none
Windows 7. Не работает IP маршрутизация через VPN соединение

    Question

  • Добрый день, уважаемые!

    Вопрос к специалистам высшего ранга. Появилась задача сделать маршрутизацию через Windows 7. Все тестировалось в виртуальной среде, но положительного результата так и не принесло, поэтому пришлось пойти на крайнюю меру - написать сюда :)

    Обрисую схему (лучше рисовать на бумаге, чтобы было понятнее):

    Есть Windows XP x86 SP3 Ru с сетевой картой:

    192.168.12.52/24 и 0.0.0.0/0 смотрит на 192.168.12.51

     

    Есть Windows 7 Ultimate x86 Ru с двумя сетевыми:

    192.168.12.51/24 и 192.168.11.51/24 и 0.0.0.0/0 смотрит на 192.168.11.1

     

    Есть еще шлюз Windows 2003 сервер x86 с двумя сетевыми:

    192.168.11.1/24 и вторая сетевая которая смотрит на провайдера на которой поднят нат и это нам абсолютно не интересно...

    а 192.168.12.0/24 смотрит на 192.168.11.51 (чтобы 2003 сервер знал где находится WinXP)

    Вот маршрут с 2003 сервера:

    Трассировка маршрута к WXPX86 [192.168.12.52]
    с максимальным числом прыжков 30:

      1    <1 мс    <1 мс    <1 мс  W7X86 [192.168.11.51]
      2     1 ms     1 ms     1 ms  WXPX86 [192.168.12.52]

    Трассировка завершена.

    и обратно маршрут с XP до 2003 через Win7:

    Трассировка маршрута к W2003x86 [192.168.11.1]
    с максимальным числом прыжков 30:

      1    <1 мс    <1 мс    <1 мс  W7X86 [192.168.12.51]
      2     2 ms    <1 мс    <1 мс  W2003x86[192.168.11.1]

    Трассировка завершена.

    Т.Е. МАРШРУТИЗАЦИЯ ЧЕРЕЗ СЕТЕВЫЕ ИНТЕРФЕЙСЫ РАБОТАЕТ!

    На Windows 7 в реестре IpEnableRoute стоит 1

     

    А теперь вернемся к главному вопросу:

    почему не работает маршрутизация пакетов через VPN на Win7 ?

    На Windows 7 Поднят VPN Туннель PPTP до работы и VPN адрес клиента 192.168.50.102:

    И в этот туннель заворачивается весь трафик:

    route print с Win7

    ........

              0.0.0.0          0.0.0.0     192.168.11.1    192.168.11.51   4491
              0.0.0.0          0.0.0.0         On-link    192.168.50.102      2

    ........

     

    на VPN сервере (RRAS 2003 на работе) маршруты 192.168.11.0/24 и 192.168.12.0/24 смотрят на VPN клиента (Win7)

    route print на рабочем VPN сервере

    .......

         192.168.11.0    255.255.255.0   192.168.50.102    192.168.50.90      1
         192.168.12.0    255.255.255.0   192.168.50.102    192.168.50.90      1

    .......

    RRAS Сервер на работе видит VPN Клиента Win7

    ping 192.168.50.102:

    Обмен пакетами с 192.168.50.102 по с 32 байт данных:

    Ответ от 192.168.50.102: число байт=32 время=60мс TTL=128
    Ответ от 192.168.50.102: число байт=32 время=35мс TTL=128
    Ответ от 192.168.50.102: число байт=32 время=32мс TTL=128
    Ответ от 192.168.50.102: число байт=32 время=34мс TTL=128

    Но Маршрут С RRAS Сервера до WinXP через VPN клиента Win7 не доходит:

    Трассировка маршрута к 192.168.12.52 с максимальным числом прыжков 30

      1    35 ms     *      117 ms  192.168.50.102
      2     *        *        *     Превышен интервал ожидания для запроса.
      3     *        *        *     Превышен интервал ожидания для запроса.
      4     *        *        *     Превышен интервал ожидания для запроса.
      5  ^C

    ПОЧЕМУ НЕ РАБОТАЕТ МАРШРУТИЗАЦИЯ ЧЕРЕЗ VPN КЛИЕНТА WIN7 ???

