我们有以下配置:
--局域网侧
本地客户 #N
本地服务器 A (DC + RRAS)
本地服务器 B (DC + RRAS)
本地服务器 C...Z
---路由器/防火墙
--公众方面
外国客户1,2..,#N
服务器 A 和 B 均已更新至最新的(2017 年 8 月)Windows Server 2016 Standard。
两台服务器都存在这个问题,因此为了简单起见,我们将以服务器 A 为例。
** RRAS 配置 **:
服务器A只有一个昵称,其配置如下:
1物理网卡
以太网接口:192.168.12.41/255.255.255.0
别名 IF:192.168.12.38/255.255.255.255(已由 RRAS 服务器创建)
RRAS 服务器(PPTP 和 SSTP)的端口由路由器从其公网 IP 转发到以太网 IF 的 IP
国外客户端的配置:
本地和国外客户端都是Windows 7到Windows 10专业版,没有进一步的相关信息,但提供了ipconfig / nmap的输出:
问题表达
外部客户端可以通过服务器 A 的 RRAS 成功连接到 LAN。但是,当它们这样做时,在网络级别,它们可以连接到除服务器 A 之外的任何设备。当连接到服务器 A 的用户无法通过 RDP 连接到服务器 A 时,我们首先注意到了这个问题。然后,我们发现服务器 A 上没有任何服务可访问,但您可以连接到任何客户端和服务器 B 到 Z。
如果以相反的方式建立连接(外部客户端连接到服务器 B 的 RRAS),它将连接到 LAN 中的任何东西,但服务器 B 除外。
UDP 和 TCP 端口都无法通过连接的 RRAS 访问:
这是从外部客户端到服务器 A 和 B 的 nslookup(当连接到服务器 A 时):
c:\Users\user>nslookup site.customer.com 192.168.12.41
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.12.41
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Tempo scaduto per la richiesta a UnKnown
c:\Users\user>nslookup site.customer.com 192.168.12.42
Server: moon.site.customer.com
Address: 192.168.12.42
Nome: site.customer.com
Addresses: 192.168.12.41
192.168.12.42
这是成功连接到服务器 A 后的外部客户端的 ipconfig /all:
c:\Users\user>ipconfig /all
...
Scheda PPP CUSTOMER:
Suffisso DNS specifico per connessione: site.customer.com
Descrizione . . . . . . . . . . . . . : CUSTOMER
Indirizzo fisico. . . . . . . . . . . :
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì
Indirizzo IPv4. . . . . . . . . . . . : 192.168.12.143(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . :
Server DNS . . . . . . . . . . . . . : 192.168.12.42
192.168.12.41
NetBIOS su TCP/IP . . . . . . . . . . : Disattivato
...
这是对 ServerA 的 tracert。
c:\Users\user>tracert -w 100 sun.site.customer.com
Traccia instradamento verso sun.site.customer.com [192.168.12.41]
su un massimo di 30 punti di passaggio:
1 16 ms * 14 ms 192.168.12.38
2 15 ms 15 ms 14 ms 192.168.12.41
Traccia completata.
这是对 ServerB 的 tracert。
c:\Users\user>tracert -w 100 moon.site.customer.com
Traccia instradamento verso moon.site.customer.com [192.168.12.42]
su un massimo di 30 punti di passaggio:
1 * 29 ms 26 ms 192.168.12.38
2 23 ms 29 ms 31 ms 192.168.12.42
Traccia completata.
Nmap 服务器 B:
c:\Users\user>nmap --unprivileged -P0 -F 192.168.12.42
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 17:54 ora legale Europa occidentale
Nmap scan report for moon.site.customer.com (192.168.12.42)
Host is up (1.1s latency).
Not shown: 89 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
1433/tcp open ms-sql-s
1723/tcp open pptp
3389/tcp open ms-wbt-server
Nmap done: 1 IP address (1 host up) scanned in 32.27 seconds
Nmap 服务器 A:
c:\Users\user>nmap --unprivileged -e ppp0 -P0 -F 192.168.12.41
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 17:56 ora legale Europa occidentale
Nmap scan report for sun.site.customer.com (192.168.12.41)
Host is up.
All 100 scanned ports on sun.site.customer.com (192.168.12.41) are filtered
Nmap done: 1 IP address (1 host up) scanned in 46.63 seconds
如您所见,名称解析工作正常,但如果连接到服务器 A 的 RRAS,则与服务器 A 的 tcp/udp 连接将会失败;如果连接到服务器 B 的 RRAS,则与服务器 B 的 tcp/udp 连接将会失败。
服务器或外部客户端上的 RRAS 或任何其他服务均未显示任何相关内容,我认为这是正常的,因为我们这里的网络层面存在问题。
我们实际上发现,对于外部客户端,RRAS 的第二个自动创建的内部 IP 已发布并可访问服务器 A 服务:
c:\Users\user>nmap --unprivileged -P0 -F 192.168.12.38
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 18:26 ora legale Europa occidentale
Nmap scan report for 192.168.12.38
Host is up (0.19s latency).
Not shown: 90 filtered ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
1723/tcp open pptp
3389/tcp open ms-wbt-server
Nmap done: 1 IP address (1 host up) scanned in 38.33 seconds
问题:如何诊断和预防这种症状?
编辑 1 回复 @Mr.Raspberry 请求
在 ServerA 上执行的路由打印
192.168.12.128 和 192.168.12.79 当前是连接的 RRAS 客户端
C:\Users\Vincenzo>route print
===========================================================================
Elenco interfacce
14...00 50 56 ac 63 1a ......vmxnet3 Ethernet Adapter
30...........................RAS (Dial In) Interface
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Tabella route
===========================================================================
Route attive:
Indirizzo rete Mask Gateway Interfaccia Metrica
0.0.0.0 0.0.0.0 192.168.12.39 192.168.12.41 271
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.12.0 255.255.255.0 On-link 192.168.12.41 271
192.168.12.79 255.255.255.255 192.168.12.79 192.168.12.38 42
192.168.12.128 255.255.255.255 192.168.12.128 192.168.12.38 42
192.168.12.38 255.255.255.255 On-link 192.168.12.38 297
192.168.12.41 255.255.255.255 On-link 192.168.12.41 271
192.168.12.255 255.255.255.255 On-link 192.168.12.41 271
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.12.41 271
224.0.0.0 240.0.0.0 On-link 192.168.12.38 297
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.12.41 271
255.255.255.255 255.255.255.255 On-link 192.168.12.38 297
===========================================================================
Route permanenti:
Indirizzo rete Mask Indir. gateway Metrica
0.0.0.0 0.0.0.0 192.168.12.39 Predefinito
===========================================================================