VPN trong phiên Remote Desktop

13

Tôi kết nối với một máy chủ trên mạng cục bộ của mình thông qua Remote Desktop. Sau đó tôi cần tạo kết nối VPN ra internet từ trong phiên Remote Desktop đó. Tuy nhiên, điều đó ngay lập tức ngắt kết nối phiên máy tính từ xa của tôi.

Chuyện gì đang xảy ra ở đây và có cách nào tôi có thể sửa nó không?

Thông tin bổ sung:

Máy tính cục bộ số 1:

  • Bắt đầu phiên RDP đến # 2
  • Windows 7
  • 10.1.1.140/24

Máy tính cục bộ số 2:

  • Windows Vista
  • 10.1.1.132/24
  • Bắt đầu kết nối VPN với IP công cộng
  • VPN là PPTP
  • Đặt để lấy IP và DNS tự động
  • 'Sử dụng Cổng mặc định trên mạng từ xa' không được chọn
  • 'Kích hoạt LMhosts' được chọn
  • 'Kích hoạt Netbios' qua TCP / IP được chọn
  • Có khả năng đa homed (nghĩa là có 2 nic)

Bộ định tuyến ADSL đối mặt công khai:

  • Máy chủ VPN
  • nhận kết nối từ # 2 qua IP bên ngoài
  • Mạng nội bộ là 192.168.0.0/24

Tôi có thể tạo kết nối VPN từ PC mà không gặp vấn đề gì (không liên quan đến RDP).

Tom đề nghị sử dụng hai NIC trong một bình luận bên dưới. Tôi có hai NIC kép trong hộp (số 2 ở trên) nhưng tôi không chắc cách thiết lập chúng đúng cách hay cách gán VPN để sử dụng cái kia.

Tôi đã thử cài đặt thêm NIC trên cùng một mạng riêng (10.1.1.200/24), khởi động VPN và sau đó thử RDP thành một trong các NIC, 10.1.1.132 hoặc 10.1.1.200 nhưng không gặp may. Có cách nào để tôi có thể bảo VPN sử dụng một NIC khác không?

Theo yêu cầu - đây là các bảng định tuyến của tôi từ PC # 2:

Trước khi VPN được kết nối:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     20
         10.1.1.0    255.255.255.0         On-link        10.1.1.132    276
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.255  255.255.255.255         On-link        10.1.1.132    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
===========================================================================

và sau khi VPN được kết nối:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     20
         10.1.1.0    255.255.255.0         On-link        10.1.1.132    276
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.255  255.255.255.255         On-link        10.1.1.132    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
      192.168.0.0    255.255.255.0    192.168.0.254    192.168.0.234    267
    192.168.0.234  255.255.255.255         On-link     192.168.0.234    522
    remote-vpn-ip  255.255.255.255       10.1.1.254       10.1.1.132     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.234    522
===========================================================================

Tôi thậm chí đã thử nối lên giao diện thứ hai (10.1.1.232) và chơi với các tuyến mặc định:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     21
         10.1.1.0    255.255.255.0       10.1.1.254       10.1.1.232     11
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.232  255.255.255.255         On-link        10.1.1.232    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
      192.168.0.0    255.255.255.0    192.168.0.254    192.168.0.235    267
    192.168.0.235  255.255.255.255         On-link     192.168.0.235    522
    remote-vpn-ip  255.255.255.255       10.1.1.254       10.1.1.132     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
        224.0.0.0        240.0.0.0         On-link        10.1.1.232    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link        10.1.1.232    266
  255.255.255.255  255.255.255.255         On-link     192.168.0.235    522
vpn  remote-desktop 
Dân
nguồn
Vui lòng cung cấp thêm một số thông tin về thiết lập của bạn. Cụ thể, công nghệ VPN nào (IPsec, SSL VPN, ...), máy khách VPN nào và loại định tuyến nào trong mạng LAN?
sleske
Bạn có thiết lập vpn để không định tuyến tất cả lưu lượng truy cập qua vpn? nếu thiết lập của nó như vậy, nó sẽ cắt bạn.
Sirex
Tôi đã thêm thông tin. Ngoài ra - Tôi đã thử có 'Sử dụng cổng mặc định trên mạng từ xa' cả được chọn và không được chọn. Không may mắn. Cảm ơn cho đầu vào của bạn cho đến nay.
Dan
Có phải tất cả lưu lượng truy cập từ các máy chủ khác trên mạng 10.1.1.0/24 bị PC # 2 từ chối khi VPN hoạt động không? ICMP (Ping) vv?
Goyuix
Có Goyuix - điều đó đúng. Pings cho PC # 2 chỉ thành công khi VPN không hoạt động.
Dan

