Windows VPNサーバーはVPNクライアントと通信できますが、ローカルネットワークからVPNクライアントにパケットを送信しません
Windows Server 2012とそのWindows 7およびWindows 8 VPNクライアントを、スプリットトンネリングとオフサブネットアドレス指定を使用するSSTP VPNで構成したいのですが、問題が発生しています。RRASサーバーがパケットをVPNに送信しません自分以外のマシンのクライアント。
私のVPNサーバーはAmazonの「仮想プライベートクラウド」で実行されているため、NICが他のすべてのAmazon VPCサーバーと共有するプライベートなRFC1918ネットワーク上のIPアドレスとパブリックNAT(Amazonはこれを「Elastic IP」と呼びます)を介してすべてのトラフィックをプライベートアドレスに転送するIP。
RRASをインストールしてVPNを設定しました。 Amazonのプライベートサブネットは172.16.0.0/17(これは「Amazon LAN」と呼んでいるものです)ですが、すべてのVPNクライアントが10.128.0.0/20(「 VPN LAN」)。
私のAmazonコントロールパネルでは、次のことを行いました。
- VPNサーバーの送信元/送信先チェックを無効にしました
- VPNサーバーのネットワークインターフェイスをポイントする10.128.0.0/20プールのルートテーブルにエントリを追加しました。
ルーティングとリモートアクセスMMC内、サーバー名のプロパティメニュー内で、次の操作を行いました。
- [全般]タブ-> IPv4ルーター(オン)、LANおよびデマンドダイヤルルーティングに対応
- [全般]タブ-> [IPv4リモートアクセスサーバー](オン)
- IPv4タブ-> IPv4転送を有効にする(チェックあり)
- IPv4タブ->静的アドレスプール、および10.128.0.1-10.128.15.154を指定
クライアントとすべてのサーバーで、ファイアウォールでICMPが明示的に許可されていること、またはファイアウォールが完全に無効になっていることを確認しました(もちろん、恒久的な計画ではありません)。
クライアントで、スプリットトンネリングを有効にするために、VPN接続のプロパティに移動し、[ネットワーク]-> [IPv4]-> [プロパティ]-> [詳細設定]-> [IP設定]タブをオフにし、[リモートネットワークでデフォルトゲートウェイを使用する]チェックボックスをオフにしました。 「クラスベースのルート追加を無効にする」にチェックを入れた。
この時点で、クライアントはWindows 7/8 VPNクライアントを使用して接続できます。 10.128.0.0/20プールからIPが割り当てられますが、ルートを自動的に設定しないため、リモートネットワークと通信できません。リモートネットワークとVPNネットワークへのルートを次のように設定できます(クライアント上):
route add 172.16.0.0/17 <VPN IP ADDRESS>
route add 10.128.0.0/20 <VPN IP ADDRESS>
これで、クライアントはVPNサーバーのVPN LANアドレス(10.128.0.1)と、そのAmazon LANアドレス(172.16.1.32)にpingできるようになります。ただし、Amazon LAN上の他のマシンと通信しようとすると、問題が発生します。pingは応答を受け取りません。
したがって、たとえば、クライアントが稼働していることがわかっているシステムにpingを実行しようとして、172.16.0.113のようなpingに応答した場合、それらの応答は表示されません(「要求がタイムアウトしました」と表示されます)。 VPNサーバーのWiresharkは、クライアントからのpingを確認し、172.16.0.113から送信された応答も確認しますが、その応答がクライアントに返されることはないようです。
さらに、クライアントのVPN LANアドレスに172.16.0.113からpingを実行すると、VPNサーバーのWiresharkにはpingが表示されますが、応答は表示されません。
要約すると、
- VPNサーバーはAmazon LAN(172.16.0.0/17)上の他のマシンにpingを送信して応答を受信でき、そのネットワーク上の他のマシンは同じようにそれを実行できます。
- VPNクライアントは、前述のようにクライアントが適切なルートを追加した後、サーバーのAmazon LANアドレスにpingを送信して応答を受信できます。
- VPNクライアントは、サーバーのVPN LANアドレス10.128.0.1にpingを送信でき、VPNサーバーは、クライアントが前述のように適切なルートをルートに追加した後、10.128.0.0/20範囲のクライアントのVPN LANアドレスにpingを送信できます。
- VPNクライアントはAmazon LAN上のマシンにpingを送信できますが、それらのマシンが応答を送信すると、VPNサーバーで停止します-クライアントに転送されないため、クライアントに「リクエストがタイムアウトしました」というメッセージが表示されます。逆に、Amazon LAN上のマシンがクライアントの10.128.0.0/20 VPN LANアドレスをpingしようとすると、VPNサーバーはpingを認識しますが、クライアントはpingを実行しないため、応答を生成しません。
VPNサーバーがAmazon LANからVPN LAN上のクライアントにパケットを送信しないのはなぜですか? VPN LAN上のクライアントと確実に通信でき、ルーティングが有効になっています。VPNLAN-> Amazon LANからパケットをルーティングすることはできますが、その逆はできません。ここで何が欠けていますか?
