客戶端 VPN 有效,但只能從某些位置 (ISA/TMG)
我做了一些非常簡單的事情。或者我是這麼想的……
我已經在 TMG(或 ISA,它們非常相似)中設置了 VPN 客戶端訪問。我在 AD 中創建了一個名為 VPN 的組,添加了作為 TMG 中允許的 VPN 使用者,為 VPN 客戶端(192.168.6.0-192.168.6.255)設置 IP 範圍,並添加了 VPN 客戶端和 TMG 上的內部網路之間的網路規則路由(192.168 .5.0-192.168.5.255)。我還在防火牆策略中添加了允許 VPN 客戶端和內部網路之間的所有規則。
對於我的問題:我使用 PPTP 連接(也在 TMG 中設置)從執行 Windows 7 的客戶端連接到該網路。我可以正常登錄,但是當我嘗試聯繫內部網路上的任何伺服器時,我沒有得到任何響應。所以很自然地我做了很多故障排除(在 TMG 上的日誌中沒有顯示任何內容,在任何地方都沒有拒絕訪問)但沒有成功..
後來,我嘗試用手機連接VPN,並用手機上的RDP客戶端聯繫了內網的伺服器。那行得通!
我在另一個物理位置嘗試了另一個 Windows 7 工作站,使用它我什至無法登錄 VPN。
另一個物理位置的另一個工作站,我可以登錄並訪問內部網路。
什麼可能導致這些差異?為什麼它可以在某些地方工作,但不能在其他地方工作,並且有不同的錯誤?
提前致謝!
您可能在這裡遇到了多個問題。一個可能源於實際到達 VPN 伺服器的 GRE 流量,另一個可能是 IP 路由問題。
PPTP 的問題通常由處理包含封裝的 PPP 流量的 GRE 數據包的 NAT 設備或防火牆引起。
通常,當我對 PPTP 問題進行故障排除時,我會在 VPN 伺服器和客戶端上嗅探流量。這樣我可以觀察到 GRE 流量確實在客戶端和伺服器之間流動。您的機器“甚至無法登錄 VPN”可能是 GRE 轉發或 GRE 數據包的 NAT 問題。
“已連接”客戶端無法訪問網路資源的問題通常是路由問題。查看“已連接”客戶端的路由表,了解發往遠端 LAN 的數據包將如何被路由。通常,如果在客戶端的“高級”TCP/IP 屬性中勾選了預設的“在遠端網路上使用預設網關”選項,則這不是問題,但如果您已禁用該選項,則可能需要在客戶端連接以獲取路由到遠端 LAN 而不是 Internet 的流量。(當取消勾選“在遠端網路上使用預設網關”選項時,Windows 7 之前的 Windows 版本會向遠端網路添加“分類”路由。