VPN de túnel dividido usando túnel incorreto

1

A nossa empresa tem um punhado de escritórios de campo que foram recentemente configurados com uma conexão de internet regular depois que removemos o T1 e o roteador que os conectavam diretamente à nossa rede. Agora, quando os usuários estão no escritório, eles fazem login na VPN para poder se conectar à rede.

Para poder imprimir e digitalizar a partir da multi-função local, configuramos uma VPN de túnel dividido. Atualmente, temos cerca de 15 a 20 usuários usando essa configuração em todo o país sem problemas.

Recentemente, um de nossos usuários começou a ter problemas ao acessar programas / sites internos ao se conectar de casa e do escritório. Existem outros três usuários no mesmo escritório e eles não têm esse problema. Eu assumi que era algo com o computador e fui em frente e substituí-lo por outro do mesmo modelo. O computador funcionou bem em nosso escritório em casa; no entanto, quando o usuário o recebeu, ela tinha exatamente o mesmo problema em casa e no escritório de campo.

Pensando que pode ser um problema de driver da NIC, enviei-lhe outro computador, dessa vez um modelo diferente, o mesmo problema ocorreu.

Se eu atualizar o arquivo host para apontar para os caminhos corretos, as coisas funcionarão, e se eu conectar via uma conexão VPN normal, tudo funciona, mas o usuário não pode digitalizar ou imprimir - o que é um problema. Tentei encontrar maneiras de criar outro túnel em uma VPN normal e tentei encontrar maneiras de forçar o túnel correto na VPN do túnel dividido.

Parece que há algo relacionado ao ISP, porque se eu me conectar à Comcast ou à Verizon, tudo bem, mas quando ela se conecta ao Insite, ela tem problemas. Não consegui obter suporte do Insite porque eles não acham que o problema está com eles. Nós usamos um cliente VPN da Nortel.

Quaisquer pensamentos ou ideias seriam apreciados.

    
por crb 22.07.2009 / 17:19

2 respostas

1

Isso definitivamente dependerá do cliente VPN que você usa.

Em nosso site, usamos o servidor 2003 com o RRAS para conexões VPN e tive problemas similares que resolvi ao criar um "conectóide" VPN personalizado usando o microsoft CMAK (kit de administração do gerenciador de conexões)

Eu usei este guia ao criar o link do cliente. Isso me ajudou a fazer com que os clientes se conectassem, usassem servidores DNS no escritório para resolução de nomes, mas também permitia que todo o tráfego destinado à Internet usasse o gateway local corretamente.

Seus problemas, se forem como o meu, têm a ver com duas coisas.

  1. As conexões VPN são baixas na ordem de associação para o DNS nas janelas por padrão. Isso significa que ele favorecerá seus servidores DNS locais da LAN em seus servidores de conexões VPN, a menos que você diga ao Windows para favorecer sua conexão VPN sobre os outros.

  2. A resolução de DNS não está funcionando corretamente porque nenhum sufixo DNS é especificado para a conexão VPN. Mesmo se você estiver olhando para os servidores DNS corretos, se nenhum sufixo de pesquisa estiver configurado para esse link, a máquina não conseguirá converter o nome "servidor" para "server.domain.com" ao executar uma pesquisa. a menos que você faça referência a tudo usando o fqdn, que eu nunca vi na prática, isso também poderia ser um show-stopper.

Espero que o guia do kit CMAK de 2003 e essas informações ajudem você a fazer com que o cliente nortel trabalhe em seu ambiente.

No entanto, outra opção para essas redes é usar um gateway que possa fazer IPsec com seu site principal para que os usuários não precisem se conectar usando conexões VPN individuais enquanto estiverem em qualquer um de seus sites. O PFsense é uma ótima distro de firewall / roteador baseada em BSD que fez um trabalho incrível para mim no passado. Eu usei o PFsense em produção para canalizar mais de 150 usuários em uma conexão IPsec com um dispositivo cisco na outra ponta e nem sequer pisou no olho.

Volte com mais informações se achar que não entendi bem o seu problema!

    
por 22.07.2009 / 19:47
1

Eu vi isso antes, onde os usuários estão recebendo informações falsas de DNS que estão furando nas configurações do adaptador de rede. Eu vi configurações de IP estático para DNS ou gateways definidos dentro da seção avançada da configuração IP. Se você abrir o adaptador de rede e, em seguida, vá para as propriedades do ipv4 e, em seguida, aperte o botão avançado. Existem configurações que parecem erradas? Eu tive servidores DNS lá que não deveriam estar e a seção de sufixos DNS tem todos os tipos de entradas estranhas de quando eles foram para hotspots de Wi-Fi.

Contanto que o arquivo host esteja limpo, exceto quando você insere entradas estáticas, parece que o problema está relacionado ao DNS. Se você não tiver uma entrada de host no arquivo de hosts e tentar fazer ping em um endereço de servidor válido, ele será resolvido corretamente?

Às vezes, o sufixo DNS pode ficar preso, então eles podem ter algum sufixo DNS estranho configurado em seu roteador doméstico que fica na configuração dos adaptadores. Isso significa que se eles entrarem no escritório e as entradas de DNS não forem um nome de domínio totalmente qualificado (FQDN), elas usarão esse sufixo.

exemplo: o servidor de arquivos chama-se fileserver1, seu domínio é primarydomain.com e seu sufixo home isp é homeisp.com unidade de rede é mapeada para \ fileserver1 \ fileshare Se o sufixo de domínio estiver assumindo, o computador tentará navegar para \ fileserver1.homeisp.com \ fileshare Isso causa confusão com uma tonelada de coisas onde o fqdn não é especificado.

    
por 11.08.2011 / 02:50

Tags