VPN de Hub e Spoke usando o Windows Server 2008 R2 e o RRAS

3

Estou tentando criar uma topografia de hub-e-spoke de VPN simples. Consegui percorrer um longo caminho e espero que o diagrama a seguir descreva o que consegui construir até agora:

Comovocêpodever,ohubéumacaixadoWindowsServer2008R2queexecutaoRRAS.OsraiospodemserosroteadoresDreytekcomumnúmerodePCs(ououtrosdispositivos)naLANatrásdelesouPCsdiscandodiretamenteparaoservidor.Tudoissofuncionacomoesperado,excetopelofatodequenenhumdosdispositivosdeLANnosspokesécapazdesecomunicarcomosdispositivosnosoutrosspokes.Porexemplo,oPCdediscagemdireta(192.168.1.11)nãopodesecomunicarcom192.168.3.1ou192.168.10.1.

Coisasquetenteietrabalhei:

  • TodososdispositivosderedelocalpodemexecutarpingemqualquerumdosendereçosdeVPN(porexemplo,oPCdediscagemdiretapodeexecutarpingem10.0.0.1,10.0.0.4e10.0.0.5).
  • EuhabiliteioSyslognosroteadoresDraytekepossoverotráfegoICMPatravésdofirewallquandooendereço10.0.0.xdoroteadorépingado(porexemplo,seeupingar10.0.0.5doPCdediscagemdireta,Eupossoverofirewallpermitindooping).
  • EuadicioneirotasestáticasaosroteadoresDreytek(porexemplo,noroteador10.0.0.5,adicioneiumarotaparaoroteamento192.168.1.0/24e192.168.3.0/24via10.0.0.1).
  • EuadicioneirotasestáticasaoPCdediscagemdiretapara192.168.3.0/24via10.0.0.4e192.168.10.0/24via10.0.0.5
  • EuadicioneirotasestáticasaoservidorparacadaLANnofinaldosspokes(porexemplo,adicioneiumarotapara192.168.1.0/24pararotearvia10.0.0.2e192.168.10.0/24via10.0.0,5).Estoutendoproblemasparapersistiressasrotas,paraqueelasrestabeleçamseaconexãoVPNcairesereconectar.

Coisasquenãofuncionam:

  • OservidornãoconsegueexecutarpingemnenhumdosPCsdaLAN(porexemplo,elenãopodefazerping192.168.10.1ou.2etc.).OsyslognosroteadoresnãovênenhumtráfegoICMP.
  • OsPCsclientesnãoconseguemfazerpingemnenhumPCremoto(porexemplo,osPCs192.168.10.xnãopodemfazerpingnosPCs192.168.3.xouoclientedediscagemdiretaem192.168.1.11).

Seusartracertoupathping,parecequeotráfegoestátentandoirpeloservidor,masnuncachegalá.Porexemplo:

C:\Users\Administrator>pathping-n192.168.10.2Tracingrouteto192.168.10.2overamaximumof30hops010.0.0.1110.0.0.52***

Eurealmentenãoseioquefazeraseguir.Deveserpossívelfazerissofuncionar...Euencontreimuitosartigossobreesseassunto,masnadapareceresolveresseproblemaespecífico.Entãoeuachoqueminhasduasprincipaisperguntassão:

  • OqueestouperdendoparaqueosPCsdeLANremotospossamsecomunicarunscomosoutros?
  • OqueeuprecisofazerparapersistirasrotasatravésdosclientesVPNparasuasLANs?
  • Possoevitarrotasestáticascompletamenteeusarrotasdinâmicas?EutenteiusaroRIP,masosmulticastsRIPpassarampelaVPN(viissousandooWireshark)enãoconsigocriaroRIPna"Interface Interna".

Uma ideia que eu tive ... O problema poderia ter alguma coisa a ver com o IPv6? Quando eu estava experimentando, tentei desabilitá-lo usando o Microsoft Fixit 50409. Depois que fiz isso, nem os roteadores nem o cliente W7 de discagem direta conseguiram estabelecer uma conexão VPN até eu reativá-la ... Eu supus que todo o tráfego seria IPv4, mas talvez eu esteja errado?

Muito obrigado!

Edit: Em resposta ao comentário de Stephane, aqui estão as tabelas de roteamento para os vários componentes da rede ...

