我尝试了两种configuration,一种使用单个网卡,另一种使用两个网卡。
我可以通过我的VPN连接并通过DHCP服务器分配一个IP地址,但是我不能“查看”任何东西。 我的意思是客户对办公networking完全是盲目的,这意味着:
根本没有连接VPN的任何问题(我以为我有,但这与我给的testing路由器有关)。
这似乎不是防火墙/路由器问题,因为我configuration它允许VPNstream量通过并转发到正确的服务器。
我认为,这是确认VPN服务器事件日志显示成功审计(即login事件)。
但是,它成功审核login事件发生后直接显示以下事件(我不知道这是否正常,但不会指望它是 – VPN客户端不断开)。
An account was logged off. Subject: Security ID: [DomainName]\[UserName] Account Name: [UserName] Account Domain: [DomainName] Logon ID: 0x[xxxxxx] Logon Type: 3 login会话被破坏时,会生成此事件。 它可能与使用loginID值的login事件正相关。 loginID仅在同一台计算机上的重新启动之间唯一。
我不知道这是否有用,但Wireshark显示我连接成功,然后加载的encryption数据包,这是我所怀疑的:
然而,下面是有趣的(我不能解释):
我不能解释点1或2 – 我期望看到ICMP,但问题似乎是发送stream量到(D)。 为了检查我从(C)ping(D)并RECIEVED答复,但是我没有看到相关的ICMPstream量(D)(这可能是GREstream量?)。 我发现这很奇怪,但是(C)肯定是在ping正确的机器,因为当我断开(D)与VPN的连接时,停止响应。
另外请注意,我没有看到(D)到VPNnetworking地址的任何stream量,只有设置了端口转发的路由器。 这可能是某种路由问题?
VPN服务器似乎有ping(D)的问题 – 说无资源, PathPing显示它正在使用接口(A)。 而这个问题只发生在ping(D)的时候,所有的东西都没有问题。
我把RRAS改成了单一的网卡设置,没有资源的问题就消失了 – 我可以从所有机器ping通客户端,但是不能ping任何客户端。 我说,当我ping客户端时,似乎不到1毫秒(记住这是互联网和不同的ISP),我没有看到任何VPN服务器上的ICMPstream量 – 加上当我断开客户端,它仍然可以ping!!! (就像VPN服务器代表客户端回应Ping一样)。当发生这种情况时,VPN服务器在ping掉断开连接的客户端时会获得超时。 很奇怪!
离开它一段时间(喝茶,吃的食物种类的长度)的VPN服务器已经回到没有资源的问题,而不是我没有ping任何方向。 禁用RRAS并重新启用它可以让我回到刚才的位置,现在我可以从LAN ping到客户端。
你的术语“…看到局域网上的任何东西……”是不准确的。 你是什么意思“看”? 你的意思是你不能PING或build立到局域网上的主机的TCP连接? 你的意思是说一些“networking场所”或者这样的function不起作用?
你试图做的将会正常工作。 您可能没有通过VPN获取NetBIOS名称parsing,因为您可能没有在局域网上使用WINS服务器。 这就是我的“心理能力”猜测,为什么你有问题。
在域控制器上安装RRAS使其多宿主。 它会工作,但微软不build议这样做。 您应该考虑防止在DNS和WINS中注册RRAS适配器 。
编辑:
我不认为我的答案有任何“做作”。 我试图帮助你根据你的问题的不精确的描述(使用术语“看”,而不是说,当你连接的时候什么是失败的)以及我对这些types的问题的经验。 你关于使用RADIUS的模糊的陈述给了我一些感觉,你不是一个专业的系统pipe理员(后来通过你的评论validation你的工作),你可能试图使用一些graphics工具或应用程序来访问局域网上的资源,但没有执行validation第3层通信,名称parsing等的基本故障排除步骤。
我已经在连接到NAT防火墙后面的局域网的域控制器上安装了RRAS服务器。 我每周连接几次。 你试图做的很好。
您是否允许RRAS服务器从DHCP为客户端分配IP地址,或者您是否指定了地址范围? 如果你已经指定了一个地址范围,它是在局域网子网内的一个范围,还是一个不同的子网? 当“连接”你所期望看到的IP时,是否将IP分配给了客户端?
