我有一个办公室分支机构,其中配备了 Cisco ASA 5508-X 和 3 个内部网络:
- 192.168.150.0/24(RRAS 服务器为 192.168.150.252/24)
- 192.168.151.0/24
- 192.168.152.0/24
我已经使用 Windows Server 2012 R2 和 RRAS 部署了 VPN L2TP(提供 192.168.150.0/24 地址),以便家庭用户可以访问办公室分支机构资源,到目前为止,它运行正常,用户可以访问共享文件夹、内部 Exchange 电子邮件、打印机但他们只能对 192.168.150.0/24 网络上的计算机进行 PING 和 RDP。
我向 RRAS 添加了 2 个 NIC(1 个用于 192.168.151.0/24 网络,1 个用于 192.168.152.0/24 网络),现在用户可以 PING 那些网络上的资源,但 RDP 到那些网络上的 PC 仍然失败。
我已在所有网络上部署了以下 GPO(图像)无效:
- Windows Defender 防火墙:允许入站文件和打印机共享例外“*”
- Windows Defender 防火墙:允许入站远程桌面例外“*”
- Windows Defender 防火墙:定义入站端口例外“3389:TCP:*:enabled:RDP Description”
所以,现在我不知道该如何跟进
- 我需要将 TCP 3389 端口转发到 VPN 服务器吗?
- 我需要在 Cisco 防火墙配置中添加任何内容吗?
- 我需要在 RRAS 上配置任何内容吗?
答案1
是的,您需要在防火墙中允许端口 3389 的入站策略,防火墙允许所有 vpn 用户通过端口 TCP-3389 访问资源,源为 vpn 池,目的地为想要访问的资源,允许端口 3389
答案2
您可能还需要为客户端连接配置静态路由。他们需要知道在哪里以及如何遍历并到达其他主题。不过,您需要提供更多信息,以便我们中的任何人就此提出建议
答案3
对于任何寻找答案的人来说,这是我的最终配置(一切都在 RRAS/VPN 服务器上完成):
无需在 RRAS/服务器(本地)/IPv4/NAT/属性/服务和端口下启用“远程桌面”,也无需修改任何 GPO。
- 以太网卡连接至内部 LAN。
IP:192.168.150.252/24
网关:192.168.150.247(这个很重要,因为通过这个接口服务器将访问 192.168.151.0/24 和 192.168.152.0/24 网络)。
- 以太网卡连接到互联网源(调制解调器)。
IP:192.168.4.110/24
网关:192.168.4.97
**为了解决这个问题,我使用以下命令在 RRAS/VPN 服务器上添加了静态路由:
route add -p 192.168.151.0 mask 255.255.255.0 192.168.150.247
route add -p 192.168.152.0 mask 255.255.255.0 192.168.150.247
**
完成此操作后,远程用户便可以通过 RDP 连接到 192.168.151.0/24 和 192.168.152.0/24
如果有任何问题,请随时给我发消息。谢谢。