我正在为托管服务提供商的 Windows Server 2008 机箱设置 VPN。实际上,我已经让它工作了,并且正在使用静态 IP 范围将地址分配给 192.168.42.101-150 范围内的 VPN 客户端。正如我所说,它工作正常,但服务器似乎也从这个范围内提取其 IP 地址...
例如,作为第一个连接的人,我发现服务器在其内部接口上最终以 .101 的 IP 结束,而我客户端上最终以 .102 的 IP 结束....
对于我的具体实现,我需要知道服务器将始终具有相同的 IP,因此我希望为该内部接口分配一个静态地址(例如 192.168.42.2)。关于如何做到这一点,有什么想法吗?
虽然我并不完全反对设置 DHCP 服务器,而不是使用静态范围并尝试为服务器“内部”接口设置保留,但我认为有一种更简单的方法可以将 VPN 服务器端的接口分配给静态 IP...
有什么建议么?
答案1
VPN 连接通过在客户端和服务器之间创建隧道来工作。这些隧道本质上是具有 4 个地址的非常小的子网。在上面给出的地址范围内,您的第一个隧道将使用子网 192.168.42.100/30,地址的使用方式如下:
- 192.168.42.100 是网络地址
- 192.168.42.101 是服务器端点的地址
- 192.168.42.102 是客户端端点的地址
- 192.168.42.103 是子网的广播地址
如果您将第二个客户端连接到 VPN 服务器,则将使用下一个子网 (192.168.42.104/30)。这是必要的,以便 VPN 服务器可以将流量路由到客户端。因此,当您的客户端与 192.168.42.101 通信时,它实际上并没有与服务器通信,而是与其隧道的 VPN 端点通信。这恰好在服务器上,因此事情通常可以正常工作(特别是如果服务器上的服务不限于特定子网或接口上的传入流量)
但是,客户端也可以通过服务器自己的基本 IP 地址(或者,如果配置了 DNS,则通过其主机名)访问服务器。您的帖子没有提到这一点,但从您所写的内容来看,我们可以安全地假设这是 192.168.42.0/24 子网中的另一个地址。无论有多少客户端连接,该地址都不会改变。