SSTP no Windows 2008 não pode ping em qualquer direção

3

Eu tenho a seguinte configuração acontecendo.

Servidor: Servidor Windows 2008 configurado como AD, DHCP, DNS, CA e RRAS. Para encurtar a história, o RRAS pode aceitar conexão SSTP e os clientes se conectam bem. Os clientes obtêm o endereço IP.

Cliente: sistema operacional Windows 7

Configuração:

Eu tenho um firewall Linux no perímetro. A porta foi aberta para encaminhar 443 para um endereço IP interno e uma porta no servidor RRAS.

A rede privada está em uma sub-rede 10.100.0.0/16.

O servidor RRAS possui 2 NIC. NIC1 = 10.100.85.15 e NIC2 = 10.100.85.16. A NIC2 está aceitando conexões SSTP da Internet pública. As configurações do adaptador na NIC2 têm apenas o IP estático e a sub-rede. Nenhum gateway e servidores DNS estão configurados no NIC2 (isso eu fiz com base em algo que li em algum lugar relacionado à configuração do PPTP no Windows 2003). A NIC1 tem a prioridade máxima das 2 NICs.

O RRAS foi configurado apenas para VPN (sem NAT). A alocação de endereços IP é estática e é do pool de 10.100.77.250 a 10.100.77.254 (a mesma sub-rede da rede privada).

Eu permiti o ICMP em qualquer direção nos filtros de entrada e saída.

O Firewall do Windows foi configurado para permitir praticamente tudo - e, nessa configuração, desativei o Serviço de Firewall do Windows.

Eu não adicionei nenhuma rota estática ao RRAS.

Como mencionado anteriormente, o cliente VPN é capaz de se conectar ao RRAS sobre SSTP e obter um endereço IP. O cliente pode executar ping no gateway RRAS (10.100.77.250), NIC1 e NIC2.

Problema:

O cliente não pode fazer ping para qualquer outra máquina que não seja o servidor RRAS

Mais informações de depuração:

Instalei o Microsoft Network Monitor no servidor RRAS para monitorar os pacotes ICMP. Eu vejo a solicitação ICMP indo do cliente (digamos 10.100.77.251) para o RRAS para o servidor de destino (digamos 10.100.20.10) e 10.100.20.10 responde com resposta ICMP volta para 10.100.77.251 com o endereço ethernet da NIC1. Neste ponto, aqui está a tabela de roteamento do servidor RRAS.

===========================================================================
Interface List
 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
 13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1
 26 ........................... RAS (Dial In) Interface
  1 ........................... Software Loopback Interface 1
 14 ...00 00 00 00 00 00 00 e0  isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A}
 27 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
 15 ...00 00 00 00 00 00 00 e0  isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.100.0.1     10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.16    358
    10.100.77.253  255.255.255.255    10.100.77.253    10.100.77.254     31
    10.100.77.254  255.255.255.255         On-link     10.100.77.254    286
     10.100.85.15  255.255.255.255         On-link      10.100.85.15    356
     10.100.85.16  255.255.255.255         On-link      10.100.85.16    358
   10.100.255.255  255.255.255.255         On-link      10.100.85.15    356
   10.100.255.255  255.255.255.255         On-link      10.100.85.16    358
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.100.85.16    358
        224.0.0.0        240.0.0.0         On-link      10.100.85.15    356
        224.0.0.0        240.0.0.0         On-link     10.100.77.254    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      10.100.85.16    358
  255.255.255.255  255.255.255.255         On-link      10.100.85.15    356
  255.255.255.255  255.255.255.255         On-link     10.100.77.254    286
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 13    266 fe80::/64                On-link
 12    266 fe80::/64                On-link
 12    266 fe80::a8b1:77f:5eb0:d5a8/128
                                    On-link
 13    266 fe80::f8a0:2a9d:bee9:e688/128
                                    On-link
  1    306 ff00::/8                 On-link
 13    266 ff00::/8                 On-link
 12    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Eu sei que há algum problema de roteamento ... e tentei todas as combinações para inserir uma rota adicionar no RRAS, mas nada funciona. Qualquer ajuda é muito apreciada.

Atualização: Converteu a máquina do AD em uma única configuração de NIC. Aqui está a tabela de roteamento no cliente e no RRAS quando o cliente está conectado.

===========================================================================
Interface List
 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0
 22 ........................... RAS (Dial In) Interface
  1 ........................... Software Loopback Interface 1
 23 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter
 14 ...00 00 00 00 00 00 00 e0  isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205}
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.100.0.1     10.100.85.15    356
       10.100.0.0      255.255.0.0         On-link      10.100.85.15    356
    10.100.77.252  255.255.255.255    10.100.77.252    10.100.77.254     31
    10.100.77.254  255.255.255.255         On-link     10.100.77.254    286
     10.100.85.15  255.255.255.255         On-link      10.100.85.15    356
   10.100.255.255  255.255.255.255         On-link      10.100.85.15    356
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      10.100.85.15    356
        224.0.0.0        240.0.0.0         On-link     10.100.77.254    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      10.100.85.15    356
  255.255.255.255  255.255.255.255         On-link     10.100.77.254    286
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
          0.0.0.0          0.0.0.0       10.100.0.1  Default 
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 12    266 fe80::/64                On-link
 12    266 fe80::a8b1:77f:5eb0:d5a8/128
                                    On-link
  1    306 ff00::/8                 On-link
 12    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Cliente

