web-dev-qa-db-ja.com

接続はできるが、リモートVPNコンピュータにping / routeできない

セットアップ:

モデム/ルーターの背後にあるルーターの背後にあるWindows Server 2008マシン上のL2TP VPNサーバー。

モデム/ルーター(IP:192.168.2.1、サブネット:255.255.255.0、DHCPがルーターに192.168.2.2を提供)
- _ルーター(IP:192.168.2.2、サブネット:255.255.255.0、サブLAN IP:192.168.0.1、サブLANサブネット:255.255.255.128、DHCPはコンピュータに192.168.0。*を提供します)
------------ | _ Windows Server 2008(IP:192.168.0.3、サブネット:255.255.255.128、プールからVPN IPアドレスを提供します... 192.168.0.130-192.168。 0.140)

ルーターはWS2008をプライマリDNSとして設定し、WS2008はクエリをルーターに転送して障害を返します。詳しくは---(この投稿 をご覧ください。

私はVPNにうまく接続できます、これはipconfigの結果です:

PPP adapter Work VPN:

   Connection-specific DNS Suffix  . : ss
   Description . . . . . . . . . . . : Work VPN
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.0.130(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : 192.168.0.3
                                       192.168.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

変なのは、VPN接続のゲートウェイを見るとどうなるかです。 192.168.0.129に設定されています。私はルーティングが初めてなので、route printの結果を見ても何が良い/悪いかわからない。パブリックIPの代わりにXXX.XXX.XXX.XXXを配置しました。

===========================================================================
Interface List
 24...........................Work VPN
 16...00 02 76 09 4b b7 ......Bluetooth Device (Personal Area Network)
 14...f4 6d 04 d2 59 74 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 11...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  XXX.XXX.XXX.XXX  255.255.255.255      192.168.1.1      192.168.1.2     11
      192.168.0.0    255.255.255.0    192.168.0.129    192.168.0.130     11
    192.168.0.130  255.255.255.255         On-link     192.168.0.130    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.2    266
      192.168.1.2  255.255.255.255         On-link       192.168.1.2    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.2    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.2    266
        224.0.0.0        240.0.0.0         On-link     192.168.0.130    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.2    266
  255.255.255.255  255.255.255.255         On-link     192.168.0.130    266
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 11     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 11     58 2001::/32                On-link
 11    306 2001:0:9d38:6ab8:880:caa:e7c6:9416/128
                                    On-link
 14    266 fe80::/64                On-link
 11    306 fe80::/64                On-link
 11    306 fe80::880:caa:e7c6:9416/128
                                    On-link
 14    266 fe80::8184:12a1:9307:968a/128
                                    On-link
  1    306 ff00::/8                 On-link
 11    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

IP 192.168.1。*は、クライアントネットワーク(リモートVPNへの接続にVPNを使用しているコンピューター)からのものです。このルート(192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130)はサブネット255.255.255.128上にあるべきではありませんか、それともルーティングとVPNに関して何か不足していますか?

NATはモデムとルーターの両方でアクティブです。セキュリティ/接続性に関してこれがどのような役割を果たす必要があるのか​​、それをどのように処理すべきかわかりません。ポート500、1701、4500はルーターで192.168.0.3に転送されます。これが、最初に接続できる理由だと思います。ルーターはDMZに設定されています。L2TPパススルーはルーターで有効になっています(モデムではこれにオプションはありません)。SPIファイアウォールが有効になっていますこれも何かに影響するかどうかはわかりません。

Tracertを192.168.0.3にしようとすると、リクエストのタイムアウトが発生します。また、VPNゲートウェイにpingすることもできません。 VPNサーバーは、クライアントに割り当てられたIPアドレスをpingできません。

この情報がお役に立てば幸いです。現時点では、他に言及することはありません。私の問題を要約すると、VPNに接続できますが、現在は何もできません。pingもDNSも、コンピューター名を介したアクセスも、何もしません。

domain-name-systemvpniptablesroutingl2tp
2
JakeTheSnake

クライアントは接続でき、ルーティングは正常ですが、クライアントはNPS(ネットワークポリシーサーバー)によって検疫されていました。もともと私はNPSをインストールしてから、トラブルシューティング中にアンインストールしました。再インストールしたときにのみ、クライアントが隔離されたことを示すRRASログが表示されます。クライアントには「VPN非NAP対応」ステータスがあり、そのステータスに関するポリシーは、完全なネットワークアクセスではなく、制限されたネットワークアクセスを提供することでした。ポリシーを変更しましたが、現在は機能しています。

別の問題は、サブネットマスクであった可能性があります。サブネット(192.168.0。*)とサブネットマスク(255.255.255.128)が同じであっても、サブネットマスク255.255.255.128が原因で、.127を超えるIPアドレスは.128未満のIPと通信できません。

3
JakeTheSnake

これに頭を悩ませた後、回避策はとても簡単でした。 VPNクライアントが接続すると、メインDHCPサーバーからIPが取得され、すべてのネットワークトラフィックがブロックされます。 RRASのDHCPスコープを使用する必要があります。スコープを設定すると、すべてが即座に機能しました!

1
BJ Computers