Eu tenho a seguinte configuração acontecendo.
Servidor: Servidor Windows 2008 configurado como AD, DHCP, DNS, CA e RRAS. Para encurtar a história, o RRAS pode aceitar conexão SSTP e os clientes se conectam bem. Os clientes obtêm o endereço IP.
Cliente: sistema operacional Windows 7
Configuração:
Eu tenho um firewall Linux no perímetro. A porta foi aberta para encaminhar 443 para um endereço IP interno e uma porta no servidor RRAS.
A rede privada está em uma sub-rede 10.100.0.0/16.
O servidor RRAS possui 2 NIC. NIC1 = 10.100.85.15 e NIC2 = 10.100.85.16. A NIC2 está aceitando conexões SSTP da Internet pública. As configurações do adaptador na NIC2 têm apenas o IP estático e a sub-rede. Nenhum gateway e servidores DNS estão configurados no NIC2 (isso eu fiz com base em algo que li em algum lugar relacionado à configuração do PPTP no Windows 2003). A NIC1 tem a prioridade máxima das 2 NICs.
O RRAS foi configurado apenas para VPN (sem NAT). A alocação de endereços IP é estática e é do pool de 10.100.77.250 a 10.100.77.254 (a mesma sub-rede da rede privada).
Eu permiti o ICMP em qualquer direção nos filtros de entrada e saída.
O Firewall do Windows foi configurado para permitir praticamente tudo - e, nessa configuração, desativei o Serviço de Firewall do Windows.
Eu não adicionei nenhuma rota estática ao RRAS.
Como mencionado anteriormente, o cliente VPN é capaz de se conectar ao RRAS sobre SSTP e obter um endereço IP. O cliente pode executar ping no gateway RRAS (10.100.77.250), NIC1 e NIC2.
Problema:
O cliente não pode fazer ping para qualquer outra máquina que não seja o servidor RRAS
Mais informações de depuração:
Instalei o Microsoft Network Monitor no servidor RRAS para monitorar os pacotes ICMP. Eu vejo a solicitação ICMP indo do cliente (digamos 10.100.77.251) para o RRAS para o servidor de destino (digamos 10.100.20.10) e 10.100.20.10 responde com resposta ICMP volta para 10.100.77.251 com o endereço ethernet da NIC1. Neste ponto, aqui está a tabela de roteamento do servidor RRAS.
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1
26 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
14 ...00 00 00 00 00 00 00 e0 isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A}
27 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
15 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.16 358
10.100.77.253 255.255.255.255 10.100.77.253 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.85.16 255.255.255.255 On-link 10.100.85.16 358
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.16 358
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.16 358
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.16 358
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
13 266 fe80::/64 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
13 266 fe80::f8a0:2a9d:bee9:e688/128
On-link
1 306 ff00::/8 On-link
13 266 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Eu sei que há algum problema de roteamento ... e tentei todas as combinações para inserir uma rota adicionar no RRAS, mas nada funciona. Qualquer ajuda é muito apreciada.
Atualização: Converteu a máquina do AD em uma única configuração de NIC. Aqui está a tabela de roteamento no cliente e no RRAS quando o cliente está conectado.
===========================================================================
Interface List
12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
22 ........................... RAS (Dial In) Interface
1 ........................... Software Loopback Interface 1
23 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
14 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356
10.100.0.0 255.255.0.0 On-link 10.100.85.15 356
10.100.77.252 255.255.255.255 10.100.77.252 10.100.77.254 31
10.100.77.254 255.255.255.255 On-link 10.100.77.254 286
10.100.85.15 255.255.255.255 On-link 10.100.85.15 356
10.100.255.255 255.255.255.255 On-link 10.100.85.15 356
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.100.85.15 356
224.0.0.0 240.0.0.0 On-link 10.100.77.254 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.100.85.15 356
255.255.255.255 255.255.255.255 On-link 10.100.77.254 286
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
0.0.0.0 0.0.0.0 10.100.0.1 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
12 266 fe80::/64 On-link
12 266 fe80::a8b1:77f:5eb0:d5a8/128
On-link
1 306 ff00::/8 On-link
12 266 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Cliente
===========================================================================
Interface List
23...........................VPN
10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter
1...........................Software Loopback Interface 1
11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.2 192.168.123.15 10
10.0.0.0 255.0.0.0 10.100.77.254 10.100.77.252 11
10.100.77.252 255.255.255.255 On-link 10.100.77.252 266
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.123.0 255.255.255.0 On-link 192.168.123.15 266
192.168.123.15 255.255.255.255 On-link 192.168.123.15 266
192.168.123.255 255.255.255.255 On-link 192.168.123.15 266
216.218.195.214 255.255.255.255 192.168.123.2 192.168.123.15 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.123.15 266
224.0.0.0 240.0.0.0 On-link 10.100.77.252 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.123.15 266
255.255.255.255 255.255.255.255 On-link 10.100.77.252 266
===========================================================================
Persistent Routes:
None
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Duas coisas que notei. 1) O AD nunca deve ter mais de uma NIC. Um DC multi-homed não é suportado pelo MS. Mas não acho que isso esteja causando o seu problema. 2) Você desativou o serviço de firewall do Windows. Provavelmente não é uma boa ideia. Tente ativar o serviço novamente e execute o seguinte comando para desativar os perfis.