Câu trả lời:

10

Điều gì đang xảy ra là bạn thực sự cắt đứt tuyến IP từ máy chủ đến chính mình - do đó mất phiên RDP. Bạn có thể khắc phục bằng cách thiết lập VPN theo cách liên kết với giao diện thứ hai (vật lý hoặc ảo) để cả liên kết VPN và RDP có thể cùng tồn tại. Cách bạn thực hiện việc này phụ thuộc rất nhiều vào một loạt các cấu hình rất chi tiết mà chúng tôi không biết ngay bây giờ, vì vậy nếu bạn muốn được trợ giúp, bạn sẽ phải quay lại với chúng tôi với nhiều thông tin hơn, nhiều nhất có thể xin vui lòng.

Chopper3
nguồn
3
+1. Đó cũng là dự đoán của tôi. Tôi tự hỏi nếu một cái gì đó như LogMeIn có thể là một giải pháp dễ dàng hơn là cố gắng tìm ra cách giải quyết để phiên RDP hoạt động.
joeqwerty
Đặt một NIC thứ hai vào hộp và có máy khách VPN bắt nguồn từ một máy khách có tuyến đường mặc định được chỉ định.
SpacemanSpiff
Bạn có thể vào một cái gì đó ở đây Tom. Xem chỉnh sửa trong câu hỏi.
Dan
Điều đó sẽ xảy ra như thế nào, nếu cài đặt cổng từ xa bị vô hiệu hóa và anh ta đang kết nối qua tuyến đường cục bộ (cùng mạng con)?
Joris
5

Đây có thể là thông lệ thông thường - theo mặc định, trên hộp cửa sổ, (điều này có thể đã thay đổi), tất cả lưu lượng truy cập sẽ bị ép xuống đường hầm VPN, do đó, RDP của bạn sẽ giảm.

Tôi đề nghị, đi đến cài đặt nâng cao của VPN trên máy chủ của bạn và đảm bảo rằng nó không gửi tất cả lưu lượng truy cập qua VPN.

Ngoài ra, hãy kiểm tra xem mạng đích không sử dụng các cài đặt mạng con giống như bạn làm, nếu không, một lần nữa, bạn sẽ gặp các triệu chứng bạn mô tả.

Ông chủ IT
nguồn
Chỉ để kiểm tra, thực tế bạn đang ngồi ở máy tính địa phương số 1, phải không?
Mister IT Master
Vâng đúng rồi. Tôi đã thử cài đặt 'Sử dụng Cổng mặc định trên mạng từ xa' khi không được chọn. Không may mắn.
Dan
Ngoài ra - đó là một mạng con khác,
Dan
1

Tôi đã có vấn đề giống hệt nhau. Kiểm tra xem liệu nhà cung cấp vpn có thể thêm bạn vào một nhóm có chính sách được đặt cho 'đường hầm phân chia' hay không - điều này được thực hiện ở phía máy chủ vpn và nếu máy chủ không bật điều này, bạn sẽ không thể làm những gì bạn đang cố gắng

Thấy rằng vpn của bạn có địa chỉ 192. * khi bạn kết nối, nó sẽ phá hủy giao diện bạn đang kết nối (do đó cắt bạn ra).

Nếu đường hầm phân chia không được bật trên máy chủ VPN (liên hệ với quản trị viên máy chủ VPN về việc này!) Bạn sẽ không thể kết nối.

Tất cả điều này giả định rằng bạn đang thiết lập các kết nối vpn cục bộ của mình một cách chính xác (có vẻ như vậy).

Marm0t
nguồn
Cảm ơn - Tôi không thể thấy bất kỳ tùy chọn nào cho 'Chia đường hầm' trên máy chủ VPN. Để rõ ràng - Tôi chỉ sử dụng bộ định tuyến ADSL (Draytek) với chức năng máy chủ VPN được tích hợp. Nó có thể không có một số tùy chọn nâng cao ...
Dan
Liệu bộ định tuyến này có một daemon pptp đang chạy? Nếu có, bạn sẽ cần phải tắt nó. Nó có thể can thiệp vào các gói GRE.
Mister IT Guru
1

Tôi đã gặp vấn đề này trước đây và giải pháp là "chia đường hầm", điều này có nghĩa là, gửi Lưu lượng truy cập Internet đến cổng mặc định và lưu lượng truy cập đến mạng VPN bằng Đường hầm.

