web-dev-qa-db-ja.com

Window Server 2008R2およびRRASを使用したハブアンドスポークVPN

単純なVPNハブアンドスポークトポグラフィを作成しようとしています。私はかなり長い道のりを歩むことができました。次の図が、これまでに構築できたものを説明していることを願っています。

VPN topography

ご覧のとおり、ハブはRRASを実行しているWindows Server 2008R2ボックスです。スポークは、背後のLAN上に多数のPC(または他のデバイス)を備えたDreytekルーターか、サーバーに直接ダイヤルインするPCのいずれかです。スポークのLANデバイスが他のスポークのデバイスと通信できないという事実を除いて、これはすべて期待どおりに機能します。たとえば、ダイヤルインPC(192.168.1.11)は192.168.3.1または192.168.10.1と通信できません。

私が試し、取り組んだこと:

  • すべてのLANデバイスは任意のVPNアドレスにpingを実行できます(たとえば、直接ダイヤルインPCは10.0.0.1、10.0.0.4、および10.0.0.5にpingを実行できます)。
  • DraytekルーターでSyslogを有効にしましたが、ルーターの10.0.0.xアドレスにpingを実行すると、ファイアウォールを通過するICMPトラフィックを確認できます(たとえば、直接ダイヤルインPCから10.0.0.5にpingを実行すると、次のことができます。 pingを許可するファイアウォールを参照してください)。
  • Dreytekルーターに静的ルートを追加しました(たとえば、10.0.0.5ルーターでは、10.0.0.1を介した192.168.1.0/24および192.168.3.0/24ルーティングのルートを追加しました)。
  • 10.0.0.4経由で192.168.3.0/24および10.0.0.5経由で192.168.10.0/24のダイレクトダイヤルインPCに静的ルートを追加しました
  • スポークの最後にある各LANのサーバーに静的ルートを追加しました(たとえば、10.0.0.2経由でルーティングするために192.168.1.0/24のルートを追加し、10.0.0.5経由で192.168.10.0/24のルートを追加しました)。 VPN接続が切断されて再接続された場合に再確立するように、これらのルートを永続化するのに問題があります。

動作しないもの:

  • サーバーはLANPCにpingを実行できません(たとえば、192.168.10.1または.2などにpingを実行できません)。ルータのSyslogはICMPトラフィックを認識しません。
  • クライアントPCはリモートPCにpingを実行できません(たとえば、192.168.10.x PCは192.168.3.x PCまたは192.168.1.11のダイヤルインクライアントにpingを実行できません)。

tracertまたはpathpingを使用すると、トラフィックがサーバーを経由しようとしているように見えますが、そこに到達することはありません。例えば:

C:\Users\Administrator>pathping -n 192.168.10.2

Tracing route to 192.168.10.2 over a maximum of 30 Hops

  0  10.0.0.1
  1  10.0.0.5
  2     *        *        *

私は次に何をすべきかについて本当に途方に暮れています。これを機能させることは可能であるに違いありません...私はこのトピックに関する非常に多くの記事を見つけましたが、この特定の問題に対処するものは何もないようです。だから私は私の2つの主な質問は次のとおりだと思います:

  • リモートLANPCが相互に通信できるようにするために何が欠けていますか?
  • VPNクライアントを介してLANへのルートを永続化するには何をする必要がありますか?
  • 静的ルートを完全に回避し、動的ルートを使用できますか? RIPを使用してみましたが、RIPマルチキャストがVPN経由で着信し(Wiresharkを使用してこれを確認しました)、「内部インターフェイス」でRIPを作成できません。

私が持っていた1つのアイデア...問題はIPv6と関係があるのでしょうか?実験中、Microsoft Fixit 50409を使用して無効にしようとしました。これを行った後、ルーターもダイヤルインW7クライアントも、再度有効にするまでVPN接続を確立できませんでした...すべてのトラフィックはIPv4になりますが、おそらく私は間違っていますか?

どうもありがとう!

編集:ステファンのコメントに応えて、ここにネットワーク内のさまざまなコンポーネントのルーティングテーブルがあります...