Netsh advfirewall set allprofiles state off
Eu ainda não tenho certeza se isso vai resolver o seu problema, mas essas duas coisas saltaram para mim.
Há muitas coisas acontecendo aqui.
Em primeiro lugar, quando o RRAS do Windows está configurado para alocar endereços IP a clientes VPN usando um pool de endereços estáticos, ele assumirá como padrão uma máscara de sub-rede / 24, ou seja, 255.255.255.0; Além disso, não fornecerá rotas adicionais para os clientes VPN.
Com essa configuração, seu cliente Windows 7 obtém um endereço de 10.100.77.X / 24, que não informa nada sobre como chegar à rede 10.100.0.0/16 maior, ou seja, qualquer endereço onde o terceiro byte não é 77. Se você não estiver usando a conexão VPN como seu gateway padrão (o que geralmente é o caso se você não quiser rotear todo o seu tráfego através da VPN), seu cliente simplesmente não saberá como para alcançar qualquer coisa fora da sub-rede 10.100.77.0/24.
Por favor, forneça a saída de um comando route print em seu PC com Windows 7 após a conexão VPN ser estabelecida, para que possamos verificar se este é o caso. Claro, se você estiver usando a VPN como seu gateway padrão (que é o padrão nas conexões VPN do Windows), isso não será um problema; mas a configuração da sua rede seria, no entanto, quebrada.
Além disso, há um problema semelhante no lado oposto: se o servidor RRAS não é o gateway padrão para os computadores na rede remota (o que eu não acho que seja, já que só tem interfaces internas), eles não sei que eles precisam encaminhar pacotes endereçados à rede 10.100.77.0/24 para o servidor RRAS; isso é atenuado pelo fato de que o RRAS oferece suporte a proxies de ARP, portanto, ele responderá automaticamente "Sei onde esse endereço está, forneça seus pacotes para mim!"; mas essa parte da configuração também seria quebrada.
Como uma nota secundária, e como outros disseram, os dois NICs estão apenas piorando as coisas; se você realmente precisasse que seu servidor tivesse dois endereços IP, você poderia simplesmente configurá-los no mesmo NIC e remover uma grande fonte de problemas; mas você não precisa deles para que o RRAS funcione como um servidor VPN. Livrar-se desse segundo endereço IP e NIC é a melhor coisa que você pode fazer ... e isso é ainda mais verdadeiro porque esse servidor é um controlador de domínio.
Última coisa, mas não menos importante: você disse que "desativou o serviço Firewall do Windows". Você desabilitou o firewall ou você realmente parou o serviço do Firewall do Windows ? Se você fez, reinicie-o agora. Esta foi uma boa maneira de desativar o Firewall do Windows no Windows XP e 2003, mas a partir do Vista, se você parar esse serviço, toda a pilha de rede do Windows estará desmoronando. Você deve reiniciar o serviço e desativar adequadamente o Firewall do Windows usando suas ferramentas de configuração.
Adendo: você disse "Eu permiti o ICMP em qualquer direção nos filtros de entrada e saída". Quais filtros? Os do RRAS, nas propriedades das interfaces de rede? Desative-os. Eles são desabilitados por padrão e deixam tudo passar, mas se você adicionar qualquer regra a eles, eles bloquearão tudo, exceto o que você está explicitamente permitindo (ou o inverso, de acordo com como você os configura). Eles são muito raramente necessários e podem ser difíceis de configurar adequadamente. Primeiro, faça tudo funcionar, então (se você realmente quiser) você pode começar a brincar com eles.