Вопросы Теги

Мост ICS с RRAS VPN

имеют этот параметр:

  • Windows Server 2012 R2 с 2-х гигабитным сетевым адаптером, один подключен через гигабитный коммутатор к 4 рабочим станциям, а другой подключен к Интернету
  • сервер - Контроллер домена и рабочие станции получают групповые политики через ActiveDirectory
  • с использованием ICS для обеспечения доступа в Интернет к рабочим станциям путем совместного использования соответствующей сетевой карты сервера через локальную сетевую карту
  • с использованием адреса 192.168.137.1 для сервера в локальной сетевой карте
  • статические адреса 192.168.137.2-5, установленные для рабочих станций с установленным шлюзом 192.168.137.1 и без набора DNS
  • , с использованием RRAS на сервере для обеспечения возможности подключения к VPN для пользователей, приходящих из Интернета. Клиенты VPN (использующие VPN-соединение Microsoft Windows) используют пул статических адресов (настроен на использование 192.168.137.100+) и, похоже, видят сервер по адресу 192.168.137. 100 (может RDP разрешено после входа в систему через VPN), и они получают адреса над ним

Проблема в том, что клиенты VPN не видят рабочие станции ICS.

Шлюз на VPN-клиентах отображается как пустой для интерфейса VPN, когда я выполняю на них ipconfig, что, как я полагаю, означает, что они используют какой-то VPN-шлюз на сервере.

Я знаю, что ICS имеет простую службу DHCP (которую можно выключите через реестр), так что могу я сказать RRAS как-нибудь передать клиентов этому DHCP? RRAS, кажется, имеет агент DHCP Relay, который не помогает, если я настроил его для передачи сообщений DHCP на 192.168.137.1 (где сервер также отображается отдельно от .100, если я запускаю расширенный сканер портов от клиента VPN). Не уверен, что это правильный способ установить DHCP, который все равно будут использовать клиенты VPN.

кстати, клиенты VPN теряют подключение к Интернету при подключении, но поскольку рабочие станции имеют доступ в Интернет через ICS, это нормально, если они могут получить к ним доступ через RDP (чего они в настоящее время не могут - они могут видеть только сервер и RDP к нему после входа в систему через VPN)

придумали различные обходные пути, такие как не использование ICS, а настройка NAT, но не уверен, могу ли я настроить NAT и VPN на DC (тогда как с ICS, похоже, все работает нормально).

Также пытались раскрыть порты RDP рабочих станций на других портах сервера (ICS имеет диалоговое окно расширенных настроек, в котором вы можете предоставлять услуги интернет-клиентам, но, вероятно, это доступно только для клиентов, подключающихся напрямую через Интернет, а не через VPN)

0
задан 27 January 2017 в 14:26
1 ответ

Только что нашел решение: недавно я заметил, что могу подключиться к одной из рабочих станций, но не к другим, и что с сервера я не могу перечислить другие компьютеры в локальном сеть при использовании классического сетевого диалога в программном обеспечении, таком как Time Boss Pro.

Итак, я открыл RDP-соединение от сервера к каждой из рабочих станций и посетил из проводника Windows местоположение сети. На трех проблемных рабочих станциях он предупредил меня, что обнаружение сети было отключено, и после закрытия этого диалогового окна он предложил включить его (сделал это только для локальной сети - если вы подключены напрямую к Интернету, недавняя клиентская ОС Windows показывает выбор для включения для все общедоступные сети или сделать локальную сеть частной)

После этого действия я мог перечислить рабочие станции в диалоговом окне сети, а также мог подключаться через RDP к рабочим станциям по имени,указав в качестве шлюза RDP локальный адрес сервера в VPN

, я уже определил политики RD CAP и RAP, как описано на https://technet.microsoft.com/en-us/library/cc731544 (v = ws .11) .aspx и https://technet.microsoft.com/en-us/library/cc730630 (v = ws.11) .aspx , для авторизации подключения и авторизации ресурсов соответственно, и настроил шлюз RDP, используя те, что на сервере. На CAP я указал группу пользователей AD, которым разрешено подключаться удаленно, а на RAP я указал группу рабочих станций, к которым разрешен доступ. Также я уже настроил GPO (объект групповой политики) на сервере для настройки на каждой из рабочих станций с помощью распространения / применения политики Active Directory, к которой группе пользователей AD разрешено подключаться удаленно.

Кстати, еще одно изменение, которое я сделал (это не должно играть роли) заключается в том, что теперь я использую отдельное адресное пространство (192.168.0.x) для локальной сети с ICS и другое (192.137.0.x) для пула статических адресов VPN. . Обратите внимание, что у меня отключен агент DHCP-ретрансляции в RAS, поскольку я использую статический пул RAS для VPN.

надеюсь, что это поможет любому, кто столкнется с такой же ситуацией

0
ответ дан 5 December 2019 в 08:42

Теги

Похожие вопросы