Tôi muốn định cấu hình Windows Server 2012 và các máy khách VPN Windows 7 và Windows 8 của nó, với SSTP VPN sử dụng đường hầm phân chia và địa chỉ mạng con, nhưng tôi gặp phải một vấn đề: máy chủ RRAS sẽ không gửi gói đến VPN khách hàng từ bất kỳ máy nào khác ngoài chính nó.
Máy chủ VPN của tôi đang chạy trên "Đám mây riêng ảo" của Amazon, do đó, nó chỉ có một NIC có địa chỉ IP trên mạng riêng, RFC1918 được chia sẻ với tất cả các máy chủ Amazon VPC khác của tôi và IP công cộng chuyển tiếp tất cả lưu lượng truy cập đến địa chỉ riêng đó thông qua NAT (Amazon gọi đây là "IP đàn hồi").
Tôi đã cài đặt RRAS và thiết lập VPN. Mạng con riêng tư trên Amazon là 172.16.0.0/17 (đây là cái mà tôi gọi là "Amazon LAN"), nhưng tôi muốn tất cả các máy khách VPN sử dụng phạm vi 10.128.0.0/20 (cái mà tôi gọi là " VPN LAN ").
Trong bảng điều khiển Amazon của tôi, tôi đã thực hiện như sau:
- Vô hiệu hóa kiểm tra nguồn / đích cho máy chủ VPN
- Đã thêm một mục vào bảng tuyến đường cho nhóm 10.128.0.0/20 trỏ đến giao diện mạng của máy chủ VPN.
Bên trong MMC định tuyến và truy cập từ xa, bên trong menu thuộc tính cho tên máy chủ, tôi đã thực hiện như sau:
- Tab Chung -> Bộ định tuyến IPv4 (đã chọn), được bật cho LAN và định tuyến quay số theo yêu cầu
- Tab Chung -> Máy chủ truy cập từ xa IPv4 (đã chọn)
- Tab IPv4 -> Kích hoạt chuyển tiếp IPv4 (đã chọn)
- Tab IPv4 -> Nhóm địa chỉ tĩnh và chỉ định 10.128.0.1-10.128.15.154
Trên máy khách của tôi và tất cả các máy chủ của tôi, tôi đã đảm bảo rằng ICMP được cho phép rõ ràng trong tường lửa hoặc tường lửa bị vô hiệu hóa hoàn toàn (tất nhiên không phải là gói cố định).
Trên máy khách, để bật tính năng chia đường hầm, tôi đã truy cập các thuộc tính cho kết nối VPN -> Mạng -> IPv4 -> Propeties -> Nâng cao -> tab Cài đặt IP và bỏ chọn "Sử dụng cổng mặc định trên mạng từ xa" và đã chọn "Vô hiệu hóa bổ sung tuyến đường dựa trên lớp".
Tại thời điểm này, khách hàng của tôi có thể kết nối bằng ứng dụng khách Windows 7/8 VPN. Họ được chỉ định một IP từ nhóm 10.128.0.0/20, nhưng vì họ không tự động đặt bất kỳ tuyến nào, nên họ không thể nói chuyện với mạng từ xa. Tôi có thể đặt các tuyến đến mạng từ xa và tới mạng VPN, như thế này (trên máy khách):
route add 172.16.0.0/17 <VPN IP ADDRESS>
route add 10.128.0.0/20 <VPN IP ADDRESS>
Bây giờ khách hàng có thể ping địa chỉ VPN LAN của máy chủ VPN (10.128.0.1) và cả địa chỉ Amazon LAN của nó (172.16.1.32). Tuy nhiên, nó gặp phải một vấn đề khi cố gắng nói chuyện với các máy khác trên Amazon LAN: ping không nhận được trả lời.
Vì vậy, ví dụ, nếu máy khách cố gắng ping một hệ thống mà tôi biết là đã hoạt động và phản hồi lại các lệnh ping như 172.16.0.113, thì nó sẽ không thấy các phản hồi đó (nó nói "Yêu cầu đã hết thời gian"). Wireshark trên máy chủ VPN xác nhận rằng nó nhìn thấy ping từ máy khách và thậm chí nó còn thấy một câu trả lời được gửi từ 172.16.0.113, nhưng câu trả lời đó dường như không bao giờ trả lại cho máy khách.
Hơn nữa, nếu tôi ping địa chỉ VPN LAN của máy khách từ 172.16.0.113, Wireshark trên máy chủ VPN sẽ thấy ping, nhưng không thấy phản hồi.
Vì vậy, để tóm tắt lại:
- Máy chủ VPN có thể ping các máy khác trên Amazon LAN (172.16.0.0/17) và nhận trả lời, và các máy khác trên mạng đó có thể làm tương tự với nó.
- Máy khách VPN có thể ping địa chỉ Amazon LAN của máy chủ và nhận trả lời, sau khi máy khách thêm tuyến thích hợp như được mô tả trước đây.
- Máy khách VPN có thể ping địa chỉ VPN LAN của máy chủ 10.128.0.1 và máy chủ VPN có thể ping địa chỉ VPN LAN của máy khách trong phạm vi 10.128.0.0/20, sau khi máy khách thêm tuyến đường thích hợp như được mô tả trước đây.
- Máy khách VPN có thể gửi ping đến một máy trên Amazon LAN, nhưng khi các máy đó gửi trả lời, chúng dừng lại ở máy chủ VPN - chúng không được chuyển tiếp đến máy khách, dẫn đến thông báo "Yêu cầu hết thời gian" trên máy khách . Ngược lại, khi một máy trên Amazon LAN cố gắng ping địa chỉ VPN LAN 10.128.0.0/20 của máy khách, máy chủ VPN sẽ nhìn thấy ping, nhưng máy khách không bao giờ thực hiện và do đó không tạo ra phản hồi.
