设置:
L2TP VPN 服务器位于 Windows Server 2008 计算机上,该计算机位于路由器后面,而路由器又位于调制解调器/路由器后面。
调制解调器/路由器(IP:192.168.2.1,子网:255.255.255.0,DHCP 为路由器提供 192.168.2.2)
----|_ 路由器(IP:192.168.2.2,子网:255.255.255.0,子 LAN IP:192.168.0.1,子 LAN 子网:255.255.255.128,DHCP 为计算机提供 192.168.0.*)
------------|_ Windows Server 2008(IP:192.168.0.3,子网:255.255.255.128,从池中提供 VPN IP 地址...192.168.0.130 - 192.168.0.140)
路由器将 WS2008 设置为主 DNS,WS2008 会在发生故障时将查询转发回路由器。请参阅这个帖子为了澄清。
我可以正常连接到 VPN,这是 ipconfig 的结果:
PPP adapter Work VPN:
Connection-specific DNS Suffix . : ss
Description . . . . . . . . . . . : Work VPN
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.0.130(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.0.3
192.168.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled
奇怪的是,当我查看 vpn 连接的网关时,会发生什么。它设置为 192.168.0.129。我对路由还不熟悉,所以我不知道查看结果时什么是好/坏。route print我把它放在了XXX.XXX.XXX.XXX我的公共 IP 的位置。
===========================================================================
Interface List
24...........................Work VPN
16...00 02 76 09 4b b7 ......Bluetooth Device (Personal Area Network)
14...f4 6d 04 d2 59 74 ......Realtek PCIe GBE Family Controller
1...........................Software Loopback Interface 1
10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
11...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
XXX.XXX.XXX.XXX 255.255.255.255 192.168.1.1 192.168.1.2 11
192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130 11
192.168.0.130 255.255.255.255 On-link 192.168.0.130 266
192.168.1.0 255.255.255.0 On-link 192.168.1.2 266
192.168.1.2 255.255.255.255 On-link 192.168.1.2 266
192.168.1.255 255.255.255.255 On-link 192.168.1.2 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.2 266
224.0.0.0 240.0.0.0 On-link 192.168.0.130 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.2 266
255.255.255.255 255.255.255.255 On-link 192.168.0.130 266
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
11 58 ::/0 On-link
1 306 ::1/128 On-link
11 58 2001::/32 On-link
11 306 2001:0:9d38:6ab8:880:caa:e7c6:9416/128
On-link
14 266 fe80::/64 On-link
11 306 fe80::/64 On-link
11 306 fe80::880:caa:e7c6:9416/128
On-link
14 266 fe80::8184:12a1:9307:968a/128
On-link
1 306 ff00::/8 On-link
11 306 ff00::/8 On-link
14 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
IP 192.168.1.* 来自客户端网络(我使用 VPN 连接到远程 VPN 的计算机)。此路由 ( 192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130) 不应该在子网上吗255.255.255.128?还是我遗漏了有关路由和 VPN 的某些信息?
NAT 在调制解调器和路由器上都处于活动状态。我不确定这在安全性/连接性方面起什么作用,以及我应该如何处理它。端口 500、1701、4500 在路由器上转发到 192.168.0.3,我猜这就是我首先可以连接的原因。路由器在调制解调器上设置为 DMZ。路由器上启用了 L2TP 直通(调制解调器上没有此选项)。路由器上启用了 SPI 防火墙。同样,我不知道这是否会影响任何事情。
当我尝试 tracert 到 192.168.0.3 时,请求超时。我甚至无法 ping 通 VPN 网关。VPN 服务器无法 ping 通客户端的指定 IP 地址。
我希望这些信息能有所帮助,目前我想不出还有什么可提的。总结一下我的问题,我可以连接到 VPN,但进入后什么都做不了。没有 ping,没有 DNS,无法通过计算机名称访问,什么都没有。
答案1
事实证明,客户端可以连接,路由也正常,但客户端被 NPS(网络策略服务器)隔离。最初我安装了 NPS,然后在故障排除期间卸载了它。只有在重新安装时,我才会看到 RRAS 日志提到客户端已被隔离。客户端处于“VPN 非 NAP 功能”状态,与该状态相关的策略是提供有限的网络访问,而不是完全的网络访问。我更改了策略,现在它正在运行。
另一个问题可能是我的子网掩码。由于子网掩码为 255.255.255.128,因此 .127 以上的 IP 地址无法与 .128 以下的 IP 地址通信,即使子网 (192.168.0.*) 和子网掩码 (255.255.255.128) 相同。
答案2
经过一番苦思冥想,我发现解决方法非常简单。如果 VPN 客户端连接并从主 DHCP 服务器获取 IP,则所有网络流量都会被阻止。您必须使用 RRAS 中的 DHCP 作用域。当我设置作用域时,一切都立即生效!