サーバー:

C:\Users\Administrator>route print -4
===========================================================================
Interface List
 18...........................RAS (Dial In) Interface
 11...00 15 5d 2f 4d 2d ......Microsoft Virtual Machine Bus Network Adapter
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     109.228.20.1   109.228.20.174      6
         10.0.0.1  255.255.255.255         On-link          10.0.0.1    276
         10.0.0.2  255.255.255.255         10.0.0.2         10.0.0.1     21
         10.0.0.4  255.255.255.255         10.0.0.4         10.0.0.1     21
         10.0.0.5  255.255.255.255         10.0.0.5         10.0.0.1     21
     109.228.20.0    255.255.252.0         On-link    109.228.20.174    261
   109.228.20.174  255.255.255.255         On-link    109.228.20.174    261
   109.228.23.255  255.255.255.255         On-link    109.228.20.174    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.1.11  255.255.255.255         10.0.0.2         10.0.0.1     21
      192.168.3.0    255.255.255.0         10.0.0.4         10.0.0.1     21
     192.168.10.0    255.255.255.0         10.0.0.5         10.0.0.1     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    109.228.20.174    261
        224.0.0.0        240.0.0.0         On-link          10.0.0.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    109.228.20.174    261
  255.255.255.255  255.255.255.255         On-link          10.0.0.1    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0     109.228.20.1       1
===========================================================================

注:私が抱えている問題の1つは、192.168.1.11、192.168.3.0/24、および192.168.10.0のルートを手動で追加する必要があることです。 VPNクライアントが接続するたびに24。私はこれらのルートを維持できなければならないので、これは明らかに深刻な問題ですが、おそらくそれは不可能ですか?

Windows 7クライアント:

C:\Windows\system32>route print -4
===========================================================================
Interface List
 26...........................CodeArt Consulting VPN
 17...90 b1 1c 67 94 d4 ......Realtek PCIe GBE Family Controller
 13...68 94 23 36 83 ba ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.11     10
         10.0.0.0        255.0.0.0         10.0.0.1         10.0.0.2     11
         10.0.0.2  255.255.255.255         On-link          10.0.0.2    266
   109.228.20.174  255.255.255.255      192.168.1.1     192.168.1.11     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.11    266
     192.168.1.11  255.255.255.255         On-link      192.168.1.11    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.11    266
      192.168.3.0    255.255.255.0         10.0.0.1         10.0.0.2     11
     192.168.10.0    255.255.255.0         10.0.0.1         10.0.0.2     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.11    266
        224.0.0.0        240.0.0.0         On-link          10.0.0.2    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.11    266
  255.255.255.255  255.255.255.255         On-link          10.0.0.2    266
===========================================================================
Persistent Routes:
  None

注:ルーターを192.168.3.0/24および192.168.10.0/24に手動で追加しました。

ルーター10.0.0.5/192.168.10.0/24:

Key: C - connected, S - static, R - RIP, * - default, ~ - private
*            0.0.0.0/ 0.0.0.0          via 188.30.37.17      WAN2
C           10.0.0.1/ 255.255.255.255  directly connected   VPN-1
S           10.0.0.0/ 255.255.255.0    via 10.0.0.1         VPN-1
C~      192.168.10.0/ 255.255.255.0    directly connected    LAN 
S        192.168.1.0/ 255.255.255.0    via 10.0.0.1         VPN-1
S        192.168.3.0/ 255.255.255.0    via 10.0.0.1         VPN-1
S       188.30.37.17/ 255.255.255.255  via 188.30.37.17      WAN2

注:192.168.1.0/24および192.168.3.0/24への静的ルートがルーターに追加され、期待どおりに保持されます。

私の知る限り、すべてのルートは正しく配置されていますが、もちろん、間違いがあるか、何かが足りない可能性があります...

windows-server-2008-r2vpnrras
3
Ben Abbott

私はこの問題を解決することができました。

問題は、VPN接続にNATを使用するようにルーターを構成したことでした。すべてのルーティング情報が正しいため、ルーターを完全にルーティングに変更すると問題が修正されました。LAN上のデバイスはこれで、各スポークは相互に通信できます。

乾杯、

ベン

0
Ben Abbott