Eu consigo conectar, mas não consigo pingar / rotear para computadores VPN remotos

Question

Eu consigo conectar, mas não consigo pingar / rotear para computadores VPN remotos

#1 resposta do (3 votos)
#2 resposta do (2 votos)

3

Configuração:

Servidor VPN L2TP em uma máquina Windows Server 2008 que está atrás de um roteador, que está atrás de um modem / roteador.

Modem / Router (IP: 192.168.2.1, Sub-rede: 255.255.255.0, DHCP serve 192.168.2.2 ao roteador)
---- | _ Roteador (IP: 192.168.2.2, Sub-rede: 255.255.255.0, Sub LAN IP: 192.168.0.1, Sub-rede Sub-rede: 255.255.255.128, DHCP serve 192.168.0. * Para computadores)
------------ | _ Windows Server 2008 (IP: 192.168.0.3, Sub-rede: 255.255.255.128, atende ao endereço IP da VPN do pool ... 192.168.0.130 - 192.168.0.140)

O roteador define o WS2008 como o DNS primário, o WS2008 encaminha as consultas de volta ao roteador por falhas. Consulte este post para esclarecimentos.

Eu posso me conectar à VPN bem, isso é o resultado do ipconfig:

PPP adapter Work VPN:

   Connection-specific DNS Suffix  . : ss
   Description . . . . . . . . . . . : Work VPN
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.0.130(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : 192.168.0.3
                                       192.168.0.1
   NetBIOS over Tcpip. . . . . . . . : Enabled

O mais estranho é o que acontece quando olho para o gateway da conexão vpn. Está definido para 192.168.0.129. Eu sou novo em roteamento, então não sei o que é bom / ruim ao observar os resultados de route print . Eu coloquei XXX.XXX.XXX.XXX no lugar do meu IP público.

===========================================================================
Interface List
 24...........................Work VPN
 16...00 02 76 09 4b b7 ......Bluetooth Device (Personal Area Network)
 14...f4 6d 04 d2 59 74 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
 10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 11...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  XXX.XXX.XXX.XXX  255.255.255.255      192.168.1.1      192.168.1.2     11
      192.168.0.0    255.255.255.0    192.168.0.129    192.168.0.130     11
    192.168.0.130  255.255.255.255         On-link     192.168.0.130    266
      192.168.1.0    255.255.255.0         On-link       192.168.1.2    266
      192.168.1.2  255.255.255.255         On-link       192.168.1.2    266
    192.168.1.255  255.255.255.255         On-link       192.168.1.2    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.1.2    266
        224.0.0.0        240.0.0.0         On-link     192.168.0.130    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.1.2    266
  255.255.255.255  255.255.255.255         On-link     192.168.0.130    266
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 11     58 ::/0                     On-link
  1    306 ::1/128                  On-link
 11     58 2001::/32                On-link
 11    306 2001:0:9d38:6ab8:880:caa:e7c6:9416/128
                                    On-link
 14    266 fe80::/64                On-link
 11    306 fe80::/64                On-link
 11    306 fe80::880:caa:e7c6:9416/128
                                    On-link
 14    266 fe80::8184:12a1:9307:968a/128
                                    On-link
  1    306 ff00::/8                 On-link
 11    306 ff00::/8                 On-link
 14    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Os IPs 192.168.1. * são da rede do cliente (o computador em que estou usando VPN para se conectar à VPN remota). Essa rota ( 192.168.0.0 255.255.255.0 192.168.0.129 192.168.0.130 ) não deveria estar na sub-rede 255.255.255.128 ou estou faltando alguma coisa em relação a roteamento e VPN?

O NAT está ativo no modem e no roteador. Não tenho certeza de qual parte isso tem a desempenhar em relação à segurança / conectividade e o que devo fazer com isso. As portas 500, 1701, 4500 são encaminhadas no roteador para 192.168.0.3, o que é uma suposição de que posso conectar em primeiro lugar. O roteador está configurado para ser DMZ no modem. O repasse de L2TP está habilitado no roteador (não há opção para isso no modem). Firewall SPI está habilitado no roteador. Mais uma vez, não sei se isso afeta alguma coisa.

Eu recebo um tempo limite de solicitação ao tentar o tracert para 192.168.0.3. Eu também não consigo nem pingar o gateway da VPN. O servidor VPN não pode fazer ping no endereço IP atribuído do cliente.

Espero que esta informação ajude, não consigo pensar em mais nada para mencionar no momento. Para resumir meu problema, posso me conectar à VPN, mas não posso fazer nada quando estou dentro. Sem ping, sem DNS, sem acesso por meio de nomes de computador, nada.

vpn iptables routing domain-name-system l2tp

por JakeTheSnake 07.04.2013 / 00:46

2 respostas

2

Depois de quebrar a cabeça sobre isso, o trabalho foi tão fácil. Se o cliente VPN se conectar, obtenha um IP do servidor DHCP principal do que todo o tráfego de rede está bloqueado. Você deve usar um escopo DHCP do RRAS. Quando eu defino o escopo, tudo funcionou instantaneamente!

por 04.10.2016 / 08:43

Tags vpn iptables routing domain-name-system l2tp

du exibindo resultados antigos É correto reescrever endereços de e-mail destinados à entrega remota para usar o CNames?

score 3 · Accepted Answer

Acontece que os clientes podem se conectar e o roteamento está bem, mas o cliente estava sendo colocado em quarentena pelo NPS (Network Policy Server). Originalmente, eu tinha instalado o NPS e, em seguida, o desinstalei durante a solução de problemas. Somente ao reinstalá-lo, vejo os logs do RRAS mencionando que o cliente foi colocado em quarentena. O cliente tinha o status 'VPN não compatível com NAP' e a política com relação a esse status era fornecer acesso limitado à rede, não acesso total à rede. Eu mudei a política e está funcionando agora.

Outro problema pode ter sido minha máscara de sub-rede. Os endereços IP além de .127 não seriam capazes de se comunicar com os IPs abaixo de .128 devido à máscara de sub-rede 255.255.255.128, embora a sub-rede (192.168.0. *) E a máscara de sub-rede (255.255.255.128) fossem as mesmas.