     

     

    • Edited by Continent Friday, November 19, 2010 7:50 AM Дополнение
    Friday, November 19, 2010 7:13 AM

Answers

  • Нашел решение. Спасибо Анатолию Подгорецкому.

    Привожу его решение:

    Проблема в этом IP-маршрутизация включена . . . . : нет

    Включить можно через RRAS или путем правки реестра

    Для включения маршрутизации пакетов TCP/IP выполните следующие действия:

    1. Запустите редактор системного реестра (Regedt32.exe) и откройте следующий раздел:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    2. Внесите следующие изменения:
      Параметр: IPEnableRouter 
      Тип данных: REG_DWORD 
      Значение: 1
      Примечание : Значение "1" включает маршрутизацию пакетов TCP/IP для всех сетевых подключений, установленных на данном компьютере.

    Взято отсюда: http://social.technet.microsoft.com/Forums/ru-RU/xpru/thread/98aff7e0-0819-477f-b3ae-e1cea32dfbc6

    3. Еще нужно Перезагрузиться :)

    Thursday, May 03, 2012 12:26 PM

All replies

  • пррверьте настройку в впн-подключении Use default gateway on remote network (Использовать основной шлюз в удаленной сети)

    попробуйте ее убрать


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Wednesday, December 01, 2010 6:50 PM
  • Все эти танцы с бубном я уже перебробовал. Убирал галку. Завернул маршрут 192.168.0.0/24 (к рабочей сети) через VPN  - IP маршрутизация все равно НЕ РАБОТАЕТ!


    krasfs.ru
    Thursday, December 02, 2010 1:55 AM
  • Возможно в 7-ке используются какие-то политики, которые запрещают маршрутизацию через VPN


    krasfs.ru
    Tuesday, December 21, 2010 6:38 AM
  • Continent, удалось ли Вам решить проблему?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Tuesday, January 11, 2011 3:35 PM
  • Нет. Полезной информации по этой теме нигде не нашел


    krasfs.ru
    Wednesday, January 12, 2011 1:58 AM
  • такая же фигня. на работает nat на vpn соединении. я так думаю что надо пробовать ставить что нибудь типа winroute firewall для проброски портов. в моём случае если на vpn клиенте на локальной машине ставить допустим radmin то он нормально открывает порт для того чтобы к нему цеплялись другие vpn клиенты. а если добавлять правило в настройках маршрутизации портов то эти порты прото не открываются, пробовал сканировать портсканером.

    Wednesday, October 12, 2011 2:51 PM
  • 1.Совсем не понятно роль 7-ки которая не роутит: давай ipconfig/route print, непонятно есть ли у нее маршрут по умолчанию?Если нет то все понятно- пропиши ей уже наконец маршрут на 50.0/24 ( RRAS 2003)

    2.То же и по XP: есть ли маршрут по умолчанию, если нет - почему не прописал на подсеть 50.0/24?Она выходит эту сеть вообще не знает куда слать

    3.Можно было в 2003 по крайней мере выдавать адреса из пула 11.0/24 и все бы 100% заработало, если запланировать распределение адресов

    4.Можно не разбираясь поставить Wireshark по крайней мере на ХП,7 роутер и на 2003 и все быстренько проверить где пакетики теряются....мне кажется все очень банально- нет обратного роутинга :)

    5.Маршрутизацию в такой среде лучше тестировать вживую, да и делать из 7 и ХП  роутеры ( подменять серверную роль) не рекомендуется, эти системы не для этого

     

    Friday, October 14, 2011 7:14 PM
  • Спасибо за участие.. Уже прошел почти год..

    Vladimir Metelev:

    Ответы на Ваши 3 вопроса даны в первом посте. Похоже вы невнимательно изначально вникли в ситуацию. Нарисуйте на бумаге схему которая описана в первом посте и все станет ясно.