===========================================================================
Interface List
 23...........................VPN
 10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.123.2   192.168.123.15     10
         10.0.0.0        255.0.0.0    10.100.77.254    10.100.77.252     11
    10.100.77.252  255.255.255.255         On-link     10.100.77.252    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
    192.168.123.0    255.255.255.0         On-link    192.168.123.15    266
   192.168.123.15  255.255.255.255         On-link    192.168.123.15    266
  192.168.123.255  255.255.255.255         On-link    192.168.123.15    266
  216.218.195.214  255.255.255.255    192.168.123.2   192.168.123.15     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    192.168.123.15    266
        224.0.0.0        240.0.0.0         On-link     10.100.77.252    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    192.168.123.15    266
  255.255.255.255  255.255.255.255         On-link     10.100.77.252    266
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None
    
por Bits Nibble Bytes 21.02.2012 / 20:38

2 respostas

2

Duas coisas que notei. 1) O AD nunca deve ter mais de uma NIC. Um DC multi-homed não é suportado pelo MS. Mas não acho que isso esteja causando o seu problema. 2) Você desativou o serviço de firewall do Windows. Provavelmente não é uma boa ideia. Tente ativar o serviço novamente e execute o seguinte comando para desativar os perfis.

Netsh advfirewall set allprofiles state off

Eu ainda não tenho certeza se isso vai resolver o seu problema, mas essas duas coisas saltaram para mim.

    
por 21.02.2012 / 20:54
1

Há muitas coisas acontecendo aqui.

Em primeiro lugar, quando o RRAS do Windows está configurado para alocar endereços IP a clientes VPN usando um pool de endereços estáticos, ele assumirá como padrão uma máscara de sub-rede / 24, ou seja, 255.255.255.0; Além disso, não fornecerá rotas adicionais para os clientes VPN.

Com essa configuração, seu cliente Windows 7 obtém um endereço de 10.100.77.X / 24, que não informa nada sobre como chegar à rede 10.100.0.0/16 maior, ou seja, qualquer endereço onde o terceiro byte não é 77. Se você não estiver usando a conexão VPN como seu gateway padrão (o que geralmente é o caso se você não quiser rotear todo o seu tráfego através da VPN), seu cliente simplesmente não saberá como para alcançar qualquer coisa fora da sub-rede 10.100.77.0/24.

Por favor, forneça a saída de um comando route print em seu PC com Windows 7 após a conexão VPN ser estabelecida, para que possamos verificar se este é o caso. Claro, se você estiver usando a VPN como seu gateway padrão (que é o padrão nas conexões VPN do Windows), isso não será um problema; mas a configuração da sua rede seria, no entanto, quebrada.

Além disso, há um problema semelhante no lado oposto: se o servidor RRAS não é o gateway padrão para os computadores na rede remota (o que eu não acho que seja, já que só tem interfaces internas), eles não sei que eles precisam encaminhar pacotes endereçados à rede 10.100.77.0/24 para o servidor RRAS; isso é atenuado pelo fato de que o RRAS oferece suporte a proxies de ARP, portanto, ele responderá automaticamente "Sei onde esse endereço está, forneça seus pacotes para mim!"; mas essa parte da configuração também seria quebrada.

Como uma nota secundária, e como outros disseram, os dois NICs estão apenas piorando as coisas; se você realmente precisasse que seu servidor tivesse dois endereços IP, você poderia simplesmente configurá-los no mesmo NIC e remover uma grande fonte de problemas; mas você não precisa deles para que o RRAS funcione como um servidor VPN. Livrar-se desse segundo endereço IP e NIC é a melhor coisa que você pode fazer ... e isso é ainda mais verdadeiro porque esse servidor é um controlador de domínio.

Última coisa, mas não menos importante: você disse que "desativou o serviço Firewall do Windows". Você desabilitou o firewall ou você realmente parou o serviço do Firewall do Windows ? Se você fez, reinicie-o agora. Esta foi uma boa maneira de desativar o Firewall do Windows no Windows XP e 2003, mas a partir do Vista, se você parar esse serviço, toda a pilha de rede do Windows estará desmoronando. Você deve reiniciar o serviço e desativar adequadamente o Firewall do Windows usando suas ferramentas de configuração.

Adendo: você disse "Eu permiti o ICMP em qualquer direção nos filtros de entrada e saída". Quais filtros? Os do RRAS, nas propriedades das interfaces de rede? Desative-os. Eles são desabilitados por padrão e deixam tudo passar, mas se você adicionar qualquer regra a eles, eles bloquearão tudo, exceto o que você está explicitamente permitindo (ou o inverso, de acordo com como você os configura). Eles são muito raramente necessários e podem ser difíceis de configurar adequadamente. Primeiro, faça tudo funcionar, então (se você realmente quiser) você pode começar a brincar com eles.

    
por 21.02.2012 / 21:29