Windows-Server-2008-R2
使用 Window Server 2008 R2 和 RRAS 的中心輻射型 VPN
我正在嘗試創建一個簡單的 VPN 中心輻射型拓撲。我已經取得了相當長的進展,我希望下圖描述了我迄今為止能夠建構的內容:
如您所見,集線器是一個執行 RRAS 的 Windows Server 2008 R2 機器。輻條要麼是 Dreytek 路由器,它們後面的 LAN 上有許多 PC(或其他設備),要麼是直接撥入伺服器的 PC。除了輻條上的所有 LAN 設備都無法與其他輻條上的設備通信之外,所有這些都按預期工作。例如,直接撥入 PC (192.168.1.11) 無法與 192.168.3.1 或 192.168.10.1 通信。
我嘗試過和工作的事情:
- 所有 LAN 設備都可以 ping 任何 VPN 地址(例如,直接撥入 PC 可以 ping 10.0.0.1、10.0.0.4 和 10.0.0.5)。
- 我在 Draytek 路由器上啟用了 Syslog,當 ping 路由器的 10.0.0.x 地址時,可以看到通過防火牆的 ICMP 流量(例如,如果我從直接撥入的 PC ping 10.0.0.5,我可以查看允許 ping 的防火牆)。
- 我為 Dreytek 路由器添加了靜態路由(例如,在 10.0.0.5 路由器上,我添加了通過 10.0.0.1 的 192.168.1.0 / 24 和 192.168.3.0 / 24 路由)。
- 我已通過 10.0.0.4 和 192.168.10.0 / 24 通過 10.0.0.5 將靜態路由添加到直接撥入 PC 的 192.168.3.0 / 24
- 我在輻條末端為每個 LAN 添加了到伺服器的靜態路由(例如,我添加了 192.168.1.0 / 24 的路由以通過 10.0.0.2 路由,以及通過 10.0.0.5 的 192.168.10.0 / 24 路由)。我無法保留這些路由,以便在 VPN 連接斷開並重新連接時重新建立它們。
不起作用的事情:
- 伺服器無法 ping 任何 LAN PC(例如,它無法 ping 192.168.10.1 或 .2 等)。路由器上的 Syslog 看不到任何 ICMP 流量。
- 客戶端 PC 無法 ping 任何遠端 PC(例如,192.168.10.x PC 無法 ping 192.168.3.x PC 或 192.168.1.11 的直接撥入客戶端)。
如果使用tracert或pathping,看起來流量確實試圖通過伺服器,但它永遠不會到達那裡。例如:
C:\Users\Administrator>pathping -n 192.168.10.2 Tracing route to 192.168.10.2 over a maximum of 30 hops 0 10.0.0.1 1 10.0.0.5 2 * * *我真的不知道下一步該做什麼。必須有可能讓這個工作……我找到了很多關於這個主題的文章,但似乎沒有任何東西可以解決這個特殊問題。所以我想我的兩個主要問題是:
- 為了讓遠端 LAN PC 能夠相互通信,我缺少什麼?
- 我需要做些什麼才能將通過 VPN 客戶端的路由保留到他們的 LAN?
- 我可以完全避免靜態路由並使用動態路由嗎?我曾嘗試使用 RIP,但 RIP 多播通過 VPN 進入(我已經使用 Wireshark 看到了這一點),我無法在“內部介面”上創建 RIP。
我有一個想法……問題與IPv6有關嗎?當我進行實驗時,我嘗試使用 Microsoft Fixit 50409 禁用它。在我這樣做之後,路由器和直接撥入 W7 客戶端都無法建立 VPN 連接,直到我重新啟用它……我以為所有流量都是 IPv4 但也許我錯了?
非常感謝!
