903

相關問答

Iptables

TcpDump 顯示 ICMP 回复但 PING 超時

  • February 3, 2022
檢視問答
Networking

連結 WireGuard 伺服器:可以從客戶端 ping 兩者,但無法訪問網際網路。IP路由問題?

  • October 21, 2021
檢視問答
Networking

iptables PREROUTING 無效

  • June 7, 2021
檢視問答
Iptables

雙VPN不工作

  • March 25, 2021
檢視問答
Domain-Name-System

通過我的 Raspberry PI 重定向所有流量

  • January 16, 2021
檢視問答
Iptables

VPN路由流量,響應超出VPN?

  • April 30, 2020
檢視問答