none
NAT под RRAS при подключении по VPN RRS feed

  • Вопрос

  • Добрый день! имеем сервер 2008 R2 с 2 сетевыми картами, одна смотри на провайдера вторая в локальную сеть. Интернет подключается по vpn pptp. Настраиваем по этой инструкции http://www.smart-soft.ru/ru/support/documentation/rasvpn2008/  Соединение подключается но интернета нет даже на самом сервере, и не один сайт не пингуется и не открывается. Попробовав несколько раз на 2 разных компьютерах и разных провайдерах, ситауция не изменилась, абсолютно нет интернета при удачном подключении. Попробовали создать простое VPN подключение через Центр управления сетями и общим доступом, оно подключается и интернет работает, а вот через маршрутизацию и удаленный доступ нет интернета. В чем проблема? Думаю где то, что упущено в инструкции, так как оба сервера и оба провайдера не дают интернет по данной инструкции. 
    1 ноября 2013 г. 17:19

Ответы

  • Причина, почему не ходили пакеты, у вас была в том, что у маршрута по умолчанию через сетевую карту и ее шлюз по умолчанию, раздаваемый провадером (10.90.81.1 ) имел меньшую метрику, чем маршрут через интерфейс соединения по требованию - т.е., является предпочтительным. В приведенном сейчас вами листинге этого маршрута нет, но изначально, при автоматической настройке интерфейса, он был. Из-за особенностей настройки метрики маршрутов в Windows 2008 метрика маршрута через интерфейс RRAS оказывается больше - к ее виличине, установленной при конфигурировании (например, 1 в указнной статье) добавляется некое число (на практике обычно это - 256, в документации я описания способа выбора его величины не нашел), которое, видимо, должно учитывать наличие локальной сети. Если бы вы посмотрели выдачу route print изyачально, вы бы увидели этот маршрут.

    Провайдер, по статье с сайта которого вы настраивали VPN,  видимо, шлюз по умолчанию не раздает, а сервер VPN находится в той же подсети, что и клиенты - потому у него все работает. А т.к. у вашего провайдера сервер VPN находится в другой подсети, то получить к нему доступ в отсутсвии маршрута по умолчанию (либо специфического маршрута, настроенного вручную) невозможно. 

    Лучше всего, на мой взгляд, договориться с провайдером о статической настройке IP на вашем внешнем интерфейсе, или о получении через DHCP именно статического маршрута к серверу VPN вместо шлюза по умолчанию (DHCP option 123) - если их специалисты смогут это сделать. С провайдером договориться желательно, даже если сейчас все работает - чтобы изменения с их стороны не нарушили работу вашего подключения впоследствии.

    Если это невозможно, то можете попробовать отключить автоматическое определение метрики для IPv4 на внешней сетевой карте (кнопка Advanced в окне свойств протокола) и установить там достаточно большую метрику (например, 1000) - мои эксперименты показывают, что в таком случае маршрут через шлюз по умолчанию поучает удвоенное установленное значение и становится менее приоритетным, чем маршрут через интерфейс соединения по требованию (но лучше это проверить с помощью команды route print).

    PS Если вы попробуете способ из  последнго абзаца (с большой метрикой) - напишите пожалуйста, чтобы я (и любой другой читатель этой темы) знал наверняка, работает ли этот способ. Очень хорошо будет, если вы приложите к этому сообщению выдачу команды route print, чтобы понять, как именно этот способ работает.

    PPS Просьба пометить ответ, который вам помог. Это нужно не только и не столько мне, сколько другим, столкнувшимся с аналогчиной проблемой, найти решение. 


    Слава России!


    • Изменено M.V.V. _ 2 ноября 2013 г. 15:26
    • Помечено в качестве ответа badinokula 2 ноября 2013 г. 17:03
    2 ноября 2013 г. 15:24

Все ответы

  • Попробуйте вызвать специалиста для настройки к себе в офис, поскольку сложно посоветовать что-либо. Вменяемый человек справится с задачей за пару часов, впереди выходной тем более.Самому же разбираться можно очень долго.
    1 ноября 2013 г. 20:12
    Отвечающий
  • Добрый день! имеем сервер 2008 R2 с 2 сетевыми картами, одна смотри на провайдера вторая в локальную сеть. Интернет подключается по vpn pptp. Настраиваем по этой инструкции http://www.smart-soft.ru/ru/support/documentation/rasvpn2008/  Соединение подключается но интернета нет даже на самом сервере, и не один сайт не пингуется и не открывается. Попробовав несколько раз на 2 разных компьютерах и разных провайдерах, ситауция не изменилась, абсолютно нет интернета при удачном подключении. Попробовали создать простое VPN подключение через Центр управления сетями и общим доступом, оно подключается и интернет работает, а вот через маршрутизацию и удаленный доступ нет интернета. В чем проблема? Думаю где то, что упущено в инструкции, так как оба сервера и оба провайдера не дают интернет по данной инструкции. 