編輯:響應 Stephane 的評論,這裡是網路中各個組件的路由表…
伺服器:
C:\Users\Administrator>route print -4 =========================================================================== Interface List 18...........................RAS (Dial In) Interface 11...00 15 5d 2f 4d 2d ......Microsoft Virtual Machine Bus Network Adapter 1...........................Software Loopback Interface 1 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 109.228.20.1 109.228.20.174 6 10.0.0.1 255.255.255.255 On-link 10.0.0.1 276 10.0.0.2 255.255.255.255 10.0.0.2 10.0.0.1 21 10.0.0.4 255.255.255.255 10.0.0.4 10.0.0.1 21 10.0.0.5 255.255.255.255 10.0.0.5 10.0.0.1 21 109.228.20.0 255.255.252.0 On-link 109.228.20.174 261 109.228.20.174 255.255.255.255 On-link 109.228.20.174 261 109.228.23.255 255.255.255.255 On-link 109.228.20.174 261 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.11 255.255.255.255 10.0.0.2 10.0.0.1 21 192.168.3.0 255.255.255.0 10.0.0.4 10.0.0.1 21 192.168.10.0 255.255.255.0 10.0.0.5 10.0.0.1 21 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 109.228.20.174 261 224.0.0.0 240.0.0.0 On-link 10.0.0.1 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 109.228.20.174 261 255.255.255.255 255.255.255.255 On-link 10.0.0.1 276 =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 0.0.0.0 0.0.0.0 109.228.20.1 1 ===========================================================================*注意:*我遇到的問題之一是每次 VPN 客戶端連接時,我都必須手動添加 192.168.1.11、192.168.3.0/24 和 192.168.10.0/24 的路由。這顯然是一個嚴重的問題,因為我必須能夠堅持這些路線,但也許不可能?
Windows 7 客戶端:
C:\Windows\system32>route print -4 =========================================================================== Interface List 26...........................CodeArt Consulting VPN 17...90 b1 1c 67 94 d4 ......Realtek PCIe GBE Family Controller 13...68 94 23 36 83 ba ......Bluetooth Device (Personal Area Network) 1...........................Software Loopback Interface 1 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.11 10 10.0.0.0 255.0.0.0 10.0.0.1 10.0.0.2 11 10.0.0.2 255.255.255.255 On-link 10.0.0.2 266 109.228.20.174 255.255.255.255 192.168.1.1 192.168.1.11 11 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.0 255.255.255.0 On-link 192.168.1.11 266 192.168.1.11 255.255.255.255 On-link 192.168.1.11 266 192.168.1.255 255.255.255.255 On-link 192.168.1.11 266 192.168.3.0 255.255.255.0 10.0.0.1 10.0.0.2 11 192.168.10.0 255.255.255.0 10.0.0.1 10.0.0.2 11 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.11 266 224.0.0.0 240.0.0.0 On-link 10.0.0.2 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.11 266 255.255.255.255 255.255.255.255 On-link 10.0.0.2 266 =========================================================================== Persistent Routes: None*注意:*我已手動將路由器添加到 192.168.3.0/24 和 192.168.10.0/24。
路由器 10.0.0.5 / 192.168.10.0/24:
Key: C - connected, S - static, R - RIP, * - default, ~ - private * 0.0.0.0/ 0.0.0.0 via 188.30.37.17 WAN2 C 10.0.0.1/ 255.255.255.255 directly connected VPN-1 S 10.0.0.0/ 255.255.255.0 via 10.0.0.1 VPN-1 C~ 192.168.10.0/ 255.255.255.0 directly connected LAN S 192.168.1.0/ 255.255.255.0 via 10.0.0.1 VPN-1 S 192.168.3.0/ 255.255.255.0 via 10.0.0.1 VPN-1 S 188.30.37.17/ 255.255.255.255 via 188.30.37.17 WAN2*注意:*到 192.168.1.0/24 和 192.168.3.0/24 的靜態路由已添加到路由器並按預期保留。
據我所知,所有路線都正確到位,但當然,可能有錯誤或缺少某些東西……
我已經能夠解決這個問題。
問題是我已將路由器配置為使用 NAT 進行 VPN 連接。將其更改為 routed complete 解決了問題,因為所有路由資訊都是正確的。每個輻條上的 LAN 上的設備現在可以相互通信。
乾杯,
本