Problemas de VPN de site a site RRAS quando estiver atrás de dispositivos Edge

1

Eu tenho duas redes que gostaria de fazer uma ponte usando o PPTP usando o Windows Server 2008 R2 em ambas as extremidades.

Rede A é a sub-rede 10.150 / 16 sem DHCP disponível

Rede B é a sub-rede 192.168.150 / 24 com DHCP disponível

O servidor RRAS na rede 10.150 está atrás de um roteador de hardware e tem acesso total à WAN.

O servidor RRAS na rede 192.168.150 está atrás de um dispositivo NAT, portanto, é a extremidade de chamada do túnel.

10.150 servidor RRAS líquido atribui IPs do cliente no conjunto 10.150.200.10-20

192.168.150 O servidor RRAS net atribui IPs do cliente usando o intervalo DHCP de sua LAN

(não tenho certeza se isso está correto ^)

10.150 net RRAS tem rota IPv4 estática para 192.168.150 / 24 através do túnel

192.168.150 net RRAS tem rota IPv4 estática para 10.150 / 16 através do túnel

Roteadores de hardware / NAT em ambas as redes têm rotas para a outra rede configurada para apontar para seu servidor RRAS local.

Eu consigo estabelecer um túnel com sucesso, mas não consigo fazer ping / traceroute em nenhum lugar. Minha pergunta é principalmente sobre o endereçamento IP acima. Tenho a sensação de que preciso mudar as atribuições de endereços IP, mas estou perdido neste estágio.

    
por Rob Keimig 27.01.2015 / 19:34

1 resposta

1

Ok, acontece que a definição da Microsoft de uma VPN site-to-site envolve 2 servidores RRAS conversando entre si e ignorando seus respectivos clientes de rede local.

Minha solução foi obtida parcialmente usando esse conceito de modelo hub-spoke:

link

O molho secreto está na configuração de endereços IPv4 estáticos nas configurações de rede da interface de discagem por demanda para um IP na respectiva sub-rede de destino e a adição de rotas como esta:

10.150 / 16 tem um servidor RRAS @ 10.150.0.10 e tem uma interface de discagem por demanda com IP estático atribuído como 192.168.150.128.

192.168.150 / 24 tem um servidor RRAS @ 192.168.150.10 e tem sua interface de discagem por demanda com IP estático atribuído como 10.150.0.128.

Isso efetivamente desativa o mecanismo de designação de pool de DHCP / IP, o que faz com que não seja um problema agora.

Rotas:

RRAS @ 10.150.0.10: route add 192.168.150.128 mask 255.255.255.255 10.150.0.128 -p

RRAS @ 192.168.150.10: route add 10.150.0.128 mask 255.255.255.255 192.168.150.128 -p

Esse tráfego bidirecional fixo e agora sou capaz de rastrear / pingar de e para servidores nas LANs.

A Microsoft realmente precisa simplificar a implantação de site para site, onde ambos os servidores RRAS estão atrás de dispositivos de ponta.

    
por 27.01.2015 / 22:29