none
RRAS порядок сетевых интерфейсов RRS feed

  • Вопрос

  • Доброго дня. На Windows Server 2019 RRAS поднят обычный классический VPN на SSTP. То есть два интерфейса Inernal и External. На external прописан шлюз по умолчанию, на Internal шлюза по умолчанию нет, (необходимые внутренние сети с домен-контроллерами добавлены через route add). При настройке авторизации по NPS, та не видит домен (когда выбираешь авторизация по группам), видит только встроенные группы самого сервера vpn. Если отключаешь внешний интерфейс, то домен виден.  Что за глюки или в какую сторону копать? То есть dns прописаны, компьютеры по именам пингуются, сервер даёт себя вывести из домена.

    То же самое на втором vpn настроено - там NPS видит домен.



    • Изменено user00431 16 марта 2020 г. 12:54
    16 марта 2020 г. 12:46

Ответы

  • Для начала, проверяйте списки серверов DNS на интерфейсах. Там, как и для любого компьютера в домене, не должно быть ничего, кроме контроллеров домена (ну, или серверов DNS, которые направляют все запросы на имена из домена на КД или берут с КД вторичную зону).

    PS По терминологии. Internal (Внутренний) в RRAS - это, стандарно, псевдоинтерфейс, который служит конечной точкой VPN-подключений (они имеют тип "точка-точка", вторая точка - это псевдоинтерфейс VPN на клиенте). Вы как я понял, под Internal имеете в виду интерфейс, подключенный к локальной сети. Если так, то лучше не называть его Internal - вводит в заблуждение.


    Слава России!

    • Помечено в качестве ответа user00431 17 марта 2020 г. 8:20
    16 марта 2020 г. 13:11

Все ответы

  • Для начала, проверяйте списки серверов DNS на интерфейсах. Там, как и для любого компьютера в домене, не должно быть ничего, кроме контроллеров домена (ну, или серверов DNS, которые направляют все запросы на имена из домена на КД или берут с КД вторичную зону).

    PS По терминологии. Internal (Внутренний) в RRAS - это, стандарно, псевдоинтерфейс, который служит конечной точкой VPN-подключений (они имеют тип "точка-точка", вторая точка - это псевдоинтерфейс VPN на клиенте). Вы как я понял, под Internal имеете в виду интерфейс, подключенный к локальной сети. Если так, то лучше не называть его Internal - вводит в заблуждение.


    Слава России!

    • Помечено в качестве ответа user00431 17 марта 2020 г. 8:20
    16 марта 2020 г. 13:11
  • Для начала, проверяйте списки серверов DNS на интерфейсах. Там, как и для любого компьютера в домене, не должно быть ничего, кроме контроллеров домена (ну, или серверов DNS, которые направляют все запросы на имена из домена на КД или берут с КД вторичную зону).

    PS По терминологии. Internal (Внутренний) в RRAS - это, стандарно, псевдоинтерфейс, который служит конечной точкой VPN-подключений (они имеют тип "точка-точка", вторая точка - это псевдоинтерфейс VPN на клиенте). Вы как я понял, под Internal имеете в виду интерфейс, подключенный к локальной сети. Если так, то лучше не называть его Internal - вводит в заблуждение.


    Слава России!

    В точку! похоже на то. Потому как в RRAS увидел почему то два Internal интерфейса. Сейчас исправлю, отпишусь.
    16 марта 2020 г. 13:44
  • всё давно пытаюсь понять, если я хочу добавить вручную маршрут для внутренней сети, надо ли указывать индекс сетевого интерфейса, через который пойдет маршрут? или система умная сама поймёт? (два дефолтных маршрута на сервере vpn с двумя сет интерфейсами нельзя, поэтому)

    ROUTE -P ADD 10.77.0.0 MASK 255.255.0.0 10.77.52.130 IF XX


    • Изменено user00431 16 марта 2020 г. 14:17
    16 марта 2020 г. 14:16
  • ROUTE -P ADD 10.77.0.0 MASK 255.255.0.0 10.77.52.130 IF XX

    не имеет смысла, так как шлюз находится в сети назначения, а должен быть из "локальной" сети. например:

    ROUTE -P ADD 10.77.0.0 MASK 255.255.0.0 10.111.52.130 IF XX


    PS По терминологии. Internal (Внутренний) в RRAS - это, стандарно, псевдоинтерфейс, который служит конечной точкой VPN-подключений
    А если нет VPN, и используется только NAT?
    • Изменено Anahaym 16 марта 2020 г. 14:35
    16 марта 2020 г. 14:33
  • Поменял название внутр интерфейса с Internal на другое и заработало!
    16 марта 2020 г. 14:37
  • Поменял название внутр интерфейса с Internal на другое и заработало!

    смотрите как я делаю:

    - переименовывание интерфейсов в WAN и LAN:

    - после этого никакой путаницы в RASS нет:

    А если нет VPN, и используется только NAT?
    Сам отвечу - этот интерфейс тоже есть.
    16 марта 2020 г. 14:53