我的客户正在使用NETGEAR FVS338用于其两个地点的互联网访问和 s2s 连接,运行完美。
他(和他的几个员工)还使用ShrewSoft VPN 软件客户端在路上时连接到办公室。
旅途中工作人员(以及我家庭办公室的客户)使用 VPN 客户端连接到他的公司网络,并使用 RDP 会话与办公室的终端服务器一起使用我们的应用程序。
今天他报告了以下问题:
- 客户端 A(roadwarrior)与服务器建立 VPN 连接和 RDP 会话。
- 连接稳定且运行正常
- 如果客户端 B(家庭办公室客户)连接到 VPN,则与客户端 A 的 RDP 会话将会断开。
当我查看已连接的 RDP 用户(roadwarrior 已连接)时,我的客户建立了 VPN 连接。我观察到 RDP 会话不会立即断开,但几分钟后,roadwarrior 告诉我们,在我客户的连接建立后,他立即断开了连接。
因此,我相信,实际上并不是 RDP 会话断开了,而是 VPN 断开了并且 RDP 会话超时了。
为了缓解这个问题,我确保两个用户都使用离散的 VPN 策略,从路由器的角度来看,它们具有不同的远程 ID 值(从 VPN 客户端的角度来看,它们具有不同的本地 ID)。
客户端共享以下设置(它们实际上并不共享这些设置,因为正如我之前所说,这些是不同的策略,但配置了相同的设置):
IKE 策略
- 远程端点-都连接到同一个路由器
- 路由器的远程 ID(即路由器的 IP 地址)
- 交换模式(主动)
- 加密和认证算法
- 第一阶段的 DH 组
- SA 终身
VPN 策略
- 远程子网(客户端所见的是他们所连接的公司网络)
- 本地流量选择(在路由器上设置为“任意”,因此应该允许客户端发送的任何内容)
- 策略类型(自动策略生成)
- 加密和完整性算法
- PFS 组
- SA 终身
我能想到的唯一问题是本地流量选择,因此 Netgear 路由器无法区分两个客户端并丢弃其中一个连接(或让其超时)。
这是现实的吗?如果是,是否可以通过在路由器的流量选择中设置两个离散的 IP 地址并相应地配置客户端上的虚拟适配器来缓解这种情况?
您还能给我其他提示来帮助我解决此问题吗?
答案1
另一个连接断开是因为我认为您在两个 VPN 客户端中使用了相同的 IP,因此当两个 VPN 客户端连接时,它们会被分配相同的 IP 地址。这就像在 LAN 中有两台具有相同 IP 地址的 PC。
为了解决此问题,请更改每个客户端的 VPN 客户端中的 IP。
答案2
在 VPN 策略中交换本地和远程子网。如果您在 FVS338 上定义它们。我还会仔细检查模式配置屏幕,以确认有足够的远程 IP 可用。
答案3
Shrew 是 IPSec VPN 客户端,可能受客户端和服务器之间 NAT 的限制。如果两个客户端都经过相同的 NAT,这可能是第一个会话停止工作的充分理由