ルーティングとリモートアクセスVPNのセットアップ
ルーティングとリモートアクセスを使用してVPNをセットアップしようとしています。
1つのネットワークカードを使用する構成と2つのネットワークカードを使用する構成の2つを試しました。
VPN経由で接続し、DHCPサーバーからIPアドレスを割り当てることはできますが、何も「見る」ことができません。これは、クライアントがオフィスネットワークに対して完全に見えないように見えることを意味します。つまり、
- VPNサーバーを含むどのオフィスサーバーにもpingを送信しません(ICMPのフィルターインおよびフィルターアウトを停止しました)
- DNS解決がありません(IPアドレスで接続できないのは当然です。ドメイン名とIPアドレスを使用して、VPNサーバー共有とその上でホストされているWebページにアクセスしてみました。例 http:// Host.com/abc および http://192.169.254.199/abc )
- ネットワークリソースにアクセスできません(上記を考えると驚くことではありません)
VPNの接続にまったく問題はありませんでした(私はそう思っていましたが、これは私が指定したテストルーターに関係しています)。
VPNトラフィックが正しいサーバーを通過して転送できるように構成したため、これはファイアウォール/ルーターの問題ではないようです。
これは、VPNサーバーのイベントログに成功の監査(つまり、ログオンイベント)が表示されることで確認されたと思います。
ただし、成功の監査ログオンイベントが発生した直後に次のイベントが表示されます(これが正常かどうかはわかりませんが、予期されていません-VPNクライアントは切断されません)。
An account was logged off.
Subject:
Security ID: [DomainName]\[UserName]
Account Name: [UserName]
Account Domain: [DomainName]
Logon ID: 0x[xxxxxx]
Logon Type: 3
このイベントは、ログオンセッションが破棄されたときに生成されます。ログオンID値を使用して、ログオンイベントと正の相関関係がある場合があります。ログオンIDは、同じコンピューターでの再起動間でのみ一意です。
これが役に立たないかどうかはわかりませんが、 Wireshark は正常に接続してから、暗号化されたパケットのロードを示しています。
- クライアントが接続しているPPP LCP/CHAP構成会話があります。
- VPNパブリックインターフェイスにpingを実行すると、どちらの側にもICMPが表示されません(これは、GREパケットにカプセル化されているためだと思います)。
ただし、以下は興味深いです(説明できません)。
- (VPNサーバーの)パブリックインターフェイス(A)にpingを実行すると、PPPおよびGREトラフィックが増加します
- (VPNサーバーの)プライベートインターフェイス(B)にpingを実行した場合も同じです
- ネットワーク上の別のサーバー(C)にpingを実行すると、ICMPパケット要求は表示されますが、応答はありません((C)サーバーがクライアントのVPN IPに直接応答しているかどうかはわかりません(D)-これは(A)のトラフィックを見ると、ケースが表示されます)
ポイント1または2について説明できません-ICMPが表示されると思いますが、問題は(D)にトラフィックを送信しているようです。これを確認するために、(C)から(D)にpingを実行し、応答を受信しましたが、DID(D)で相関するICMPトラフィックが表示されません(これはGREトラフィックでしたか?)これは奇妙ですが、(D)をVPNから切断すると応答が停止するため、(C)は間違いなく正しいマシンにpingを送信しています。
また、(D)にVPNネットワークアドレスへのトラフィックは表示されず、ポート転送が設定されているルーターのみが表示されることに注意してください。これはある種のルーティングの問題でしょうか?
VPNサーバーは、(D)へのpingに問題があるようです。リソースはありません PathPing は、インターフェース(A)を使用していることを示しています。この問題はping(D)の場合にのみ発生し、他のすべてに問題なくpingを実行します。
RRASをシングルに変更しましたNIC=セットアップし、リソースの問題はなくなりました-すべてのマシンからクライアントにpingできるようですが、クライアントから何もpingできません。クライアントにpingを実行するのに1ミリ秒もかかりません(これはインターネットとさまざまなISPを介して行われることに注意してください)。また、VPNサーバーにICMPトラフィックが表示されません。さらに、クライアントを切断しても、pingを実行できます。 (VPNサーバーがクライアントに代わってpingに応答しているかのように。)これが発生している間、VPNサーバーは切断されたクライアントにpingを実行するとタイムアウトになります。非常に奇妙です。
しばらく放置した後(お茶を飲んだり、食べ物を食べたり)、VPNサーバーはリソースなしの問題に戻りました。どちらの方向にもpingはありません。 RRASを無効にして再度有効にすると、今の場所に戻り、LANからクライアントにpingを実行できます。
DHCPトラフィックに問題があるようです。理由はわかりません。
これを解決するために、静的アドレスプールを手動で追加しました(RRASのセットアップ時にこのように構成すると機能しません)。
これで、pingを実行できます。正しいDNSサーバーがクライアントによって取得されてもDNSは問題のようですが、これを解決するには、DNSサフィックスを追加するようにクライアントでVPNネットワーク接続を構成する必要があります。
「... LAN上の何かを見る...」という用語は不正確です。 「見る」とはどういう意味ですか? LAN上のホストにPINGまたはTCP接続)できなかったということですか?一部の「ネットワークプレイス」またはそのような機能が機能しなかったということですか?
