所以我最近开始使用 Windows Server,到目前为止运行良好,然后当我尝试设置 VPN 时基本上遇到了障碍。
简单来说,我有 4 个从 ISP 购买的公共 IP 地址,我想将其中一个地址完全分配给 Windows Server 计算机。
我尝试过 DNS 转发、创建代理 ARP 和在防火墙上创建 1:1 NAT 规则,还尝试过直接进行端口转发,但似乎不起作用。不知道我做错了什么。
我的路由器正在运行 pfSense。
任何线索都会有用,谢谢!
答案1
有几种可能性,取决于 ISP 如何设置您的连接。
您将公共地址分配给路由器,将所有相关端口 DNAT(端口转发)到服务器的常规 LAN 地址,并同样将所有传出连接 SNAT。(在 pfSense 中,“1:1 NAT”同时涵盖两者。)无论 ISP 期望什么,这都可以正常工作,但当然您仍然落后于 NAT。不使用代理 ARP,因为没有发生“代理”:路由器已经在此设置中生成合法的 ARP 回复。
您将公共地址直接分配给您的服务器,然后在路由器上添加链接路由(以地址作为目的地,LAN 作为接口,无网关)。不需要 NAT。注意:我担心 pfSense 不支持通过 webUI 添加链接路由,或者至少使其不明显。
如果 ISP期望此地址是“on-link”的,即直接分配给路由器,您还必须在路由器上启用代理 ARP(使 ISP思考它仍然处于链接状态)。
如果 ISP 已通过您的另一个地址路由该地址,则不需要代理 ARP。
如果 WAN 连接是“点对点”(例如 PPPoE),则也不需要代理 ARP,因为是该类型的连接中没有 ARP。
在所有情况下,“DNS 转发”都是完全错误的工具。(在 pfSense 中,“DNS 转发器”基本上是“DNS 解析器”功能的旧版本 - 后者使用 Unbound,前者使用 dnsmasq。)
您如何了解 ISP 的期望(假设 WAN 连接像以太网,而不是点对点)?
首先,路由器需要具有“数据包捕获”(或“数据包嗅探器”)功能,例如
tcpdump。您还需要一种方法来 ping 或以其他方式从外部的系统(各种公共“窥镜”网站应该可以使用)。此外,请确保路由器没有已分配地址,并且没有使代理 ARP 处于活动状态。当外部系统向该地址发送数据包时,请检查路由器看到的内容。如果 ISP 发出针对该地址的 ARP 请求,则该地址应为“在线”(这就是代理 ARP 要求的来源)。如果没有,而真正的数据包只是在报头中带有路由器的 MAC 地址,则 IP 地址将单独路由。
再次强调,这不适用于 PPP / PPPoE:这种类型的连接根本不使用 ARP(因此不需要代理 ARP);数据包无论如何都会通过隧道到达。
答案2
首先,您是否获得了 4 个可用的 IP?
即 4 个 IP,加上一个广播 IP 和一个网络 ID IP。所以总共 6 个?
或者你获得了 4 个 IP,例如 4.3.2.0、4.3.2.1、4.3.2.2、4.3.2.3
在后一种情况下,我猜测是后者:
- 4.3.2.0 是您的网络 ID,实际上不可用。
- 4.3.2.1 通常是您的网关的 IP(例如调制解调器的内部 IP)
- 4.3.2.2 将是您可以免费使用的唯一 IP(将其分配给您的唯一计算机)。
- 4.3.2.3 将是广播地址。
如果我错了,请在您的帖子中提及设置。不要包含文字 IP,请随意写出您获得的 IPS,例如 aaa.bbb.132.32-5/252。
如果您打算同时使用 NAT 和普通 IP 寻址,也请提及这一点。
现在,如果我只能在评论中使用标记,那么这将作为评论发布,而不是猜测设置是什么。