Windows2008のSSTPはどちらの方向にもpingできません
私は次の設定を行っています。
サーバー:Windows 2008サーバーをAD、DHCP、DNS、CA、およびRRASとして構成しました。簡単に言うと、RRASはSSTP接続を受け入れることができ、クライアントは正常に接続されます。クライアントはIPアドレスを取得します。
クライアント:Windows 7 OS
構成:
境界にLinuxファイアウォールがあります。ポートは、443をRRASサーバーの内部IPアドレスとポートに転送するために開かれています。
プライベートネットワークは10.100.0.0/16サブネット上にあります。
RRASサーバーには2つのNICがあります。 NIC1 = 10.100.85.15およびNIC2 = 10.100.85.16。 NIC2は、パブリックインターネットからのSSTP接続を受け入れています。 NIC2のアダプター設定には、静的IPとサブネットのみがあります。 NIC2にはゲートウェイとDNSサーバーが構成されていません(これは、Windows2003でのPPTP)のセットアップに関してどこかで読んだものに基づいて行いました)。NIC1は2つのNICの中で最優先されます。
RRASはVPN専用にセットアップされています(NATなし)。 IPアドレスの割り当ては静的であり、10.100.77.250から10.100.77.254(プライベートネットワークと同じサブネット)のプールからのものです。
インバウンドフィルターとアウトバウンドフィルターのどちらの方向でもICMPを許可しました。
Windowsファイアウォールは、ほとんどすべてを許可するように構成されています。次に、この構成で、Windowsファイアウォールサービスをオフにしました。
RRASに静的ルートを追加していません。
前述のように、VPNクライアントはSSTPを介してRRASに接続し、IPアドレスを取得できます。クライアントは、RRASゲートウェイ(10.100.77.250)、NIC1、およびNIC2にpingを実行できます。
問題:
クライアントは、RRASサーバー以外のマシンにpingを実行できません
その他のデバッグ情報:
RRASサーバーにMicrosoftNetwork Monitorをインストールして、ICMPパケットを監視しました。クライアント(たとえば10.100.77.251)からRRAS、宛先サーバー(たとえば10.100.20.10)へのICMP要求が表示され、10.100.20.10はNIC1のイーサネットアドレスで10.100.77.251にICMP応答で応答します。この時点で、これがRRASサーバーからのルーティングテーブルです。
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1
26 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
14 ...00 00 00 00 00 00 00 e0 isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A}
27 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
15 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.16 358
10.100.77.253 255.255.255.255 10.100.77.253 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.85.16 255.255.255.255 On-link 10.100.85.16 358
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.16 358
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.16 358
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.16 358
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
13 266 fe80::/64 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
13 266 fe80::f8a0:2a9d:bee9:e688/128
On-link
1 306 ff00::/8 On-link
13 266 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
ルーティングの問題があることはわかっています...そして、RRASにルート追加を挿入するためにすべての組み合わせを試しましたが、何も機能しません。どんな助けでも大歓迎です。
更新: ADマシンを単一のNIC構成に変換しました。これは、クライアントが接続されているときのクライアントとRRASのルーティングテーブルです。
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
22 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
23 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
14 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.77.252 255.255.255.255 10.100.77.252 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
1 306 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
クライアント
===========================================================================
Interface List
23...........................VPN
10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.2 192.168.123.15 10
10.0.0.0 255.0.0.0 10.100.77.254 10.100.77.252 11
10.100.77.252 255.255.255.255 On-link 10.100.77.252 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.123.0 255.255.255.0 On-link 192.168.123.15 266
192.168.123.15 255.255.255.255 On-link 192.168.123.15 266
192.168.123.255 255.255.255.255 On-link 192.168.123.15 266
216.218.195.214 255.255.255.255 192.168.123.2 192.168.123.15 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.123.15 266
224.0.0.0 240.0.0.0 On-link 10.100.77.252 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.123.15 266
255.255.255.255 255.255.255.255 On-link 10.100.77.252 266
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
私が気づいた2つのこと。 1)ADに複数のNICを含めることはできません。マルチホームDCはMSでサポートされていません。しかし、それが問題の原因ではないと思います。2)Windowsファイアウォールサービスをオフにしました。おそらく良い考えではありません。サービスをオンに戻し、次のコマンドを実行してプロファイルを無効にしてみてください。
Netsh advfirewall set allprofiles state off
これで問題が解決するかどうかはまだわかりませんが、この2つのことが私に飛びつきました。
ここではたくさんのことが起こっています。
まず、静的アドレスプールを使用してVPNクライアントにIPアドレスを割り当てるようにWindowsのRRASが構成されている場合、デフォルトで/ 24サブネットマスク(255.255.255.0)になります。また、not VPNクライアントに追加のルートを提供します。
この設定では、Windows7クライアントは10.100.77.X/24アドレスを取得します。これは、より大きな10.100.0.0/16ネットワーク、つまり3番目のバイトが存在するアドレスに到達する方法については何も通知しません。は77ではありません。VPN接続をデフォルトゲートウェイとして使用していない場合(これは、すべてのトラフィックをVPN経由でルーティングしたくない場合によくあることです)、クライアントは単に何かに到達する方法を知りません。 10.100.77.0/24サブネットの外部。
VPN接続が確立された後、Windows 7PCでroute printコマンドの出力を提供してください。これが当てはまるかどうかを確認できます。もちろん、代わりにVPNをデフォルトゲートウェイ(Windows VPN接続のデフォルト)として使用している場合、これは問題にはなりません。しかし、それでもネットワーク構成は壊れます。
また、反対側にも同様の問題があります。RRASサーバーがリモートネットワーク上のコンピューターのデフォルトゲートウェイではない場合(内部インターフェイスしかないため、そうではないと思います)、RRASサーバーはそれを認識しません。 10.100.77.0/24ネットワーク宛てのパケットをRRASサーバーに転送する必要があります。これは、RRASがARPプロキシをサポートしているため、「このアドレスがどこにあるかわかります。パケットを私に渡してください」と自動的に応答するため、軽減されます。しかし、構成のこの部分も壊れます。
補足として、そして他の人が言っているように、2つのNICは事態を悪化させています。サーバーに2つのIPアドレスが実際に必要な場合は、両方を同じNICに構成して、問題の大きな原因を取り除くことができますが、それらは必要ありませんRRASがVPNサーバーとして機能するためにはその2番目を取り除くNICそしてIPアドレスはあなたができる最善のことです...そしてこれはmore trueそのサーバーはドメインコントローラーであるため。
最後に、重要なことですが、「Windowsファイアウォールサービスをオフにした」とおっしゃいました。ファイアウォールを無効にしましたか、それとも実際にWindowsファイアウォールサービスを停止しましたか?行った場合は、今すぐ再起動してください。これは、Windows XPおよび2003でWindowsファイアウォールを無効にする良い方法でしたが、Vista以降、そのサービスを停止すると、Windowsネットワークスタック全体が崩壊します。サービスを再起動する必要があります。次に、構成ツールを使用してWindowsファイアウォールを適切に無効にします。
補遺:「インバウンドフィルターとアウトバウンドフィルターのどちらの方向でもICMPを許可しました」とおっしゃいました。どのフィルター?ネットワークインターフェイスのプロパティで、RRASのもの?それらを無効にします。これらはデフォルトで無効になっており、すべてを通過させますが、ルールを追加すると、明示的に許可しているもの(または、構成方法によってはその逆)を除くすべてがブロックされます。それらが必要になることはめったになく、適切に構成するのは面倒な場合があります。最初にすべてを機能させてから、(本当に必要な場合は)それらをいじり始めることができます。