我正在部署一个使用 IKEv2+ipsec 和证书的解决方案,以便将移动办公人员连接到公司网络。Mikrotik CHR 用作入口点。
一切都进展顺利,直到我开始在戴尔笔记本电脑上部署解决方案。一旦与路由器建立连接,笔记本电脑就不会被拆分,只有 VPN 子网可用。相反,我的管理 PC(固定工作站)没有这样的问题。
Windows 10 接收拆分包括使用 DHCP。经过一番研究,我发现出于某种原因,戴尔提供的 Windows 10 Pro 1909 无法向路由器发送 DHCP 请求。笔记本电脑获取了其地址、DNS,只有拆分包括路由丢失。此外,DHCP 在 Wi-Fi 适配器上运行良好。
做了什么:
- 检查了笔记本电脑和管理电脑的路由器日志。笔记本电脑连接时未发现 DHCP 请求。
- 在 Microtik CHR 处嗅探了流量:来自管理机器的 DHCP 请求并非来自笔记本电脑。
- 在笔记本电脑上嗅探了流量,没有检测到 DHCP 请求。
重新启动、重置ip和winsock使用netsh、恢复到较旧的 Wi-Fi 驱动程序、删除并重新创建 WAN 微型端口、强制使用 DHCP 进行连接、在笔记本电脑周围跳舞 - 所有这些都没有帮助。
目前唯一可行的解决方案是安装干净的 MSDN 版本的 Windows 10 1909。有了这个,笔记本电脑可以很好地获得拆分功能。然而,在我看来,这似乎不是一个好的解决办法。
我的问题是:
- 造成该问题的可能原因是什么?
- 怎样才能修复它?
答案1
问题解决了。原因是边界路由器配置错误。
然而,对于那些陷入同样问题的人来说,几乎没有什么建议。
- 首先尝试连接到另一个互联网源(我的错误是连接到手机,而手机又连接到本地 WiFi,因此路由到同一个路由器)并验证。
- 如果问题仍然存在,您可以使用
Add-VpnConnectionRoutePowerShell 命令手动将路由添加到您的 VPN 连接。这方法将添加route add不依赖于 VPN 连接的路由。 - 路线添加到相关连接部分rasphone.pbk。
- 一般来说,PowerShell 命令行
Add-VpnConnection是Add-VpnConnectionRoute创建连接的绝佳工具,因为它们允许实现几乎任何部署场景。 - 如果尽管添加了路由,但仍没有流量进入隧道,请安装流量捕获软件,例如Wireshark并监控 ipsec 流量。由于数据包很可能是加密的,因此您只能看到是否有 ipsec 数据包进出,从而缩小调试任务的范围。