我正在进行以下设置。
服务器:将 Windows 2008 服务器配置为 AD、DHCP、DNS、CA 和 RRAS。长话短说,RRAS 可以接受 SSTP 连接,客户端可以正常连接。客户端获取 IP 地址。
客户端:Windows 7 操作系统
配置:
我在外围有一个 Linux 防火墙。端口已打开,以将 443 转发到 RRAS 服务器上的内部 IP 地址和端口。
私有网络位于 10.100.0.0/16 子网。
RRAS 服务器有 2 个 NIC。NIC1=10.100.85.15 和 NIC2=10.100.85.16。NIC2 正在接受来自公共互联网的 SSTP 连接。NIC2 上的适配器设置只有静态 IP 和子网。NIC2 上没有配置网关和 DNS 服务器(这是我根据在某处读到的关于在 Windows 2003 上设置 PPTP 的内容配置的)。在 2 个 NIC 中,NIC1 具有最高优先级。
RRAS 已设置为仅用于 VPN(无 NAT)。IP 地址分配是静态的,从 10.100.77.250 到 10.100.77.254 的地址池(与专用网络相同的子网)。
我已允许入站和出站过滤器中任一方向的 ICMP。
Windows 防火墙已配置为允许几乎所有内容 - 然后在此配置中我关闭了 Windows 防火墙服务。
我没有向 RRAS 添加任何静态路由。
如前所述,VPN 客户端能够通过 SSTP 连接到 RRAS 并获取 IP 地址。客户端能够 ping RRAS 网关 (10.100.77.250)、NIC1 和 NIC2。
问题:
客户端无法 ping 除 RRAS 服务器之外的任何计算机
更多调试信息:
我在 RRAS 服务器上安装了 Microsoft 网络监视器来监视 ICMP 数据包。我确实看到 ICMP 请求从客户端(例如 10.100.77.251)发送到 RRAS,再发送到目标服务器(例如 10.100.20.10),并且 10.100.20.10 使用 NIC1 的以太网地址向 10.100.77.251 回复 ICMP。此时,这是来自 RRAS 服务器的路由表。
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1
26 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
14 ...00 00 00 00 00 00 00 e0 isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A}
27 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
15 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.16 358
10.100.77.253 255.255.255.255 10.100.77.253 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.85.16 255.255.255.255 On-link 10.100.85.16 358
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.16 358
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.16 358
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.16 358
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
13 266 fe80::/64 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
13 266 fe80::f8a0:2a9d:bee9:e688/128
On-link
1 306 ff00::/8 On-link
13 266 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
我知道存在一些路由问题...我尝试了所有组合在 RRAS 中插入路由添加,但没有任何效果。任何帮助都非常感谢。
更新:将 AD 机器转换为单 NIC 配置。这是客户端连接时客户端和 RRAS 上的路由表。
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
22 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
23 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
14 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.77.252 255.255.255.255 10.100.77.252 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
1 306 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
客户
===========================================================================
Interface List
23...........................VPN
10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.2 192.168.123.15 10
10.0.0.0 255.0.0.0 10.100.77.254 10.100.77.252 11
10.100.77.252 255.255.255.255 On-link 10.100.77.252 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.123.0 255.255.255.0 On-link 192.168.123.15 266
192.168.123.15 255.255.255.255 On-link 192.168.123.15 266
192.168.123.255 255.255.255.255 On-link 192.168.123.15 266
216.218.195.214 255.255.255.255 192.168.123.2 192.168.123.15 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.123.15 266
224.0.0.0 240.0.0.0 On-link 10.100.77.252 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.123.15 266
255.255.255.255 255.255.255.255 On-link 10.100.77.252 266
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
答案1
我注意到两件事。1) AD 永远不应该有多个 NIC。MS 不支持多宿主 DC。但我不认为这是导致您出现问题的原因。2) 您关闭了 Windows 防火墙服务。这可能不是一个好主意。尝试重新打开该服务并运行以下命令来禁用配置文件。
Netsh advfirewall set allprofiles state off
我仍然不确定这是否能解决你的问题,但这两件事引起了我的注意。
答案2
这里发生了很多事。
首先,当 Windows 的 RRAS 配置为使用静态地址池为 VPN 客户端分配 IP 地址时,它将默认为 /24 子网掩码,即 255.255.255.0;此外,它将不是为 VPN 客户端提供额外的路由。
通过此设置,您的 Windows 7 客户端将获得一个 10.100.77.X/24 地址,该地址根本没有告诉它如何到达更大的 10.100.0.0/16 网络,即第三个字节不是 77 的任何地址。如果您没有使用 VPN 连接作为默认网关(如果您不想通过 VPN 路由所有流量,通常会出现这种情况),那么您的客户端将根本不知道如何到达 10.100.77.0/24 子网之外的任何东西。
请在建立 VPN 连接后提供 Windows 7 PC 上的命令输出route print,以便我们检查是否是这种情况。当然,如果您使用 VPN 作为默认网关(这是 Windows VPN 连接的默认网关),这将不是问题;但您的网络配置仍然会损坏。
另外,在另一边也存在类似的问题:如果 RRAS 服务器不是远程网络上计算机的默认网关(我不认为它是,因为它只有内部接口),它们将不知道需要将发往 10.100.77.0/24 网络的数据包转发到 RRAS 服务器;由于 RRAS 支持 ARP 代理,因此它会自动回复“我知道这个地址在哪里,把你的数据包给我!”,从而缓解了这一问题;但这部分配置也会被破坏。
顺便提一下,正如其他人所说,两个 NIC 只会让事情变得更糟;如果你真的需要你的服务器有两个 IP 地址,你可以将它们配置在同一个 NIC 上,这样就可以消除一个大问题;但你不需要它们根本RRAS 可以作为 VPN 服务器使用。摆脱第二个 NIC 和 IP 地址是你能做的最好的事情……这是更加真实因为该服务器是域控制器。
最后但并非最不重要的一点是:您说您“关闭了 Windows 防火墙服务”。您是否禁用了防火墙,或者你真的停止了 Windows 防火墙服务吗? 如果是,请立即重新启动它。这是在 Windows XP 和 2003 上禁用 Windows 防火墙的好方法,但从 Vista 开始,如果您停止该服务,整个 Windows 网络堆栈将崩溃。您应该重新启动该服务,然后使用其配置工具正确禁用 Windows 防火墙。
附录:您说“我已在入站和出站过滤器中允许 ICMP 任意方向”。哪些过滤器?RRAS 中的过滤器,在网络接口的属性中?禁用它们。默认情况下,它们是禁用的,并允许所有内容通过,但如果您向它们添加任何规则,它们将阻止除您明确允许的内容之外的所有内容(或相反,具体取决于您的配置方式)。它们很少需要,并且配置起来可能很麻烦。首先让一切正常工作,然后(如果您真的想要)您可以开始摆弄它们。