Windows 2008 上的 SSTP 无法 ping 通任一方向

Windows 2008 上的 SSTP 无法 ping 通任一方向

我正在进行以下设置。

服务器:将 Windows 2008 服务器配置为 AD、DHCP、DNS、CA 和 RRAS。长话短说,RRAS 可以接受 SSTP 连接,客户端可以正常连接。客户端获取 IP 地址。

客户端:Windows 7 操作系统

配置:

我在外围有一个 Linux 防火墙。端口已打开,以将 443 转发到 RRAS 服务器上的内部 IP 地址和端口。

私有网络位于 10.100.0.0/16 子网。

RRAS 服务器有 2 个 NIC。NIC1=10.100.85.15 和 NIC2=10.100.85.16。NIC2 正在接受来自公共互联网的 SSTP 连接。NIC2 上的适配器设置只有静态 IP 和子网。NIC2 上没有配置网关和 DNS 服务器(这是我根据在某处读到的关于在 Windows 2003 上设置 PPTP 的内容配置的)。在 2 个 NIC 中,NIC1 具有最高优先级。

RRAS 已设置为仅用于 VPN(无 NAT)。IP 地址分配是静态的,从 10.100.77.250 到 10.100.77.254 的地址池(与专用网络相同的子网)。

我已允许入站和出站过滤器中任一方向的 ICMP。

Windows 防火墙已配置为允许几乎所有内容 - 然后在此配置中我关闭了 Windows 防火墙服务。

我没有向 RRAS 添加任何静态路由。

如前所述,VPN 客户端能够通过 SSTP 连接到 RRAS 并获取 IP 地址。客户端能够 ping RRAS 网关 (10.100.77.250)、NIC1 和 NIC2。

问题:

客户端无法 ping 除 RRAS 服务器之外的任何计算机

更多调试信息:

我在 RRAS 服务器上安装了 Microsoft 网络监视器来监视 ICMP 数据包。我确实看到 ICMP 请求从客户端(例如 10.100.77.251)发送到 RRAS,再发送到目标服务器(例如 10.100.20.10),并且 10.100.20.10 使用 NIC1 的以太网地址向 10.100.77.251 回复 ICMP。此时,这是来自 RRAS 服务器的路由表。

===========================================================================
Interface List
 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
 13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1
 26 ........................... RAS (Dial In) Interface
  1 ........................... Software Loopback Interface 1
 14 ...00 00 00 00 00 00 00 e0  isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A}
 27 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
 15 ...00 00 00 00 00 00 00 e0  isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.100.0.1     10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.16    358
    10.100.77.253  255.255.255.255    10.100.77.253    10.100.77.254     31
    10.100.77.254  255.255.255.255         On-link     10.100.77.254    286
     10.100.85.15  255.255.255.255         On-link      10.100.85.15    356
     10.100.85.16  255.255.255.255         On-link      10.100.85.16    358
   10.100.255.255  255.255.255.255         On-link      10.100.85.15    356
   10.100.255.255  255.255.255.255         On-link      10.100.85.16    358
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.100.85.16    358
        224.0.0.0        240.0.0.0         On-link      10.100.85.15    356
        224.0.0.0        240.0.0.0         On-link     10.100.77.254    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      10.100.85.16    358
  255.255.255.255  255.255.255.255         On-link      10.100.85.15    356
  255.255.255.255  255.255.255.255         On-link     10.100.77.254    286
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 13    266 fe80::/64                On-link
 12    266 fe80::/64                On-link
 12    266 fe80::a8b1:77f:5eb0:d5a8/128
                                    On-link
 13    266 fe80::f8a0:2a9d:bee9:e688/128
                                    On-link
  1    306 ff00::/8                 On-link
 13    266 ff00::/8                 On-link
 12    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

我知道存在一些路由问题...我尝试了所有组合在 RRAS 中插入路由添加,但没有任何效果。任何帮助都非常感谢。

更新:将 AD 机器转换为单 NIC 配置。这是客户端连接时客户端和 RRAS 上的路由表。

===========================================================================
Interface List
 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
 22 ........................... RAS (Dial In) Interface
  1 ........................... Software Loopback Interface 1
 23 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
 14 ...00 00 00 00 00 00 00 e0  isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.100.0.1     10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.15    356
    10.100.77.252  255.255.255.255    10.100.77.252    10.100.77.254     31
    10.100.77.254  255.255.255.255         On-link     10.100.77.254    286
     10.100.85.15  255.255.255.255         On-link      10.100.85.15    356
   10.100.255.255  255.255.255.255         On-link      10.100.85.15    356
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.100.85.15    356
        224.0.0.0        240.0.0.0         On-link     10.100.77.254    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      10.100.85.15    356
  255.255.255.255  255.255.255.255         On-link     10.100.77.254    286
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 12    266 fe80::/64                On-link
 12    266 fe80::a8b1:77f:5eb0:d5a8/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

