请参阅底部的修订部分,因为原始问题似乎有点复杂
我从客户的托管公司获得了一台基于云的虚拟机。VM 实例的唯一用途是为客户面向公众的 ASP.net 网站提供服务。
VM 实例上只安装了 Windows Server 2008 R2,我安装了以下内容:
- 互联网信息服务
- 网络策略和访问服务器
- MSSQL 2012
由于我已经通过托管公司控制面板防火墙打开了相应的防火墙端口,因此我能够远程桌面并远程连接到 MSSQL。
最近,我注意到有一组 IP 地址遍布全球的计算机试图暴力破解Administrator和sa帐户。随后,我以防万一禁用了这两个帐户,并且不打算重新启用它们。然而,这些帐户仍不断遭到反复暴力破解。
我尝试在 Windows Server 上设置 VPN 访问,但无法使其正常工作。我遵循了以下教程:这里和这里和这里..
当我尝试通过 VPN 连接时,我注意到事件查看器中出现以下消息:
无法联系 DHCP 服务器。自动专用 IP 地址 169.254.xxx.xx 将分配给拨入客户端。客户端可能无法访问网络上的资源。
这表明未安装 DHCP。当我去安装 DHCP 时,我看到了太多选项,我都不知道该怎么做。
我的问题是:由于我有一个在 VM 实例上运行的实时客户端 ASP.net 应用程序,该应用程序具有固定 IP(4x.2x.13x.xx)/ www.clientssite.com。安装 DHCP 角色是否可能会弄乱/关闭实时站点?DHCP 是否会使我的站点在 IIS 下保持运行,我只需创建 DHCP 范围(例如 10.9.8.10 到 10.9.8.50)即可?这是否有可能解决我的 VPN 连接问题,这是最终目标。
修改后的问题
我有一台运行 Windows Server 2008R2 的基于云的虚拟机。
- 专用 IP 地址(来自我的托管公司)46.130.22.99
- 网关IP:46.130.22.1
- DNS:81.17.240.194
- 已安装角色:应用服务器、Web 服务器、网络策略和访问服务(仅包含路由和远程服务、远程访问服务和路由)
在Routing and Remote Services我已经添加了一个静态地址池从46.130.22.5到46.130.22.9
当我尝试与服务器建立 VPN 连接时,它只是停滞,然后显示一条消息说
错误 800:未建立远程连接,因为尝试的 VPN 隧道失败。
我还需要做其他什么事情来进行设置吗?
屏幕截图
IP配置输出
Windows IP Configuration
Host Name . . . . . . . . . . . . : removed
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Xen Net Device Driver
Physical Address. . . . . . . . . : 00-16-3E-08-9B-64
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::193b:c0b:7cc0:daeb%14(Preferred)
IPv4 Address. . . . . . . . . . . : 46.22.130.99(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 46.22.130.1
DHCPv6 IAID . . . . . . . . . . . : 285218366
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-18-AF-1C-90-00-16-3E-08-9B-64
DNS Servers . . . . . . . . . . . : 81.17.240.194
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter isatap.{184042A4-4F78-48AE-8BC9-A37E53E8D556}:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Tunnel adapter Local Area Connection* 9:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2001:0:9d38:953c:248b:25e4:d1e9:7d9c(Pref
erred)
Link-local IPv6 Address . . . . . : fe80::248b:25e4:d1e9:7d9c%10(Preferred)
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Disabled
Tunnel adapter 6TO4 Adapter:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft 6to4 Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2002:2e16:8263::2e16:8263(Preferred)
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 81.17.240.194
NetBIOS over Tcpip. . . . . . . . : Disabled
答案1
如果将 RRAS 服务器连接设置为带 NAT 的 VPN,则最容易。我不确定您对云环境有多少控制权,但您应该将所有私有服务器(SQL 服务器等)放在具有 192.168.xx、10.xxx 或 172.[16-32].xx 私有 IP 范围的私有网络中。
向 VPN 服务器添加第二个 NIC,将其放置在私有子网中。
在 RRAS MMC 中,您必须重新配置您的连接。右键单击服务器,单击配置。选择带 NAT 的 VPN。选择具有公共访问权限的 NIC。单击下一步,从指定的地址范围中进行选择,接下来使用私有网络子网设置新范围,接下来选择您想要设置身份验证的方式(RADIUS 或 RRAS,取决于您的配置)然后您就完成了。
或者,您可以进行设置,以便客户端使用 DHCP 服务器。不要选择“从地址范围”,而是选择 DHCP 服务器。完成服务器配置后,展开服务器->ipv4,然后单击 DCHP 中继代理上的属性。添加环境中所有 DHCP 服务器的地址。
您可以通过右键单击 RRAS MMC 中的服务器,单击属性,然后查看显示 IP 地址分配的 IPv4 选项卡来检查是否可以配置静态地址池。
如果这不能解决问题,请验证端口是否从外部向服务器开放(1723 和 IP 协议 47)。检查服务器上的事件日志(应用程序和安全性最有帮助),启动事件日志以记录所有事件,并检查服务器属性上的日志附加 RRAS 信息按钮(您可以在 %windir%\tracing 目录中找到这些日志)。
如果您在内部网络上进行配置,并让位于同一子网的服务器尝试 VPN 进行测试,以确保它可以在没有互联网干扰的情况下正常工作,这也可能会有所帮助。如果您可以内部连接但不能外部连接,则可能是防火墙的问题,或者您可能尝试连接到错误的服务器,如果您可以在公共端口(如端口 80 上的 IIS)上配置某些内容,看看是否可以从外部访问服务器。
如果您在日志中发现更多内容或这有帮助,请告诉我。