Temos a seguinte configuração:
- LADO DA LAN
Clientes locais #N
Servidor local A (DC + RRAS)
Servidor local B (DC + RRAS)
Servidores locais C ... Z
--- ROUTER / FIREWALL
- LADO PÚBLICO
Clientes Estrangeiros 1,2 .., # N
Servidor A & B estão atualizados (agosto de 17) no Windows Server 2016 Standard.
Temos esse problema em ambos os Servidores, por isso vamos usar o Servidor A como exemplo para simplificar.
** configuração do RRAS **:
O servidor A tem apenas um apelido e é configurado da seguinte forma:
1Physical NIC
Ethernet IF: 192.168.12.41/255.255.255.0
Alias IF: 192.168.12.38/255.255.255.255 (This has been created by the RRAS server)
RRAS server (both PPTP and SSTP)'s ports are forwarded from their public IP to the Ethernet IF's IP by the router
Configuração do cliente estrangeiro:
clientes locais e estrangeiros são todos do Windows 7 para o Windows 10 profissional, não há mais informações relevantes, mas a saída do ipconfig / nmap fornecida:
Representação de problemas
Clientes estrangeiros podem se conectar à LAN com sucesso por meio do RRAS do Servidor A. Mas quando o fazem, no nível de rede, eles podem se conectar a qualquer coisa, MAS ao Servidor A. O problema foi notado primeiramente quando um conectado ao Servidor A não foi capaz de RDP para o Servidor A. Então, descobrimos que nenhum serviço é rechable no Servidor A, mas você pode se conectar a qualquer cliente e Servidores B a Z.
Se a conexão for feita ao contrário (o Cliente Estrangeiro se conecta ao RRAS do Servidor B), ele se conectará a qualquer coisa na LAN BUT Server B.
As portas UDP e TCP não podem ser acessadas pelo RRAS conectado:
Isso é um nslookup do Cliente Externo para o Servidor A e B enquanto conectado ao Servidor A:
c:\Users\user>nslookup site.customer.com 192.168.12.41
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 192.168.12.41
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Tempo scaduto per la richiesta a UnKnown
c:\Users\user>nslookup site.customer.com 192.168.12.42
Server: moon.site.customer.com
Address: 192.168.12.42
Nome: site.customer.com
Addresses: 192.168.12.41
192.168.12.42
Isso é um ipconfig / todo o cliente estrangeiro após a conexão bem-sucedida ao servidor A:
c:\Users\user>ipconfig /all
...
Scheda PPP CUSTOMER:
Suffisso DNS specifico per connessione: site.customer.com
Descrizione . . . . . . . . . . . . . : CUSTOMER
Indirizzo fisico. . . . . . . . . . . :
DHCP abilitato. . . . . . . . . . . . : No
Configurazione automatica abilitata : Sì
Indirizzo IPv4. . . . . . . . . . . . : 192.168.12.143(Preferenziale)
Subnet mask . . . . . . . . . . . . . : 255.255.255.255
Gateway predefinito . . . . . . . . . :
Server DNS . . . . . . . . . . . . . : 192.168.12.42
192.168.12.41
NetBIOS su TCP/IP . . . . . . . . . . : Disattivato
...
Isso é um tracert para o ServerA.
c:\Users\user>tracert -w 100 sun.site.customer.com
Traccia instradamento verso sun.site.customer.com [192.168.12.41]
su un massimo di 30 punti di passaggio:
1 16 ms * 14 ms 192.168.12.38
2 15 ms 15 ms 14 ms 192.168.12.41
Traccia completata.
Isso é tracert para o ServerB.
c:\Users\user>tracert -w 100 moon.site.customer.com
Traccia instradamento verso moon.site.customer.com [192.168.12.42]
su un massimo di 30 punti di passaggio:
1 * 29 ms 26 ms 192.168.12.38
2 23 ms 29 ms 31 ms 192.168.12.42
Traccia completata.
Servidor Nmap B:
c:\Users\user>nmap --unprivileged -P0 -F 192.168.12.42
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 17:54 ora legale Europa occidentale
Nmap scan report for moon.site.customer.com (192.168.12.42)
Host is up (1.1s latency).
Not shown: 89 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
1433/tcp open ms-sql-s
1723/tcp open pptp
3389/tcp open ms-wbt-server
Nmap done: 1 IP address (1 host up) scanned in 32.27 seconds
Servidor Nmap A:
c:\Users\user>nmap --unprivileged -e ppp0 -P0 -F 192.168.12.41
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 17:56 ora legale Europa occidentale
Nmap scan report for sun.site.customer.com (192.168.12.41)
Host is up.
All 100 scanned ports on sun.site.customer.com (192.168.12.41) are filtered
Nmap done: 1 IP address (1 host up) scanned in 46.63 seconds
Como você pode ver, a resolução de nomes está funcionando bem, mas as conexões tcp / udp ao Servidor A falharão se estiverem conectadas ao RRAS do Servidor A ou falharão no Servidor B se estiverem conectadas ao RRAS do Servidor B.
Nenhum RRAS nem qualquer outro serviço nos Servidores ou clientes estrangeiros mostra algo relevante, e eu acho que é normal, já que temos um problema no nível de rede aqui.
Na verdade, descobrimos que, para clientes estrangeiros, o segundo IP interno autocriado do RRAS tem serviços do servidor A publicados e acessíveis:
c:\Users\user>nmap --unprivileged -P0 -F 192.168.12.38
Starting Nmap 7.60 ( https://nmap.org ) at 2017-08-29 18:26 ora legale Europa occidentale
Nmap scan report for 192.168.12.38
Host is up (0.19s latency).
Not shown: 90 filtered ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
443/tcp open https
445/tcp open microsoft-ds
1723/tcp open pptp
3389/tcp open ms-wbt-server
Nmap done: 1 IP address (1 host up) scanned in 38.33 seconds
Pergunta: o que pode ser feito para diagnosticar e prevenir esse sintoma?
Editar 1 em resposta ao pedido do @ Mr.Raspberry
route print executada no ServerA
192.168.12.128 e 192.168.12.79 estão atualmente conectados a clientes RRAS
C:\Users\Vincenzo>route print
===========================================================================
Elenco interfacce
14...00 50 56 ac 63 1a ......vmxnet3 Ethernet Adapter
30...........................RAS (Dial In) Interface
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================
IPv4 Tabella route
===========================================================================
Route attive:
Indirizzo rete Mask Gateway Interfaccia Metrica
0.0.0.0 0.0.0.0 192.168.12.39 192.168.12.41 271
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.12.0 255.255.255.0 On-link 192.168.12.41 271
192.168.12.79 255.255.255.255 192.168.12.79 192.168.12.38 42
192.168.12.128 255.255.255.255 192.168.12.128 192.168.12.38 42
192.168.12.38 255.255.255.255 On-link 192.168.12.38 297
192.168.12.41 255.255.255.255 On-link 192.168.12.41 271
192.168.12.255 255.255.255.255 On-link 192.168.12.41 271
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.12.41 271
224.0.0.0 240.0.0.0 On-link 192.168.12.38 297
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.12.41 271
255.255.255.255 255.255.255.255 On-link 192.168.12.38 297
===========================================================================
Route permanenti:
Indirizzo rete Mask Indir. gateway Metrica
0.0.0.0 0.0.0.0 192.168.12.39 Predefinito
===========================================================================