    На вопрос поставить сниффер - смысла особого не вижу. Все маршруты корректные. Проверял несколько раз. Ведь маршрутизация как таковая работает. Не работает роутинг именно через VPN.  Возможно действительно есть какие-то политики, которые по умолчанию запрещают форвардить пакеты через vpn (как например в bsd net.inet.ip.forwarding=0)

    По 5 пункту даже не знаю что ответить.. НО если дома стоит windows 7 - то тут уже ничего не сделаешь.


    krasfs.ru
    Monday, October 17, 2011 1:24 AM
  • Вообще чудеса:

    Настроил VPN входящее соединение на Windows 7 Pro. Подключаюсь к нему роутером D-Link Dir-300 (локальная сеть в другом помещении). Все работает. Есть интернет, локалка и т.п. Вопросов нет.

    Прошло примерно 9 месяцев.

    01.05.2012 года все встало!

    - На компьютере никакие работы не производились (кроме настроенного 9 месяцев назад перенаправления траффика с D-Link через PPTP на Windows-7)

    - Все обновления отключены

    - Несколько месяцев никакие работы по настройке сети или системы не производились

    Сейчас:

    - VPN PPtP входящий (RAS) работает, клиенты подключаются, Ping проходит во все стороны (включая локальные адреса и удаленные сайты)

    - Программы на компьютерах из сегмента за D-Link с прямой адресацией работают

    - Браузеры все не работают!

    Вероятно не работает трансляция адресов внутри Windows-7. Но что могло случиться ума не приложу. Уже пошли вторые сутки прыганья с бубном.

    Восстановление системы с откаткой до 01.05.2012 ни к чему не привела.

    Есть еще подозрение на Касперского KIS, ведь он ежедневно что-то там сам себе думает, обновляет. Но я его снес, а результат тот же.

    Присоединяюсь к автору поста и уже ни на что не надеюсь.

    Thursday, May 03, 2012 5:14 AM
  • Если подключаться с другого компа то после снятия птички "Использовать основной шлюз в удаленной сети" сайты в браузерах стали открываться.

    Но в роутере D-Link DIR-320 такой птички нет. Но ведь раньше работало соединение от роутера к Win-7 по PPtP. Значит все-таки что-то в настройках внутри Windows-7 изменилось, а снятие галочки "Использовать основной шлюз в удаленной сети" на компьютере клиента - это только способ обхода этой ошибки.

    Thursday, May 03, 2012 6:30 AM
  • Важное дополнение для тех, кто столкнулся с этой проблемой.

    ==============================================

    Сделал следующее:

    1. Поставил чистую Windows 7 Pro 32x SP1

    2. Добавил входящее соединение. Все сразу заработало. Принимаются входящие от другого компа в другой подсети, принимаются входящие от роутера из другой подсети, инет всем раздается. Вопросов нет.

    3. Поставил Касперского KIS-2012. Все нормально. Единственное, назначил ему входящую подсеть как Локальную, чтоб не резал. Все работает. Все замечательно.

    Вывод:

    1. Это не Касперский режет/портит

    2. Изначально Windows настроен как надо

    Вопрос остался:

    Кто скажет, какая все-таки настройка слетает. И как это исправлять?

    Дополнение:

    Облазил огромное количество форумов, единственное осмысленное указание на птичку "Использовать основной шлюз в удаленной сети" - компромиссный вариант, к сожалению, в моем случае не подходит. И он не исправляет ошибку, а только "иногда обходит".

    Thursday, May 03, 2012 12:05 PM
  • Нашел решение. Спасибо Анатолию Подгорецкому.

    Привожу его решение:

    Проблема в этом IP-маршрутизация включена . . . . : нет

    Включить можно через RRAS или путем правки реестра

    Для включения маршрутизации пакетов TCP/IP выполните следующие действия:

    1. Запустите редактор системного реестра (Regedt32.exe) и откройте следующий раздел:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    2. Внесите следующие изменения:
      Параметр: IPEnableRouter 
      Тип данных: REG_DWORD 
      Значение: 1
      Примечание : Значение "1" включает маршрутизацию пакетов TCP/IP для всех сетевых подключений, установленных на данном компьютере.

    Взято отсюда: http://social.technet.microsoft.com/Forums/ru-RU/xpru/thread/98aff7e0-0819-477f-b3ae-e1cea32dfbc6

    3. Еще нужно Перезагрузиться :)

    Thursday, May 03, 2012 12:26 PM