Servidor:

C:\Users\Administrator>route print -4
===========================================================================
Interface List
 18...........................RAS (Dial In) Interface
 11...00 15 5d 2f 4d 2d ......Microsoft Virtual Machine Bus Network Adapter
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     109.228.20.1   109.228.20.174      6
         10.0.0.1  255.255.255.255         On-link          10.0.0.1    276
         10.0.0.2  255.255.255.255         10.0.0.2         10.0.0.1     21
         10.0.0.4  255.255.255.255         10.0.0.4         10.0.0.1     21
         10.0.0.5  255.255.255.255         10.0.0.5         10.0.0.1     21
     109.228.20.0    255.255.252.0         On-link    109.228.20.174    261
   109.228.20.174  255.255.255.255         On-link    109.228.20.174    261
   109.228.23.255  255.255.255.255         On-link    109.228.20.174    261
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
     192.168.1.11  255.255.255.255         10.0.0.2         10.0.0.1     21
      192.168.3.0    255.255.255.0         10.0.0.4         10.0.0.1     21
     192.168.10.0    255.255.255.0         10.0.0.5         10.0.0.1     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link    109.228.20.174    261
        224.0.0.0        240.0.0.0         On-link          10.0.0.1    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link    109.228.20.174    261
  255.255.255.255  255.255.255.255         On-link          10.0.0.1    276
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0     109.228.20.1       1
===========================================================================

Nota: Um dos problemas que tenho é que eu tenho que adicionar manualmente as rotas para 192.168.1.11, 192.168.3.0/24 e 192.168.10.0/24 toda vez que os clientes VPN se conectam. Este é claramente um problema sério, pois tenho que ser capaz de persistir nessas rotas, mas talvez não seja possível?

Cliente do Windows 7:

C:\Windows\system32>route print -4
===========================================================================
Interface List
 26...........................CodeArt Consulting VPN
 17...90 b1 1c 67 94 d4 ......Realtek PCIe GBE Family Controller
 13...68 94 23 36 83 ba ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.11     10
         10.0.0.0        255.0.0.0         10.0.0.1         10.0.0.2     11
         10.0.0.2  255.255.255.255         On-link          10.0.0.2    266
   109.228.20.174  255.255.255.255      192.168.1.1     192.168.1.11     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.1.0    255.255.255.0         On-link      192.168.1.11    266
     192.168.1.11  255.255.255.255         On-link      192.168.1.11    266
    192.168.1.255  255.255.255.255         On-link      192.168.1.11    266
      192.168.3.0    255.255.255.0         10.0.0.1         10.0.0.2     11
     192.168.10.0    255.255.255.0         10.0.0.1         10.0.0.2     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.1.11    266
        224.0.0.0        240.0.0.0         On-link          10.0.0.2    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.1.11    266
  255.255.255.255  255.255.255.255         On-link          10.0.0.2    266
===========================================================================
Persistent Routes:
  None

Nota: eu adicionei os roteadores para 192.168.3.0/24 e 192.168.10.0/24 manualmente.

Roteador 10.0.0.5 / 192.168.10.0/24:

Key: C - connected, S - static, R - RIP, * - default, ~ - private
*            0.0.0.0/ 0.0.0.0          via 188.30.37.17      WAN2
C           10.0.0.1/ 255.255.255.255  directly connected   VPN-1
S           10.0.0.0/ 255.255.255.0    via 10.0.0.1         VPN-1
C~      192.168.10.0/ 255.255.255.0    directly connected    LAN 
S        192.168.1.0/ 255.255.255.0    via 10.0.0.1         VPN-1
S        192.168.3.0/ 255.255.255.0    via 10.0.0.1         VPN-1
S       188.30.37.17/ 255.255.255.255  via 188.30.37.17      WAN2

Observação: As rotas estáticas para 192.168.1.0/24 e 192.168.3.0/24 foram adicionadas ao roteador e são persistentes conforme o esperado.

Tanto quanto eu posso dizer, todas as rotas estão no lugar corretamente, mas é claro, pode haver um erro ou algo está faltando ...

    
por Ben Abbott 14.04.2013 / 21:21

1 resposta

0

Eu consegui resolver esse problema.

O problema é que eu configurei o roteador para usar NAT na conexão VPN. Alterá-lo para o roteado completo resolveu o problema, pois todas as informações de roteamento estavam corretas. Os dispositivos nas LANs de cada spoke agora podem se comunicar entre si.

Felicidades,

Ben

    
por 15.04.2013 / 13:34