Những gì bạn phải làm là thiết lập một tuyến tĩnh đến máy của bạn trong Máy tính # 2. Và đặt mức độ ưu tiên cho tuyến đường này thành 0

Vì vậy, kết quả cuối cùng sẽ là tuyến mặc định 0,0.0.0 / 0 đến địa chỉ IP của Cổng VPN và tuyến tĩnh đến máy của bạn bằng cổng mặc định.

Trong cửa sổ những gì bạn sẽ làm là một cái gì đó như thế này:

 route add 10.1.1.140 netmask 255.255.255.255 <defaultGW> -P

trong đó defaultGW là địa chỉ IP của bộ định tuyến của bạn.

Điều này sẽ đảm bảo rằng lưu lượng truy cập đến 10.1.1.140 sẽ không được chuyển đến đường hầm.

nếu bạn có quyền truy cập vật lý vào máy tính số 2, hãy kết nối với VPN và cho chúng tôi biết bảng định tuyến của máy:

route print

một trước khi kết nối với vpn và một sau.

Xóa thông tin này, chúng tôi có thể giúp bạn thiết lập "đường hầm phân chia"

Hy vọng được giúp đỡ

Hugo Garcia
nguồn
Tôi đã thêm các bảng định tuyến cho câu hỏi trên. Cảm ơn vì đầu vào của bạn.
Dan
Khi bạn kết nối với VPN trên PC # 2, bạn vẫn có thể lướt WEB không? và nếu bạn có thể, bạn có thể kiểm tra xem bạn có đang sử dụng cùng một IP công cộng không? whatismyip.net sẽ cung cấp cho bạn địa chỉ IP bạn đang sử dụng để đi ra thế giới. Một câu hỏi khác, bạn có đang sử dụng giao diện quay số windows để kết nối với VPN hoặc một số máy khách VPN khác không?
Hugo Garcia
1

Tôi đã thấy rằng việc sử dụng địa chỉ IPv6 để kết nối không dẫn đến việc VPN phá vỡ phiên RDP.

Trong thiết lập của tôi, tôi có một máy khách và máy chủ ảo Virtual windows và VPN của tôi trên máy khách buộc TẤT CẢ lưu lượng truy cập thông qua VPN (đây là máy chủ được định cấu hình tôi không thể thay đổi điều này)

Nếu tôi kết nối từ máy chủ của mình với khách thông qua địa chỉ ipv4 (ví dụ 192.168.1.x) thì ngay khi tôi khởi tạo kết nối VPN trên máy khách, phiên RDP sẽ bị hỏng. Tuy nhiên, nếu tôi kết nối RDP thông qua tên máy chủ khách (phân giải thành địa chỉ IPv6) thì kết nối VPN không phá vỡ phiên RDP.

wal
nguồn
0

Khó có thể nói mà không có thêm thông tin, nhưng nhiều khách hàng VPN có thói quen khó chịu là (về mặt logic) kết nối máy tính chủ của họ khỏi mạng LAN trong khi thiết lập kết nối VPN. Tức là, bạn có thể được kết nối với mạng LAN hoặc VPN, nhưng không phải cả hai.

Nếu máy khách VPN của bạn thực hiện điều này, rõ ràng phiên RDP của bạn sẽ bị giết vì tác dụng phụ khiến bạn bị loại khỏi mạng LAN.

Tôi không chắc tại sao máy khách VPN thực hiện việc này, cho dù đó là biện pháp có chủ ý (bảo mật?) Hay chỉ là tác dụng phụ của việc cấu hình lại mạng, nhưng tôi thường gặp phải nó.

Kiểm tra hướng dẫn để biết chi tiết và cách khắc phục điều này.

sleske
nguồn
1
Các máy khách VPN thực hiện điều này để ngăn chặn mọi người liên kết hai mạng với nhau, (sử dụng định tuyến) và đánh cắp tất cả dữ liệu của bạn khỏi các hệ thống bị lộ của bạn, (hoặc thậm chí chỉ bị xâm nhập bằng phần mềm độc hại), một cuộc tấn công theo cách này sẽ bắt nguồn từ hệ thống thực hiện liên kết, để lại khá nhiều bằng chứng
Mister IT Guru
0

