web-dev-qa-db-ja.com

クライアントVPNは機能しますが、特定の場所からのみ機能します(ISA / TMG)

私は非常に簡単なことをしました。またはそう思った...

私はTMGでVPNクライアントアクセスを設定しました(またはISA、それらはかなり似ています)。 ADでVPNというグループを作成し、TMGで許可されたVPNユーザーとして、VPNクライアントのIPスコープを設定し(192.168.6.0-192.168.6.255)、VPNクライアントとTMGの内部ネットワーク間のネットワークルールルーティングを追加しました(192.168 .5.0-192.168.5.255)。また、ファイアウォールポリシーにVPNクライアントと内部ネットワーク間のすべてを許可するルールを追加しました。

私の問題:Windows 7を実行しているクライアントからPPTP接続(これもTMGで設定されています)を使用してこのネットワークに接続しました)エラーなしでログインできますが、連絡しようとすると内部ネットワーク上のどのサーバーでも応答がないので、当然、多くのトラブルシューティングを行いました(TMGのログには何も表示されず、アクセスの拒否はどこにもありませんでした)。

その後、携帯電話を使用してVPNに接続し、電話のRDPクライアントを使用して内部ネットワーク上のサーバーに接続しました。それはうまくいきました!

別の物理的な場所で別のWindows7ワークステーションを試しましたが、それを使用するとVPNにログインすることさえできませんでした。

別の物理的な場所にあるさらに別のワークステーション。ログインして内部ネットワークにアクセスできます。

これらの不一致の原因は何でしょうか?なぜそれはいくつかの場所からは機能するが、他の場所からは機能せず、異なるエラーで機能するのでしょうか?

前もって感謝します!

1
jos

ここで複数の問題が発生している可能性があります。 1つは実際にVPNサーバーに到達するGREトラフィックに起因する可能性があり、もう1つはおそらくIPルーティングの問題です。

PPTPの問題は、通常、カプセル化されたNATトラフィックを含むGREパケットを処理するPPPデバイスまたはファイアウォールに起因します。

通常、トラブルシューティングを行うときにVPNサーバーとクライアントでトラフィックをスニッフィングしますPPTP問題。こうすることで、GREトラフィックが実際にクライアントとサーバーの間を流れていることを確認できます。 「VPNにログインすることさえできなかった」マシンは、GRE転送またはGREパケットのNAT)に問題がある可能性があります。

「接続された」クライアントがネットワークリソースにアクセスできないという問題は、通常、ルーティングの問題です。 「接続された」クライアントのルーティングテーブルを見て、リモートLANにバインドされたパケットがどのようにルーティングされるかを確認します。通常、これは、クライアントの[詳細] TCP/IPプロパティでデフォルトの[リモートネットワークでデフォルトゲートウェイを使用する]オプションがオンになっている場合は問題になりませんが、無効にしている場合は、の後にルートを明示的に追加する必要があります。クライアントは、インターネットではなくリモートLANにトラフィックをルーティングするために接続します。 (Windows 7より前のバージョンのWindowsは、[リモートネットワークでデフォルトゲートウェイを使用する]オプションがオフになっている場合、リモートネットワークへの「クラスフル」ルートを追加します。Windows7は、その動作をオフにすることもできるWindowsの最初のバージョンです。 。)

1
Evan Anderson