客户

===========================================================================
Interface List
 23...........................VPN
 10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.123.2   192.168.123.15     10
         10.0.0.0        255.0.0.0    10.100.77.254    10.100.77.252     11
    10.100.77.252  255.255.255.255         On-link     10.100.77.252    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.123.0    255.255.255.0         On-link    192.168.123.15    266
   192.168.123.15  255.255.255.255         On-link    192.168.123.15    266
  192.168.123.255  255.255.255.255         On-link    192.168.123.15    266
  216.218.195.214  255.255.255.255    192.168.123.2   192.168.123.15     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.123.15    266
        224.0.0.0        240.0.0.0         On-link     10.100.77.252    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.123.15    266
  255.255.255.255  255.255.255.255         On-link     10.100.77.252    266
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

答案1

我注意到两件事。1) AD 永远不应该有多个 NIC。MS 不支持多宿主 DC。但我不认为这是导致您出现问题的原因。2) 您关闭了 Windows 防火墙服务。这可能不是一个好主意。尝试重新打开该服务并运行以下命令来禁用配置文件。

Netsh advfirewall set allprofiles state off

我仍然不确定这是否能解决你的问题,但这两件事引起了我的注意。

答案2

这里发生了很多事。

首先,当 Windows 的 RRAS 配置为使用静态地址池为 VPN 客户端分配 IP 地址时,它将默认为 /24 子网掩码,即 255.255.255.0;此外,它将不是为 VPN 客户端提供额外的路由。

通过此设置,您的 Windows 7 客户端将获得一个 10.100.77.X/24 地址,该地址根本没有告诉它如何到达更大的 10.100.0.0/16 网络,即第三个字节不是 77 的任何地址。如果您没有使用 VPN 连接作为默认网关(如果您不想通过 VPN 路由所有流量,通常会出现这种情况),那么您的客户端将根本不知道如何到达 10.100.77.0/24 子网之外的任何东西。

请在建立 VPN 连接后提供 Windows 7 PC 上的命令输出route print,以便我们检查是否是这种情况。当然,如果您使用 VPN 作为默认网关(这是 Windows VPN 连接的默认网关),这将不是问题;但您的网络配置仍然会损坏。


另外,在另一边也存在类似的问题:如果 RRAS 服务器不是远程网络上计算机的默认网关(我不认为它是,因为它只有内部接口),它们将不知道需要将发往 10.100.77.0/24 网络的数据包转发到 RRAS 服务器;由于 RRAS 支持 ARP 代理,因此它会自动回复“我知道这个地址在哪里,把你的数据包给我!”,从而缓解了这一问题;但这部分配置也会被破坏。


顺便提一下,正如其他人所说,两个 NIC 只会让事情变得更糟;如果你真的需要你的服务器有两个 IP 地址,你可以将它们配置在同一个 NIC 上,这样就可以消除一个大问题;但你不需要它们根本RRAS 可以作为 VPN 服务器使用。摆脱第二个 NIC 和 IP 地址是你能做的最好的事情……这是更加真实因为该服务器是域控制器。


最后但并非最不重要的一点是:您说您“关闭了 Windows 防火墙服务”。您是否禁用了防火墙,或者你真的停止了 Windows 防火墙服务吗? 如果是,请立即重新启动它。这是在 Windows XP 和 2003 上禁用 Windows 防火墙的好方法,但从 Vista 开始,如果您停止该服务,整个 Windows 网络堆栈将崩溃。您应该重新启动该服务,然后使用其配置工具正确禁用 Windows 防火墙。


附录:您说“我已在入站和出站过滤器中允许 ICMP 任意方向”。哪些过滤器?RRAS 中的过滤器,在网络接口的属性中?禁用它们。默认情况下,它们是禁用的,并允许所有内容通过,但如果您向它们添加任何规则,它们将阻止除您明确允许的内容之外的所有内容(或相反,具体取决于您的配置方式)。它们很少需要,并且配置起来可能很麻烦。首先让一切正常工作,然后(如果您真的想要)您可以开始摆弄它们。

相关内容