我们公司有几个外地办事处,最近我们移除了直接连接到我们网络的 T1 和路由器,为这些办事处设置了常规互联网连接。现在,当用户在办公室时,他们登录 VPN 即可连接到网络。
为了使他们能够从本地多功能设备进行打印和扫描,我们设置了分割隧道 VPN。目前,全国大约有 15-20 名用户使用此设置,没有任何问题。
最近,我们的一位用户在从家里和办公室连接时,开始无法访问内部程序/网站。同一办公室里还有另外三位用户,他们没有遇到这个问题。我以为是电脑出了问题,就用另一台相同型号的电脑替换了它。这台电脑在我们家里的办公室里运行良好;然而,当用户收到电脑时,她在家里和外地办公室都遇到了同样的问题。
我认为这可能是 NIC 驱动程序问题,所以我给她寄了另一台计算机,这次是不同的型号,但出现了同样的问题。
如果我更新主机文件以指向正确的路径,一切就会正常,如果我通过普通 VPN 连接,一切就会正常,但用户无法扫描或打印 - 这是一个问题。 尝试找到在普通 VPN 上创建另一个隧道的方法,并尝试找到在分割隧道 VPN 上强制使用正确隧道的方法。
似乎与 ISP 有关,因为如果我连接到 Comcast 或 Verizon,一切都会顺利,但一旦连接到 Insite,就会出现问题。我无法从 Insite 获得任何支持,因为他们认为问题不在于他们。我们使用 Nortel VPN 客户端。
任何想法或意见都将受到赞赏。
答案1
这肯定取决于您使用的 VPN 客户端。
在我们的站点上,我们使用带有 RRAS 的 2003 服务器进行 VPN 连接,我也遇到了类似的问题,我通过使用微软 CMAK(连接管理器管理工具包)制作自定义 VPN“connectoid”解决了这个问题
我在创建客户端时使用了本指南http://www.isaserver.org/tutorials/work-around-VPN-clients-split-DNS.html 它帮助我连接客户端,使用办公室的 DNS 服务器进行名称解析,同时也允许所有互联网流量正确使用本地网关。
如果您的问题与我的类似,则与两件事有关。
默认情况下,Windows 中 VPN 连接在 DNS 绑定顺序中处于较低位置。这意味着,除非您告诉 Windows 优先使用您的 VPN 连接,否则它将优先使用您的本地 LAN DNS 服务器,而不是 VPN 连接服务器。
由于未为 VPN 连接指定 DNS 后缀,因此 DNS 解析无法正常工作。即使您正在查看正确的 DNS 服务器,如果未为该链接配置搜索后缀,则机器在执行查找时将无法将名称“server”转换为“server.domain.com”。除非您使用 fqdn 引用所有内容(我从未在实践中见过这种情况),否则这也可能是一个问题。
希望 2003 CMAK 套件指南和这些信息能够帮助您在您的环境中使 Nortel 客户端正常工作。
但是,这些网络的另一种选择是使用可以与您的主站点进行 IPsec 的网关,这样用户在您的任何站点时就不需要使用单独的 VPN 连接进行连接。PFsense 是一款出色的基于 BSD 的防火墙/路由器发行版,过去它为我做了出色的工作。我曾在生产中使用 PFsense 通过 IPsec 连接将 150 多个用户与另一端的思科设备进行管道传输,它甚至没有眨眼。
如果您认为我误解了您的问题,请提供更多信息!
答案2
我以前见过这种情况,用户在网络适配器设置中收到虚假的 DNS 信息。我见过在 IP 配置的高级部分中设置的 DNS 或网关的静态 IP 设置。如果您打开网络适配器,然后转到 ipv4 的属性,然后点击高级按钮。那里是否有任何设置看起来不对?我在那里设置了不应该存在的 DNS 服务器,DNS 后缀部分有各种奇怪的条目,因为它们已经连接到 wifi 热点。
只要主机文件除了您输入静态条目外都是干净的,那么问题似乎与 DNS 有关。如果您在主机文件中没有主机条目并尝试 ping 有效的服务器地址,它是否可以正确解析?
有时 DNS 后缀可能会卡住,因此他们可能在家用路由器上配置了一些奇怪的 DNS 后缀,这些后缀会卡在适配器配置中。这意味着如果他们进入办公室,并且 DNS 条目不是完全限定域名 (FQDN),那么他们将使用该后缀。
示例:文件服务器称为 fileserver1,您的域是 primarydomain.com,并且他们的家庭 isp 后缀是 homeisp.com,网络驱动器映射到 \fileserver1\fileshare 如果域后缀接管,计算机将尝试导航到 \fileserver1.homeisp.com\fileshare 这会导致大量未指定 fqdn 的事情发生。