我想问一下我是否在正确的方向上寻找。我们有:
- 1 个 VPN 服务器 (Windows SBS 2003)
- 5 个 VPN 用户(一公网IP
目前,从我们的远程办公室,一次只有一个用户能够连接 VPN,因为当其他人同时尝试连接时,连接会失败。
我不是网络人员,但我认为这是因为 VPN 服务器对于将数据包发送到何处等感到困惑。
我在其他地方看到过普富思..这似乎表明我可以使用它来路由 VPN 连接,而不是 Windows - 而且它将要处理来自同一外部 IP 的多个用户。
这是正确的吗?pfSense 能解决这个问题吗?(即:放弃 Windows VPN 并改用 pfSense)。
答案1
总结:如果您使用 IPsec:尝试禁用“IPsec 直通”,在您的偏僻的办公室。即 VPN 客户端所在的盒子,它拥有单个公共 IP。
我认为这才是你真正的问题。切换到使用完全相同 VPN 协议的 pfSense 不会有帮助。
您应该说明您目前使用的是哪种 VPN 协议(IPsec?)。我假设您正在使用 Windows 内置的所有软件,否则您会提到它……
您将“一个公共 IP”标记为问题是正确的。NAPT(NAT)需要处理正在使用的每个 IP 协议。如果 VPN 协议直接通过 IP 运行,它将受到远程办公室 NAPT 盒的限制。限制包括任何时候最多只能有一个连接 - 我确信我在家用路由器上见过这种情况。
某些 Passthrough 每次只能用于一条 VPN 隧道;其他实现使用 IPsec SPI 等字段通过一个 NAT 设备多路复用多条隧道。VPN Passthrough 不是标准,行为因产品而异。 引用 - 引用并非真正需要付费 - 只需向下滚动即可。
在这种情况下,您需要通过 UDP/IP 而不是直接通过 IP 运行 VPN 协议。这通常被称为 NAT-T,即“NAT 穿越”。(与 VPN 直通不同,它是一种标准)。
要强制使用 NAT-T,请尝试配置 NAPT 盒以阻止 VPN over IP。换句话说,禁用“VPN 直通”功能。然后 VPN 客户端将必须使用 NAT-T。Windows IPsec客户和服务器 2003应该支持开箱即用。根据上面的客户端链接,您可能需要确保 VPN 服务器有自己的公共 IP 地址。(“NAT-T... 默认情况下已禁用,以防 VPN服务器也位于 NAT 设备后面”。
或者更换你的 NAT 盒,使用做支持您的 VPN 协议直通,并满足您需要的任意数量的连接:)。
同样的问题也适用于 PPTP,但更糟糕,因为你不能通过 UDP 运行它。(请不要使用 PPTP,它不安全)。