私は中規模の製造会社でシステム管理者として2週間働いており、リモートアクセスを多用する経営幹部や営業スタッフがいます。到着したほぼ日から、VPNのパフォーマンスの問題について不満を言うようになりました。セットアップは次のとおりです。ゲートウェイは、PPTPおよびGREトラフィックをCOMPANY-VPN01と呼ぶ内部サーバーに転送するDNATルールで構成されたAstaroアプライアンスです。COMPANY-VPN01はWindowsサーバーです2003ボックスはRRASで構成されています。クライアントコンピューター(ほとんどはXPですが、一部のVistaおよび7)には、パブリックIPに解決されるvpn.company.comを指すように設定されたWindows PPTP VPN接続があります) Astaroボックスの外部インターフェイスの.
本当に奇妙な部分は次のとおりです。すべてユーザーがVPN接続に接続するたびに、機能しているように見えます。クライアントマシンでは、VPN接続は「接続済み」と表示され(そしてそれらのipconfigはPPPアダプター)を表示します)、COMPANY-VPN01での接続は次のように表示されます。上手)。ただし、半分以上の時間、これらの接続は適切ではありません-ユーザーはアクセスできませんany内部リソース。私はこれを自分で経験したので、明らかなことのいくつかをテストしました-NetBIOS名の代わりに内部リソースのFQDNを使用してみました、IPアドレスを使用してみました、名前とIPアドレスで内部リソースにpingを試しました。 なし通過します。しかし、VPN接続を数回切断して再接続すると、最終的には完璧に機能する-そして問題なく機能し続ける接続が得られます。どれだけ接続したままにしても。したがって、問題が何であれ、それはa)断続的であり、b)VPN接続がセットアップされているときに発生します-「良好な」接続が得られた場合、それは良好なままであるためです。
ここで何が起こっているのか、またはトラブルシューティングする可能性のあることについての提案はありますか?
私が実際に問題を解決したとき、私はこれを永遠に答えないままにしておくべきではないと思います。
採用されたとき、LANが「範囲外」だと言われました。ネットワークには24ビットのサブネットマスクがあり、クライアントのアドレス指定にDHCPを使用しています。 DHCPサーバーは、アドレスを配布する前にDNSをチェックするように設定されていませんでした。 DNSは古いレコードを清掃するように設定されていませんでした。 RRASはDHCPからVPNクライアントのアドレスを取得するように設定されており、デフォルトでは10個のブロックを取得します。したがって、10個のブロックを取得してクライアントに配布し始めますが、アドレススペースが不足したため、一部は「良好」でした。 "そしていくつかはすでにDNSの他のクライアントに登録されています。サブネットマスクを22ビットに短縮し、問題は解決しました。
ここでの問題はアプライアンスの問題だと思います。
ファームウェアのアップグレードを試してください。この問題についてはAstaroにお問い合わせください。
DNATルールの代わりにCOMPANY-VPN01サーバーにDMZを試してください。
または、インターネットをVPNサーバーの2番目のNICに直接接続し、RRAS Basic Firewall + NATを使用して、新しいデフォルトゲートウェイがそのサーバーになるようにDHCPを変更してみてください。
または..単純なバッチスクリプトまたは非常に単純なc#アプリをコーディングして、x回後にpingが失敗した場合に、vpnエンドポイントに自動的にリダイヤルし、すべてのラップトップ(.msi?)にコピーを送信できます。
提案は次のとおりです。別のRRASサーバーをセットアップし、着信VPN接続をこの新しいサーバーに転送します。問題が解決しない場合は、サーバーを問題として除外し、アップストリームデバイス(おそらくAstaroアプライアンス)に焦点を当てることができます。
PPTPパススルー サポートされていないか、アウトバウンドルーターで正しく機能していない可能性があります。また、 複数のVPN接続–それが不可能な理由 を読むこともできます。これは、これが発生する理由とその回避方法を説明しています。良い読み物です!