あなたがしようとしていることはうまくいきます。おそらく、WINS LAN上のサーバーを使用していないため、VPNを介してNetBIOS名前解決を取得していません。それは、なぜあなたが問題があります。
ドメインコントローラーにRRASをインストールすると、マルチホームになります。動作しますが、Microsoftは推奨していません。 RRASアダプターがDNSおよびWINSに登録されないようにする について考える必要があります。
編集:
私の答えについて「工夫された」ものは何もないと思います。私はあなたの問題の不正確な説明(あなたが接続しているときに何が失敗しているのかを正確に言うのではなく「見る」という用語を使用)とこれらのタイプの問題に関する私の経験に基づいて助けようとしています。 RADIUSの使用に関する漠然とした声明は、あなたがプロのシステム管理者ではなく(後でコメントre:あなたの仕事によって検証された)、おそらく何らかのグラフィカルツールを使用しようとしている、またはLAN上のリソースにアクセスするためのアプリケーションですが、レイヤ3通信、名前解決などを確認する基本的なトラブルシューティング手順を実行していません。
NATファイアウォールの背後でインターネットに接続されているLAN上のドメインコントローラーにRRASサーバーをセットアップしました。週に数回接続します。あなたがやろうとしていることは、うまく機能します。
RRASサーバーがDHCPからクライアントにIPアドレスを割り当てることを許可していますか、それともアドレス範囲を指定していますか?アドレス範囲を指定した場合、それはLANサブネット内の範囲ですか、それとも別のサブネットですか? 「接続」されたときにクライアントに割り当てられているIPは、期待どおりですか?
LANを「見る」ことができないと思わせる「接続」後に何をしようとしたのか、私にはまだわかりません。 RRASサーバーのIPアドレスにPINGできますか? TCP LAN上のRRASサーバーまたは他のサーバーによってホストされているサービスにIPアドレスで接続できますか?DNS解決を取得していますか?
最後に、RRASを別のサーバーに移動しても何かが機能することを示唆していませんでした。 Microosftはマルチホームドメインコントローラーを推奨しないことを提案しました。 RRASは、ドメインコントローラー上での影響を理解していれば、ドメインコントローラーで正常に動作します。
編集2:
DHCPからIPアドレスを割り当てるようにRRASサーバーをセットアップすると、適切なLAN IPアドレスがクライアントに割り当てられていることがわかりますか。
あなたがそうであり、クライアントからRRASサーバーのLAN IPアドレスをPINGできないと仮定すると、トラフィックのスニッフィングを開始する時が来ました。クライアントのRRASサーバーとをスニッフィングして、PING要求がVPN接続を(暗号化されたGREペイロードとして)適切にルーティングしていることを確認します- -おそらくPPTPを使用しています)。スニッフィングが不便な場合は、[ルーティングとリモートアクセス]管理コンソールスナップインの[リモートアクセスクライアント]ノードで、接続されているクライアントの[ステータス]ダイアログを介して転送されたバイトを確認できます。しかし、私はにおいを嗅ぎます-ワイヤーでデータを見ることに代わるものはありません。
クライアントのルーティングテーブルも、接続後に期待するように見えます。デフォルトでは、Microsoft VPNクライアントはデフォルトゲートウェイをリモートネットワークに割り当てます(VPN接続の[詳細] TCP/IPプロパティの[リモートネットワークでデフォルトゲートウェイを使用する]チェックボックス)。これをオフにすると、デフォルトゲートウェイの変更が表示される代わりに、クライアントのVPNアダプターに割り当てられたIPアドレスのゲートウェイを持つリモートネットワークのエントリが表示されます。クライアントOSについては触れていませんが、Windows7ではMicrosoftVPNクライアントの動作がわずかに変更されています(ばかげた「クラスフル」ルート追加動作を明示的に無効にできます)。
質問はありませんが、VPNサーバーのLAN IPサブネットとクライアントが接続されているLANサブネットが異なるアドレス範囲を使用しているのではないでしょうか。
これは、VPN接続が適切に構成されていないように思えます。 VPNが機能するためには、クライアントはIP構成の詳細の一部を変更する必要があります。
- ネームサーバーは、ターゲットネットワーク内の名前を解決できる必要があります。これは通常、VPNサーバーに適切なDNSサーバーのIPアドレスを転送させることによって実現されます。
- VPNサーバーは、トラフィックを流すために必要な関連ルートを転送する必要があります。通常、VPN接続は非常に小さい(/ 30)サブネット上で動作し、VPNサーバーは、保持しているさまざまなトンネルへの配布を処理します。ただし、クライアントは、ターゲットネットワークのIPアドレスがトンネルを介して到達可能であることを知っている必要があるため、クライアントのルーティングテーブルに追加のルートが必要です。
このことを次のように確認できます。VPNで、クライアントでシェル(DOSプロンプトなど)を開き、(Windowsで)実行します。
ipconfig/all
猫/etc/resolv.conf
2番目のテストは、ルーティングを確認することです。 Windowsではタイプ
ルートプリント
須藤ルート-nv
#route -nv Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.180.0.1 10.180.0.169 255.255.255.255 UGH 0 0 0 tun0 10.180.0.169 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.172.0.0 10.180.0.169 255.255 .0.0 UG 0 0 0 tun0 10.171.0.0 10.180.0.169 255.255.0.0 UG 0 0 0 0 tun0 0.0.0.0 192.168.10.254 0.0.0.0 UG 0 0 0 eth0
上記では、ネットワーク10.171.0.0/16および10.172.0.0/16がトンネルにルーティングされています。
これら2つのいずれかがクライアントにない場合は、VPNサーバーの構成を確認し、関連するビットをクライアントに転送するように実際に設定されているかどうかを確認します。これは明らかに、使用しているVPNサーバーのタイプによって異なります。
IPサブネットを変更することをお勧めします。ローカルネットワーク上のIPアドレスが192.168.x.100であり、xサブネットも使用するリモートサイトにVPNで接続しようとしている場合は、問題が理にかなっている可能性があります。
IPサブネットを変更します。私が知っているほど簡単ではありません...ハハ。