当两个人(使用他们的笔记本电脑)尝试通过 VPN 连接到我们的办公室时,只有第一个用户可以获得连接。第二个用户总是超时。
VPN 是否可以允许两个或两个以上的人使用/共享相同的外部公共 IP 进行连接/验证?
现在来谈谈一些具体情况(因为这两个说法非常广泛)。
- 我不是 IT 部门的。我是一名开发人员。我们的 IT 部门并不关心(叹气),所以修复这个问题的责任在我身上。
- 我们的办公室全是微软商店的东西 -> 服务器和客户端。我们还有一个防火墙(watchguard 品牌?)和一些其他疯狂的设置(是的,我知道,这很模糊 :( )。
所以我想知道 -> 多个用户是否可以通过 VPN 从同一个公共 IP 连接到 Windows 服务器?我的印象是 -> 是的。
但这可能仅当客户端(都在单一公共 IP 后面,否则他们将拥有自己的 IP)需要运行 UPnP 或其他功能时才会发生?
这让我很难受,我需要开始问正确的问题,因为这些家伙不知道他们在做什么,如果没有这种情况发生,我就无法工作。
我知道这是一个模糊的问题,包含很多“如果、什么等等”,但也许你们的一些问题/建议可能会开始解决这个问题。
编辑:
- 网络连接:WAN 微型端口 (PPTP)
答案1
UPnP?不可以。
这很可能是 GRE 数据包的问题。我见过网络上发送 GRE 数据包时出现很多问题,而基本路由器根本无法处理它。
有问题的用户是否位于企业级防火墙或类似家庭防火墙的后面?如果是家庭防火墙,您可能需要检查其 PPTP 直通功能是否已启用(如果有此功能)。
如果它是企业防火墙,那么它可能是 GRE 规则(假设它是 PPTP VPN),或者我担心还有其他一千种东西!
答案2
服务器上配置了多少个 PPTP 端口?两个来自不同位置(不同公共 IP 地址)的用户可以同时连接吗?服务器上配置了哪些远程访问策略?防火墙规则是如何配置的?服务器是否配置为使用 DHCP 为 VPN 客户端分配 IP 地址,还是配置了静态 IP 地址池?有多少个 IP 地址可供 VPN 客户端使用?
我原以为这是客户端的 NAT 问题,但我不认为是这样,因为我能够同时从家里的两台不同的计算机建立到工作场所的 VPN 服务器(W2K3 PPTP)的 VPN 连接。
答案3
我认为,如果没有防火墙的特殊支持,多个 PPTP 连接显然不可能来自同一个互联网 IP。
在 Juniper Netscreens 中,要查找的词汇是“拨号 IP 池”或“DIP 池”。这些是预先分配的外部 IP 地址,在内部 PPTP 客户端处于活动状态时分配给它们 - 例如,您不预先将 IP 映射到客户端,而是分配一个(例如)三个 IP 的池 - 这些 IP 与防火墙的外部 IP 不同 - 这些 IP 分配给前三个 PPTP 连接,在 PPTP 连接结束时释放。池的大小是通过防火墙的并发 PPTP 连接的限制。
(抱歉,这看起来比平时更不连贯,但它可能会给你提供一些可以搜索的术语。)
答案4
我不是 GRE 内部工作原理方面的专家,但我认为 GRE 不支持会话标识符。我相信该协议只是识别端点,在这种情况下,端点在两端是相同的。因此,服务器会认为最初的笔记本电脑正在发送重复的(尽管加密密钥是错误的)数据包。