我还不清楚你曾经试过做过什么“连接”,这让你觉得你不能“看”局域网。 你可以PING的RRAS服务器的IP地址? 您可以通过IP地址与RRAS服务器或LAN上的其他服务器托pipe的服务build立TCP连接吗? 你是否获得DNSparsing?
最后,我没有build议将RRAS移动到另一台服务器会使任何工作。 我build议Microosft不推荐多宿主域控制器。 如果您了解其中的后果,RRAS将在域控制器上正常运行。
编辑2:
通过RRAS服务器设置从DHCP分配IP地址,您将看到一个良好的LAN IP地址被分配给客户端,那么呢?
假设你是,并且你不能从客户端PING RRAS服务器的LAN IP地址,是时候开始嗅探stream量了。 我会在RRAS服务器和客户端上进行嗅探,看看PING请求是否正确地将VPN连接路由出来(作为encryptionGRE有效负载 – 大概是使用PPTP)。 如果嗅探不方便,您可以在“路由和远程访问”pipe理控制台pipe理单元的“远程访问客户端”节点中查看通过连接客户端的“状态”对话框传输的字节。 但是,我会嗅探到,看不到线路上的数据是不可替代的。
客户端的路由表看起来就像连接之后所期望的那样,我假设。 默认情况下,Microsoft VPN客户端将您的默认网关分配给远程networking(VPN连接的“高级”TCP / IP属性中的“在远程networking上使用默认网关”checkbox)。 如果closures该function,而不是看到默认网关更改,则会看到远程networking的条目,其中包含分配给客户端VPN适配器的IP地址的网关。 你没有提到客户端操作系统是什么,但微软VPN客户端的行为在Windows 7中稍有改变(允许你明确禁用愚蠢的“有类”路由添加行为)。
它可能不会问,但VPN服务器的LAN IP子网和客户端连接的LAN子网使用不同的地址范围,不是吗?
这听起来像你的VPN连接configuration不正确。 为了使VPN工作,客户必须改变一些IPconfiguration细节,特别是:
你可以检查这个东西,如下所示:在VPN上,打开一个shell(DOS提示符,无论)在你的客户端上运行(在Windows下)
ipconfig / all
或(在Linux下)
cat /etc/resolv.conf
这将显示您正在使用哪个DNS服务器。 此DNS服务器必须驻留在目标networking(最常用的解决scheme)上,或者必须能够将目标networking中的计算机名称parsing为IP地址。
第二个testing是检查你的路由。 在Windowstypes下
路线打印
在Linux下,使用
sudo route -nv
这会给你看起来像这样的输出:
#route -nv 内核IP路由表 目标网关Genmask标志度量参考使用Iface 10.180.0.1 10.180.0.169 255.255.255.255 UGH 0 0 0 tun0 10.180.0.169 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.172.0.0 10.180.0.169 255.255.0.0 UG 0 0 0 tun0 10.171.0.0 10.180.0.169 255.255.0.0 UG 0 0 0 tun0 0.0.0.0 192.168.10.254 0.0.0.0 UG 0 0 0 eth0
在上面,networking10.171.0.0/16和10.172.0.0/16被路由到隧道。
如果在客户端上缺less这两者中的任何一个,那么请检查您的VPN服务器configuration是否设置为将相关位转发给客户端。 这显然取决于您使用的VPN服务器的types。
我build议改变你的IP子网。 如果您的本地networking上的IP地址是192.168.x.100,并且您正尝试将VPN用于也使用x子网的远程站点,则您的问题可能有意义。
更改您的IP子网。 不是那么容易,我知道…哈哈。
这似乎是一个DHCPstream量的问题。 我不知道为什么。
为了解决这个问题,我手动添加了一个静态地址池(如果你在设置RRAS时这样configuration,这将不起作用)。
现在我可以平。 虽然DNS似乎是一个问题,即使正确的DNS服务器被客户端 – 要解决这个问题,你需要在客户端上configurationVPNnetworking连接来附加DNS后缀。