ルート
VPNクライアントからのルーティングテーブルを次に示します。クライアントはVirtualBoxですVM Windows 8を実行しています。そのvboxアダプターのIPアドレスは/ 24で10.0.2.15です。このクライアントはNAT(実際には、 vboxアダプターはローカルネットワークにNAT変換されているため、二重NATの背後にあります。このルートテーブルはafterからのもので、手動でルートを10.128.0.0に追加しています/ 20および172.16.0.0/17。
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.2.2 10.0.2.15 10
10.0.2.0 255.255.255.0 On-link 10.0.2.15 266
10.0.2.15 255.255.255.255 On-link 10.0.2.15 266
10.0.2.255 255.255.255.255 On-link 10.0.2.15 266
10.128.0.0 255.255.240.0 On-link 10.128.0.3 15
10.128.0.3 255.255.255.255 On-link 10.128.0.3 266
10.128.15.255 255.255.255.255 On-link 10.128.0.3 266
54.213.67.179 255.255.255.255 10.0.2.2 10.0.2.15 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.128.0 On-link 10.128.0.3 15
172.16.127.255 255.255.255.255 On-link 10.128.0.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.2.15 266
224.0.0.0 240.0.0.0 On-link 10.128.0.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.2.15 266
255.255.255.255 255.255.255.255 On-link 10.128.0.3 266
===========================================================================
Persistent Routes:
None
次に、Windows Server 2012を実行しているRRASサーバーからのルーティングテーブルを示します。このサーバーも、上記のようにNATの背後にあります。 NICは1つだけです。/23上のプライベートIPアドレスは172.16.1.32です(それ自体が/ 17ネットワークの一部です。/23の外側にある/ 17の部分は無視するのが妥当だと思います。 VPNクライアントから到達できない、または到達できない)。
VPN仮想アダプターには独自のアドレス10.128.0.1があり、クライアントが初めて接続したときに自動的に割り当てられます。表示される10.128.0.1(それ自体への)および10.128.0.2(その唯一のクライアントへの)のルートも、そのときに自動的に追加されます。ルートはVPNサーバーに手動で追加されません。
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.32 10
10.128.0.1 255.255.255.255 On-link 10.128.0.1 286
10.128.0.2 255.255.255.255 10.128.0.2 10.128.0.1 31
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.32 10
172.16.0.0 255.255.254.0 On-link 172.16.1.32 11
172.16.1.32 255.255.255.255 On-link 172.16.1.32 266
172.16.1.255 255.255.255.255 On-link 172.16.1.32 266
172.16.2.0 255.255.254.0 172.168.0.1 172.16.1.32 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.32 266
224.0.0.0 240.0.0.0 On-link 10.128.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.32 266
255.255.255.255 255.255.255.255 On-link 10.128.0.1 286
===========================================================================
Persistent Routes:
None
これもサーバー2012を実行しているサーバーのプライベートネットワーク上の別のマシンのルーティングテーブルです。これにはNICが1つあり、プライベートIPアドレスは172.16.1.177です。つまり、VPNサーバーと同じ/ 23にあります。 (10.128.0.0/20へのルートは、Amazonによって制御されるゲートウェイで設定されるため、ここには表示されないことに注意してください。Amazonへの正しいルートを追加しました。これは、WiresharkがVPNサーバーはパケットを参照します。)
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.177 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.177 10
172.16.0.0 255.255.254.0 On-link 172.16.1.177 266
172.16.1.177 255.255.255.255 On-link 172.16.1.177 266
172.16.1.255 255.255.255.255 On-link 172.16.1.177 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.177 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.177 266
===========================================================================
Persistent Routes:
None
Amazonコンソールのルートは次のとおりです。私はこれらが正しいと思います-トラフィックis結局のところ、VPNサーバーに戻されるだけです-しかし、誰かがそれらを見たい場合は、ここにあります。 (Amazonは少し奇妙なことをします。eni-2f3e8244 / i-77e26440は、NIC、およびigw-d4bc27bcは、すべてのインスタンスがインターネットとの通信に使用する、Amazonが制御するインターネットNAT /ゲートウェイを指します。)
10.128.0.0/20 eni-2f3e8244 / i-77e26440
172.16.0.0/17 local
0.0.0.0/0 igw-d4bc27bc
サーバーに静的ルートを追加して、10.128.0.0/20に到達するにはVPNのサーバーLANアドレスを経由する必要があることをサーバーに通知するとどうなるでしょうか。
route add 10.128.0.0 mask 255.255.240.0 a.b.c.d
A.b.c.dをVPNサーバーのLANアドレスに置き換えます。
これは、少なくとも、Amazonのルーティングに関する問題を除外します。