Thông thường tôi đã sử dụng các phiên RDP "lồng nhau" qua VPN mà không gặp vấn đề gì đặc biệt (ngoài việc chậm lại một chút) Lược đồ cơ bản là Client-> VPN-> RDP First Server-> Internet-> RDP Second Server. Vấn đề duy nhất bạn có thể có, tôi nghĩ, đó là máy chủ đầu tiên có thể có tường lửa chặn cuộc gọi đi của Giao thức RDP. Sử dụng VPN, bạn có thể "truy cập" mạng máy chủ nhưng đây không phải là bảo đảm mà cùng một máy chủ hoặc các máy LAN khác có thể thiết lập Phiên RDP với máy chủ LAN bên ngoài. Nếu máy chủ thứ hai của bạn nằm trong mạng LAN của máy chủ thứ nhất, vui lòng kiểm tra xem phiên RDP có thể đạt được hay không (ví dụ: có thể có tường lửa cục bộ chặn cổng RDP) và Windows cho phép sử dụng nó. Cắt ngay lập tức phiên RDP thứ hai có nghĩa là có một "vấn đề" mạng (tường lửa, auth và vv) trên tuyến đến máy chủ thứ hai để kiểm tra chính xác các cuộc gọi outbond từ máy chủ đầu tiên là bắt buộc. Theo tôi, giải pháp đơn giản hơn bạn nghĩ nếu máy chủ đầu tiên chỉ có một card mạng. Trong một thời gian dài, tôi đã hoạt động với các phiên ndp lồng nhau với các máy chủ cài đặt Windows 2000, Windows 2003 và 2008 bằng máy chủ VPN trên máy chủ Windows 2003, sau đó lồng các phiên RDP cho hai phiên bản khác, đôi khi, từ đầu tiên. Vì vậy, vui lòng kiểm tra điều kiện mạng của máy chủ đầu tiên. Windows 2003 và 2008 sử dụng máy chủ VPN trên máy chủ Windows 2003, sau đó lồng các phiên RDP cho hai phiên bản khác, đôi khi là toghter, từ phiên bản đầu tiên. Vì vậy, vui lòng kiểm tra điều kiện mạng của máy chủ đầu tiên. Windows 2003 và 2008 sử dụng máy chủ VPN trên máy chủ Windows 2003, sau đó lồng các phiên RDP cho hai phiên bản khác, đôi khi là toghter, từ phiên bản đầu tiên. Vì vậy, vui lòng kiểm tra điều kiện mạng của máy chủ đầu tiên.

0

Bạn đã đề cập rằng "Sử dụng cổng mặc định" không được chọn - điều này nếu chấp nhận được (không yêu cầu định tuyến ngoài mạng con 192.168.0.0/24) sẽ giải quyết được vấn đề của bạn.

Những gì bạn còn lại với âm thanh như có khả năng tường lửa cản trở? Bạn có thể tắt hoàn toàn Tường lửa Windows (hoặc bất kỳ sản phẩm nào bạn đang sử dụng) và xác minh triệu chứng vẫn tồn tại không?

Bạn có thể kết nối lại phiên bị hủy sau khi liên kết VPN được thiết lập và vẫn hoạt động không?

Goyuix
nguồn
Tôi đã thử tắt tất cả các tường lửa và tôi không thể kết nối lại RDP trong khi VPN đang hoạt động.
Dan
0

Chỉnh sửa : Tôi đã bỏ lỡ câu trả lời của sleskes giải thích tương tự.

Có lẽ một số sản phẩm bảo mật được cài đặt (tường lửa, "bảo mật internet", chống vi-rút, ...) phát hiện kết nối PPTP và có cùng chức năng?

Lưu ý rằng một số sản phẩm này có các tùy chọn được chôn sâu trong GUI phía sau các hộp kiểm không có dấu vết.

Joris
nguồn
0

Có khả năng máy khách VPN được định cấu hình để định tuyến TẤT CẢ lưu lượng truy cập xuống đường hầm, không chỉ lưu lượng truy cập đến các mạng mà VPN định tuyến. Điều này làm giảm mọi kết nối hiện đang mở và thay đổi hành vi định tuyến trên máy chủ, do đó kết nối của bạn bị hủy.

tomstephens89
nguồn
0

Điều này không giải quyết được vấn đề cụ thể được đề cập nhưng đây là điều tôi đã sử dụng để giải quyết cùng loại vấn đề trong việc hỗ trợ nhiều khách hàng sử dụng nhiều khách hàng vpn không tương thích và một số tạo ra kết nối vpn đường hầm kín. Tôi có một máy chủ vmware lưu trữ một số máy ảo và sử dụng máy khách vSphere để kết nối với phiên windows và tôi có thể mở kết nối vpn đường hầm kín và không mất quyền truy cập vào phiên windows.

Jeff Haskett
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.