Я хочу настроить Windows Server 2012 и его клиентов VPN Windows 7 и Windows 8, с VPN SSTP, которая использует раздельное туннелирование и обращение вне подсети, но я сталкиваюсь с проблемой: сервер RRAS не отправит пакеты в клиентов VPN ни от какой машины кроме себя.
Мой сервер VPN работает на "Виртуальном частном облаке" Amazon, таким образом, это имеет только один NIC с IP-адресом в частной, сети RFC1918, совместно использованной со всеми моими другими серверами VPC Amazon и общедоступным IP, который передает весь трафик к тому частному адресу через NAT (Amazon называет этот "Эластичный IP").
Я установил RRAS и настроил VPN. Частная подсеть на Amazon является 172.16.0.0/17 (это - то, что я называю "LAN Amazon"), но я хочу, чтобы все клиенты VPN использовали диапазон 10.128.0.0/20 (что я называю "LAN VPN").
В моей панели управления Amazon я сделал следующее:
В Маршрутизации и Удаленном доступе MMC, в меню свойств для имени сервера, я сделал следующее:
На моем клиенте и всех моих серверах, я удостоверился, что ICMP явно позволяется в брандмауэре, или брандмауэр отключен полностью (не постоянный план, конечно).
На клиенте, для включения раздельного туннелирования я перешел к свойствам для соединения VPN-> вкладка Networking-> IPv4-> Propeties-> Advanced-> IP Settings и снял флажок "Со шлюзом значения по умолчанию использования в удаленной сети", и проверенный "Отключают основанное на классе дополнение маршрута".
На данном этапе мои клиенты могут соединить использование клиента VPN Windows 7/8. Им присваивают IP от пула 10.128.0.0/20, но так как они автоматически не устанавливают маршрутов, они не могут говорить с удаленной сетью. Я могу установить маршруты на удаленную сеть, и на сеть VPN, как это (на клиенте):
route add 172.16.0.0/17 <VPN IP ADDRESS>
route add 10.128.0.0/20 <VPN IP ADDRESS>
Теперь клиент может проверить с помощью ping-запросов адрес локальной сети VPN сервера VPN (10.128.0.1) и также его адрес локальной сети (172.16.1.32) Amazon. Это сталкивается с проблемой, тем не менее, при попытке говорить с другими машинами на LAN Amazon: ping не получают ответы.
Так, например, если клиент пытается проверить с помощью ping-запросов систему, которую я знаю, произошел и отвечает на ping как 172.16.0.113, она не будет видеть те ответы (она говорит "Запрос, приведенный к таймауту"). Wireshark на сервере VPN подтверждает, что видит ping от клиента, и он даже видит ответ, отправленный от 172.16.0.113, но что ответ, по-видимому, никогда не возвращается клиенту.
Кроме того, если я проверяю с помощью ping-запросов адрес локальной сети VPN клиента от 172.16.0.113, Wireshark на сервере VPN видит ping, но не видит ответ.
Так, для резюме:
Почему сервер VPN не отправляет пакеты от LAN Amazon вниз ее клиентам на LAN VPN? Это может определенно говорить с клиентами на LAN VPN, и маршрутизация включена, и это готово направить пакеты от VPN LAN-> Amazon LAN, но не реверс. Что я пропускаю здесь?