Tại sao máy chủ VPN không gửi các gói dữ liệu từ Amazon LAN xuống máy khách của nó trên VPN LAN? Nó chắc chắn có thể nói chuyện với các máy khách trên VPN LAN và định tuyến được bật và nó sẵn sàng định tuyến các gói từ VPN LAN -> Amazon LAN, nhưng không phải ngược lại. Tôi đang thiếu gì ở đây?
Tuyến đường
Dưới đây là các bảng định tuyến từ máy khách VPN. Máy khách là VirtualBox VM chạy Windows 8. Địa chỉ IP của bộ điều hợp vbox là 10.0.2.15 trên a / 24. Ứng dụng khách này đứng sau NAT (thực ra, nó đứng sau NAT kép, vì bộ điều hợp vbox là NAT cho mạng cục bộ của tôi, là NAT'd với Internet). Bảng tuyến này là từ sau khi thêm thủ công các tuyến vào 10.128.0.0/20 và 172.16.0.0/17.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.2.2 10.0.2.15 10
10.0.2.0 255.255.255.0 On-link 10.0.2.15 266
10.0.2.15 255.255.255.255 On-link 10.0.2.15 266
10.0.2.255 255.255.255.255 On-link 10.0.2.15 266
10.128.0.0 255.255.240.0 On-link 10.128.0.3 15
10.128.0.3 255.255.255.255 On-link 10.128.0.3 266
10.128.15.255 255.255.255.255 On-link 10.128.0.3 266
54.213.67.179 255.255.255.255 10.0.2.2 10.0.2.15 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.128.0 On-link 10.128.0.3 15
172.16.127.255 255.255.255.255 On-link 10.128.0.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.2.15 266
224.0.0.0 240.0.0.0 On-link 10.128.0.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.2.15 266
255.255.255.255 255.255.255.255 On-link 10.128.0.3 266
===========================================================================
Persistent Routes:
None
Dưới đây là các bảng định tuyến từ máy chủ RRAS, đang chạy Windows Server 2012. Máy chủ này cũng đứng sau NAT, như đã thảo luận ở trên. Nó chỉ có một NIC. Địa chỉ IP riêng của nó là 172.16.1.32, trên a / 23 (đó là một phần của mạng lớn hơn / 17; tôi tin rằng thật công bằng khi bỏ qua các phần của / 17 bên ngoài / 23, vì các máy khác trên / 23 khách hàng VPN không thể tiếp cận hoặc tiếp cận được).
Bộ điều hợp ảo VPN có địa chỉ riêng, 10.128.0.1, được gán tự động khi khách hàng kết nối lần đầu tiên. Các tuyến đường cho 10.128.0.1 (chính nó) và 10.128.0.2 (đến máy khách duy nhất của nó) mà bạn thấy cũng được thêm tự động tại thời điểm đó. Không có tuyến đường nào được thêm vào máy chủ VPN theo cách thủ công.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.32 10
10.128.0.1 255.255.255.255 On-link 10.128.0.1 286
10.128.0.2 255.255.255.255 10.128.0.2 10.128.0.1 31
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.32 10
172.16.0.0 255.255.254.0 On-link 172.16.1.32 11
172.16.1.32 255.255.255.255 On-link 172.16.1.32 266
172.16.1.255 255.255.255.255 On-link 172.16.1.32 266
172.16.2.0 255.255.254.0 172.168.0.1 172.16.1.32 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.32 266
224.0.0.0 240.0.0.0 On-link 10.128.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.32 266
255.255.255.255 255.255.255.255 On-link 10.128.0.1 286
===========================================================================
Persistent Routes:
None
Dưới đây là các bảng định tuyến cho một máy khác trên mạng riêng của máy chủ, cũng đang chạy Server 2012. Nó có một NIC, có địa chỉ IP riêng là 172.16.1.177 - có nghĩa là trên cùng / 23 máy chủ VPN. (Lưu ý rằng tuyến đến 10.128.0.0/20 được đặt trên cổng do Amazon kiểm soát, vì vậy bạn sẽ không thấy tuyến đường này ở đây. Tôi đã thêm tuyến chính xác tới Amazon, bằng chứng là Wireshark trên Máy chủ VPN nhìn thấy các gói.)
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.177 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.177 10
172.16.0.0 255.255.254.0 On-link 172.16.1.177 266
172.16.1.177 255.255.255.255 On-link 172.16.1.177 266
172.16.1.255 255.255.255.255 On-link 172.16.1.177 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.177 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.177 266
===========================================================================
Persistent Routes:
None
Dưới đây là các tuyến đường trong bảng điều khiển Amazon. Tôi nghĩ điều này là chính xác - lưu lượng truy cập đang quay trở lại máy chủ VPN, sau tất cả, chỉ biến mất bên trong nó - nhưng trong trường hợp ai đó muốn nhìn thấy chúng, thì chúng ở đây. (Amazon thực hiện những điều hơi kỳ lạ. eni-2f3e8244 / i-77e26440Đề cập đến NIC trên máy chủ VPN và igw-d4bc27bcđề cập đến Internet NAT / gateway do Amazon kiểm soát mà tất cả các phiên bản của tôi sử dụng để nói chuyện với Internet.)
10.128.0.0/20 eni-2f3e8244 / i-77e26440
172.16.0.0/17 local
0.0.0.0/0 igw-d4bc27bc
route printvà tracertđầu ra - và tôi đã thực hiện một chỉnh sửa quan trọng đối với một số thông tin tôi đã thêm trước đó. (Cảm ơn vì sự giúp đỡ của bạn!)