在工作中(英国大学),我们使用一组运行 WS2008R2 和 RRAS 的 Windows 服务器,这些服务器为我们宿舍的学生提供 VPN 服务。我们这样做是为了将网络连接与个人关联起来。在他们连接到 VPN 之前,他们所能交谈的只是设置 VPN 所需的东西和一个包含有关如何连接的文档的本地网站。中期我们可能会替换它,但这是我们目前正在使用的。2008 服务器上的 VPN 为客户端分配一个私有(10.x)地址。通过校园路由器上的 NAT 访问外部站点(与私有地址上的任何其他直接连接的客户端相同)。非 VPN 连接不会出现此问题。
较旧的服务器运行 WS 2003 和 ISA2004。该设置有效,但在负载下变得不可靠。最大的区别在于我们为客户端分配非 RFC1918 地址(因此不需要 NAT)。我们看到的行为是,一旦连接到 VPN,客户端就可以访问本地网站(即校园网络上的网站),但只能访问一些外部网站。似乎(但这可能是偶然的)我们可以访问的网站是 Google 网站(包括 YouTube)。我们确实很难访问 Microsoft 的 Office 365 服务(这很麻烦,因为我们大多数学生的邮件都在那里)。
一个奇怪的行为是客户端可以获取(在 Windows 7 客户端上使用 wget)http://www.oracle.com/(获得 301 重定向)但在要求获取时挂起http://www.oracle.com/index.html(这是第一个 URL 重定向到的目标)。如果我们将客户端配置为使用本地 Web 代理 (Squid),则 Access 可以可靠地运行。
我的直觉告诉我,这可能是由于 HTTP 检查或回复中的 IP 地址导致的链中某些东西丢失了回复。但是,我不明白为什么我们会在 VPN 客户端上看到这种情况。
明天的计划(当我回到办公室时)是在外部连接上设置一个 Web 服务器,以便我们可以监控对话两端的行为(希望问题在我们的测试服务器上显现出来)。对于我们应该关注的事情,有什么建议吗?
答案1
我们认为,边界防火墙规则中处理 ICMP 的配置几乎肯定存在错误,导致碎片化无法正常工作。鉴于我们正在审查如何提供依赖于这些 VPN 服务器的网络服务,我们决定继续使用 WS2003 并忽略 WS2008 的问题。如果看起来我们不得不继续运行此 VPN 很长时间,我们将再次查看防火墙配置。