假设我们有以下配置:
当我在 Windows Server 中设置我的 VPN 角色以将 IP 从 192.168.1.10 到 192.168.1.20 范围分配给 VPN 客户端时,一切正常。
但是,当我想将 VPN 客户端隔离到不同的子网(例如 192.168.2.0/24)时,我不知道该怎么做。与 VPN 服务器的连接工作正常,我的 VPN 客户端获取地址 192.168.2.2(例如),并且能够 ping 192.168.1.2 处的服务器,但看不到 192.168.1.0/24 中的其他计算机,也无法访问 Internet。
我知道我必须在某处添加一些静态路由,但我不知道在哪里。有指示吗?
答案1
您的互联网路由器对 192.168.2.0 网络一无所知,其他主机也一无所知,因为他们的路由器就是互联网路由器。
向互联网路由器添加一条路由,说明 192.168.2.0/24 位于 192.168.1.2。您可能还需要调整路由器上的 NAT,以便它也对此网络进行 NAT。有些路由器会自动执行此操作。
现在,如果 VPN 用户想要与 192.168.1.4 通信,则传出的数据包将转到 Windows 服务器,然后直接转到 192.168.1.4。1.4 没有 192.168.2.x 的路由,因此会将响应发送到其默认网关 - 192.168.1.1。它有一条到 192.168.2.x 的 Windows 机器的路由,因此回复将转到 Windows 服务器,然后转到 VPN 用户。
路由器有可能不会进行“发夹路由”,也就是说,它不会将数据包从其进入的接口路由回去。
如果是这种情况,则需要向 192.168.1.x 中的每个设备添加一条手动路由,说明 192.168.2.x 是通过 Windows 服务器。