Вот таблицы маршрутизации от клиента VPN. Клиентом является VirtualBox VM, запускающий Windows 8. Это - IP-адрес vbox адаптера, 10.0.2.15 на/24. Этот клиент находится позади NAT (на самом деле, это находится позади двойного NAT, потому что vbox адаптер является NAT'd к моей локальной сети, которая является NAT'd к Интернету). Эта таблица маршрутизации от после ручного добавления маршрутов к 10.128.0.0/20 и 172.16.0.0/17.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.2.2 10.0.2.15 10
10.0.2.0 255.255.255.0 On-link 10.0.2.15 266
10.0.2.15 255.255.255.255 On-link 10.0.2.15 266
10.0.2.255 255.255.255.255 On-link 10.0.2.15 266
10.128.0.0 255.255.240.0 On-link 10.128.0.3 15
10.128.0.3 255.255.255.255 On-link 10.128.0.3 266
10.128.15.255 255.255.255.255 On-link 10.128.0.3 266
54.213.67.179 255.255.255.255 10.0.2.2 10.0.2.15 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.128.0 On-link 10.128.0.3 15
172.16.127.255 255.255.255.255 On-link 10.128.0.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.2.15 266
224.0.0.0 240.0.0.0 On-link 10.128.0.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.2.15 266
255.255.255.255 255.255.255.255 On-link 10.128.0.3 266
===========================================================================
Persistent Routes:
None
Вот таблицы маршрутизации с сервера RRAS, который выполняет Windows Server 2012. Этот сервер находится также позади NAT, как обсуждено выше. Это только имеет один NIC. Его частный IP-адрес 172.16.1.32 на/23 (который является самостоятельно частью большей/17 сети; я полагаю, что справедливо проигнорировать части/17 за пределами/23, так как другие машины на/23 не могут достигнуть или быть достигнуты клиентами VPN любой).
VPN виртуальный адаптер имеет свой собственный адрес, 10.128.0.1, который присвоен автоматически в первый раз клиент, соединяется. Маршруты для 10.128.0.1 (к себе) и 10.128.0.2 (его единственному клиенту), что Вы видите, также добавляются автоматически в то время. Никакие маршруты не добавляются к серверу VPN вручную.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.32 10
10.128.0.1 255.255.255.255 On-link 10.128.0.1 286
10.128.0.2 255.255.255.255 10.128.0.2 10.128.0.1 31
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.32 10
172.16.0.0 255.255.254.0 On-link 172.16.1.32 11
172.16.1.32 255.255.255.255 On-link 172.16.1.32 266
172.16.1.255 255.255.255.255 On-link 172.16.1.32 266
172.16.2.0 255.255.254.0 172.168.0.1 172.16.1.32 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.32 266
224.0.0.0 240.0.0.0 On-link 10.128.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.32 266
255.255.255.255 255.255.255.255 On-link 10.128.0.1 286
===========================================================================
Persistent Routes:
None
Вот таблицы маршрутизации для другой машины на частной сети сервера, также выполняя Сервер 2012. Это имеет один NIC, который имеет частный IP-адрес 172.16.1.177 - что означает, что это находится на том же/23, который сервер VPN. (Обратите внимание, что маршрут к 10.128.0.0/20 установлен на шлюзе, которым управляет Amazon, таким образом, Вы не будете видеть его здесь. Я добавил правильный маршрут к Amazon, свидетельствуемому тем, что Wireshark на сервере VPN видит пакеты.)
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.177 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.177 10
172.16.0.0 255.255.254.0 On-link 172.16.1.177 266
172.16.1.177 255.255.255.255 On-link 172.16.1.177 266
172.16.1.255 255.255.255.255 On-link 172.16.1.177 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.177 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.177 266
===========================================================================
Persistent Routes:
None
Вот маршруты в консоли Amazon. Я действительно думаю, что они корректны - трафик возвращается к серверу VPN, в конце концов, только для исчезновения в нем - но в случае, если кто-то хочет видеть их, они здесь (Amazon делает вещи, немного странные. eni-2f3e8244 / i-77e26440
относится к NIC на сервере VPN, и igw-d4bc27bc
посылает к управляемому Amazon Интернету NAT/шлюз что все мое использование экземпляров говорить с Интернетом.)
10.128.0.0/20 eni-2f3e8244 / i-77e26440
172.16.0.0/17 local
0.0.0.0/0 igw-d4bc27bc
Что если вы добавите на свои серверы статический маршрут, сообщающий им, что для достижения 10.128.0.0/20 они должны пройти через LAN-адрес сервера VPN?
route add 10.128.0.0 mask 255.255.240.0 a.b.c.d
Замените abcd на Адрес локальной сети VPN-сервера.
Это, по крайней мере, исключит проблемы с маршрутизацией Amazon.