使用 RRAS VPN 橋接 ICS
有這個設置:
- 帶有 2 個千兆網卡的 Windows Server 2012 R2,一個通過千兆交換機連接到 4 個工作站,另一個暴露在網際網路上
- 伺服器是域控制器,工作站通過 ActiveDirectory 獲取組策略
- 使用 ICS 通過本地 NIC 共享相應的伺服器 NIC 來提供對工作站的 Internet 訪問
- 使用 192.168.137.1 地址作為本地網卡上的伺服器
- 靜態地址 192.168.137.2-5 設置為網關設置為 192.168.137.1 且未設置 DNS 的工作站
- 在伺服器上使用 RRAS 為來自 Internet 的使用者提供 VPN 連接。VPN 客戶端(使用 Microsoft Windows VPN 連接)使用靜態地址池(設置為使用 192.168.137.100+),並且似乎他們在 192.168.137.100 看到伺服器(通過 VPN 登錄後可以 RDP 確定)並且他們獲得上述地址它
問題是 VPN 客戶端看不到 ICS 工作站。
當我在 VPN 客戶端上執行 ipconfig 時,VPN 客戶端的網關顯示為空,我猜這意味著他們在伺服器上使用了一些 VPN 網關。
我知道 ICS 有一個簡單的 DHCP 服務(可以通過系統資料庫關閉),那麼我可以告訴 RRAS 以某種方式將客戶端傳遞給該 DHCP 嗎?RRAS 似乎有一個 DHCP 中繼代理,如果我將其設置為將 DHCP 消息傳遞到 192.168.137.1(如果我從 VPN 客戶端執行高級埠掃描程序,伺服器也會出現在 .100 之外)。不確定這是否是設置 VPN 客戶端無論如何都要使用的 DHCP 的正確方法。
順便說一句,VPN 客戶端在連接時會失去 Internet 連接,但是由於工作站可以通過 ICS 訪問 Internet,因此如果他們可以通過 RDP 訪問它們就很好(他們目前不能 - 登錄後只能看到伺服器和 RDP通過VPN)
已經考慮過各種解決方法,例如不使用 ICS 但設置 NAT,但不確定我是否可以在 DC 上設置 NAT 和 VPN(而使用 ICS 似乎可以正常工作)。
還嘗試在其他伺服器埠上公開工作站的 RDP 埠(ICS 有一個高級設置對話框,您可以在其中向 Internet 客戶端公開服務,但這可能僅適用於通過 Internet 直接連接的客戶端,而不是通過 VPN 連接的客戶端)
剛剛找到了解決方案:我最近注意到我可以連接到其中一個工作站,但不能連接到其他工作站,並且當在軟體中使用經典網路對話框時,我無法從伺服器列出本地網路中的其他電腦,例如時間老闆專業版。
因此,我打開了從伺服器到每個工作站的 RDP 連接,並從 Windows Explorer 訪問了網路位置。在三個有問題的工作站中,它警告我網路發現已被禁用,並且在關閉該對話框後它提供啟用它(僅針對本地網路進行 - 如果您直接連接到網際網路最近的 Windows 客戶端作業系統顯示選擇啟用所有公共網路或將本地網路設為私有網路)
在該操作之後,我可以從網路對話框中列出工作站,我還可以通過 RDP 按名稱連接到工作站,將伺服器在 VPN 中的本地地址指定為 RDP 網關
我已經定義了 RD CAP 和 RAP 策略,如https://technet.microsoft.com/en-us/library/cc731544(v=ws.11).aspx和https://technet.microsoft.com/en中所述-us/library/cc730630(v=ws.11).aspx,分別用於連接授權和資源授權,並使用伺服器上的那些設置了 RDP 網關。在 CAP 中,我指定了一組允許遠端連接的 AD 使用者,在 RAP 中,我指定了一組允許訪問的工作站。此外,我已經在伺服器上設置了一個 GPO(組策略對象),以便通過 Active Directory 策略傳播/執行在每個工作站上設置允許 AD 組使用者遠端連接的設置。
順便說一句,我所做的另一項更改(雖然不應該發揮作用)是我現在正在為具有 ICS 的本地網路和另一個(192.137.0.x)使用單獨的地址空間(192.168.0.x) ) 用於 VPN 靜態地址池。請注意,我禁用了 RAS 中的 DHCP 中繼代理,因為我將 RAS 的靜態池用於 VPN。
希望這可以幫助其他面臨同樣情況的人