作为中型制造公司的系统pipe理员,我已经两周时间了,主pipe和销售人员大量使用远程访问。 从我到达的那一天起,我开始抱怨VPN性能问题。 以下是我们的设置:我们的网关是一个Astaro设备,configuration了DNAT规则,将PPTP和GREstream量转发到内部服务器,我们称之为COMPANY-VPN01。 COMPANY-VPN01是一个configuration了RRAS的Windows Server 2003框。 我们的客户端计算机(主要是XP,但一些Vista和7)已经将Windows PPTP VPN连接设置为指向vpn.company.com,这个vpn.company.comparsing为Astaro框外部接口的公共IP。
以下是非常奇怪的部分: 每次用户连接到VPN连接,它似乎工作。 在客户机上,VPN连接显示“连接”(并且它们的ipconfig显示了一个带有DHCP发布的内部IP地址的PPP适配器),我也可以在COMPANY-VPN01上看到它们的连接。 但是,超过一半的时间,这些连接是不好的 – 用户不能访问任何内部资源。 由于我自己经历了这个,所以我testing了一些显而易见的东西 – 尝试使用内部资源的FQDN而不是NetBIOS名称,尝试使用IP地址,尝试通过名称和IP地址ping内部资源。 什么都没有通过。 但是,如果断开几次VPN连接并重新连接,我将最终获得一个完美的连接 – 无论连接多长时间,连接都将完美无瑕。 所以,无论问题是什么,它都是a)间歇性的,b)VPN连接build立时发生 – 因为如果你获得了“良好”的连接,它仍然是好的。
有没有人有任何想法可能会发生在这里,或对我们可能排除故障的build议?
我想我不应该只是在事实上解决了这个问题的时候,永远不会解决这个问题。
当我被雇用的时候,我被告知局域网“超出了范围”。 networking有一个24位的子网掩码,并使用DHCP进行客户端寻址。 在分配地址之前,DHCP服务器没有设置为检查DNS。 DNS未设置为清除旧logging。 RRAS设置为从DHCP获取VPN客户端的地址,默认情况下,它占用10个块。因此,它将抓住10块,并开始把它们交给客户端,但是由于我们的地址空间用完了,其中一些“很好“一些已经注册到DNS中的其他客户端。 我将子网掩码缩短为22位,问题解决了。
下面是一个build议:设置另一个RRAS服务器,并将传入的VPN连接指向这个新的服务器。 如果问题仍然存在,那么您将排除服务器问题,并可能将重点放在上游设备(很可能是Astaro设备)上。
我怀疑电器是这里的问题,只是一个预感。
尝试固件升级。 联系Astaro关于这个问题。
试试DMZ到COMPANY-VPN01服务器而不是DNAT规则。
和/或尝试将您的互联网直接插入vpn服务器上的第二个NIC,并使用RRAS基本防火墙+ NAT,并更改您的DHCP,以便新的默认网关是该服务器。
或..你可以编写一个简单的批处理脚本,或非常简单的C#应用程序来自动重拨vpn端点,如果ping失败x次后,并将副本运送到所有笔记本电脑(.msi?)。
这可能是由于PPTP Passthrough不受支持,或者无法在出站路由器上正常工作。 您也可能想要阅读多个VPN连接 – 为什么这是不可能的这解释了为什么发生这种情况和解决方法。 这是一个很好的阅读!