我可以連接,但無法 ping/路由到遠端 VPN 電腦
設置:
Windows Server 2008 機器上的 L2TP VPN 伺服器位於路由器後面,路由器位於調製解調器/路由器後面。
調製解調器/路由器(IP:192.168.2.1,子網:255.255.255.0,DHCP 為路由器服務 192.168.2.2)
—-|_ 路由器(IP:192.168.2.2,子網:255.255.255.0,子 LAN IP:192.168。 0.1,子 LAN 子網:255.255.255.128,DHCP 為電腦提供 192.168.0.*)
————|_ Windows Server 2008(IP:192.168.0.3,子網:255.255.255.128,從池中提供 VPN IP 地址…192.168.0.130 - 192.168.0.140)
路由器將 WS2008 設置為主 DNS,WS2008 將查詢轉發迴路由器以查找故障。請參閱此文章以進行澄清。
我可以很好地連接到VPN,這是ipconfig的結果:
PPP adapter Work VPN: Connection-specific DNS Suffix . : ss Description . . . . . . . . . . . : Work VPN Physical Address. . . . . . . . . : DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 192.168.0.130(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : 192.168.0.3 192.168.0.1 NetBIOS over Tcpip. . . . . . . . : Enabled
奇怪的是,當我查看 vpn 連接的網關時會發生什麼。它設置為 192.168.0.129。我是路由新手,所以在查看
route print
. 我XXX.XXX.XXX.XXX
代替了我的公共 IP。=========================================================================== Interface List 24...........................Work VPN 16...00 02 76 09 4b b7 ......Bluetooth Device (Personal Area Network) 14...f4 6d 04 d2 59 74 ......Realtek PCIe GBE Family Controller 1...........................Software Loopback Interface 1 10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 11...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 10 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 XXX.XXX.XXX.XXX 255.255.255.255 192.168.1.1 192.168.1.2 11 192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130 11 192.168.0.130 255.255.255.255 On-link 192.168.0.130 266 192.168.1.0 255.255.255.0 On-link 192.168.1.2 266 192.168.1.2 255.255.255.255 On-link 192.168.1.2 266 192.168.1.255 255.255.255.255 On-link 192.168.1.2 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.2 266 224.0.0.0 240.0.0.0 On-link 192.168.0.130 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.2 266 255.255.255.255 255.255.255.255 On-link 192.168.0.130 266 =========================================================================== Persistent Routes: None IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 11 58 ::/0 On-link 1 306 ::1/128 On-link 11 58 2001::/32 On-link 11 306 2001:0:9d38:6ab8:880:caa:e7c6:9416/128 On-link 14 266 fe80::/64 On-link 11 306 fe80::/64 On-link 11 306 fe80::880:caa:e7c6:9416/128 On-link 14 266 fe80::8184:12a1:9307:968a/128 On-link 1 306 ff00::/8 On-link 11 306 ff00::/8 On-link 14 266 ff00::/8 On-link =========================================================================== Persistent Routes: None
IP 192.168.1.* 來自客戶端網路(我使用 VPN 連接到遠端 VPN 的電腦)。這條路由 (
192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130
) 不應該在子網上255.255.255.128
還是我錯過了有關路由和 VPN 的一些東西?NAT 在調製解調器和路由器上都處於活動狀態。我不確定這對安全/連接性有什麼影響,以及我應該如何處理。埠 500、1701、4500 在路由器上轉發到 192.168.0.3,這就是我猜為什麼我可以首先連接。路由器在調製解調器上設置為 DMZ。路由器上啟用了 L2TP 直通(調製解調器上沒有此選項)。路由器上啟用了 SPI 防火牆。同樣,我不知道這是否會影響任何事情。
嘗試對 192.168.0.3 進行跟踪時出現請求超時。我什至無法 ping VPN 網關。VPN 伺服器無法 ping 客戶端分配的 IP 地址。
我希望這些資訊對您有所幫助,目前我想不出還有什麼要提的。總結一下我的問題,我可以連接到 VPN,但是當我進入時我什麼也做不了。沒有 ping,沒有 DNS,沒有通過電腦名訪問,什麼都沒有。
事實證明客戶端可以連接並且路由很好,但是客戶端被 NPS(網路策略伺服器)隔離。最初我安裝了 NPS,然後在故障排除期間將其解除安裝。只有在重新安裝它時,我才會看到 RRAS 日誌提到客戶端已被隔離。客戶端具有“VPN Non-NAP Capable”狀態,關於該狀態的策略是提供有限的網路訪問,而不是完全的網路訪問。我改變了政策,它現在正在工作。
另一個問題可能是我的子網遮罩。由於子網遮罩 255.255.255.128,即使子網 (192.168.0.*) 和子網遮罩 (255.255.255.128) 相同,超過 .127 的 IP 地址將無法與低於 0.128 的 IP 通信。