    Попробуйте убрать шлюз по умолчанию в настройках сетевой карты, которая смотрит в Интернет. Если при этом сервер VPN провайдера оказывается недоступным - добавьте маршрут непосредственно к нему:

    route add -p IP.адрес.сервера.VPN mask 255.255.255.255 IP.адрес.бывшего.шлюза

    PS Если не поможет - покажите выдачу команды route print при подключенном интерфейсе VPN


    Слава России!

    2 ноября 2013 г. 10:49
  • Попробуйте убрать шлюз по умолчанию в настройках сетевой карты, которая смотрит в Интернет. Если при этом сервер VPN провайдера оказывается недоступным - добавьте маршрут непосредственно к нему:

    route add -p IP.адрес.сервера.VPN mask 255.255.255.255 IP.адрес.бывшего.шлюза

    PS Если не поможет - покажите выдачу команды route print при подключенном интерфейсе VPN


    Слава России!

    Во истину Слава России! Как вы и писали так и сделал, и действительно заработало!!! Но почему именно так, а не как в инструкции по ссылке которую и указал выше ??? И как теперь быть? Всегда прописывать маршрут? И вообще по идее ip адрес, маску шлюз и прочее должен получать автоматически, а теперь пришлось прописать вручную. 

    Microsoft Windows [Version 6.1.7600]
    (c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

    C:\Users\Администратор>route print
    ===========================================================================
    Список интерфейсов
    26...........................dag
    12...00 1f c6 00 fc 38 ......Atheros L1 Gigabit Ethernet 10/100/1000Base-T Cont
    roller
    11...00 80 48 50 3d a8 ......Realtek RTL8139/810x Family Fast Ethernet NIC
    25...........................RAS (Dial In) Interface
    1...........................Software Loopback Interface 1
    15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
    13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
    14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
    16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
    17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
    ===========================================================================

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
    0.0.0.0 0.0.0.0 172.16.0.1 172.16.246.232 21
    10.90.0.2 255.255.255.255 10.90.81.1 10.90.81.8 21
    10.90.81.0 255.255.255.0 On-link 10.90.81.8 276
    10.90.81.8 255.255.255.255 On-link 10.90.81.8 276
    10.90.81.28 255.255.255.255 On-link 10.90.81.28 306
    10.90.81.255 255.255.255.255 On-link 10.90.81.8 276
    127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
    127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
    127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    172.16.246.232 255.255.255.255 On-link 172.16.246.232 276
    224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
    224.0.0.0 240.0.0.0 On-link 10.90.81.8 276
    224.0.0.0 240.0.0.0 On-link 10.90.81.28 305
    255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    255.255.255.255 255.255.255.255 On-link 10.90.81.8 276
    255.255.255.255 255.255.255.255 On-link 10.90.81.28 306
    255.255.255.255 255.255.255.255 On-link 172.16.246.232 276
    ===========================================================================
    Постоянные маршруты:
    Сетевой адрес Маска Адрес шлюза Метрика
    10.90.0.2 255.255.255.255 10.90.81.1 1
    ===========================================================================

    IPv6 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Метрика Сетевой адрес Шлюз
    14 58 ::/0 On-link
    1 306 ::1/128 On-link
    14 58 2001::/32 On-link
    14 306 2001:0:9d38:6ab8:2f:f2a:53ef:917/128
    On-link
    14 306 fe80::/64 On-link
    14 306 fe80::2f:f2a:53ef:917/128
    On-link
    1 306 ff00::/8 On-link
    14 306 ff00::/8 On-link
    ===========================================================================
    Постоянные маршруты:
    Отсутствует

    C:\Users\Администратор>

    • Изменено badinokula 2 ноября 2013 г. 12:09 route print
    2 ноября 2013 г. 12:07
  • Причина, почему не ходили пакеты, у вас была в том, что у маршрута по умолчанию через сетевую карту и ее шлюз по умолчанию, раздаваемый провадером (10.90.81.1 ) имел меньшую метрику, чем маршрут через интерфейс соединения по требованию - т.е., является предпочтительным. В приведенном сейчас вами листинге этого маршрута нет, но изначально, при автоматической настройке интерфейса, он был. Из-за особенностей настройки метрики маршрутов в Windows 2008 метрика маршрута через интерфейс RRAS оказывается больше - к ее виличине, установленной при конфигурировании (например, 1 в указнной статье) добавляется некое число (на практике обычно это - 256, в документации я описания способа выбора его величины не нашел), которое, видимо, должно учитывать наличие локальной сети. Если бы вы посмотрели выдачу route print изyачально, вы бы увидели этот маршрут.

    Провайдер, по статье с сайта которого вы настраивали VPN,  видимо, шлюз по умолчанию не раздает, а сервер VPN находится в той же подсети, что и клиенты - потому у него все работает. А т.к. у вашего провайдера сервер VPN находится в другой подсети, то получить к нему доступ в отсутсвии маршрута по умолчанию (либо специфического маршрута, настроенного вручную) невозможно. 

    Лучше всего, на мой взгляд, договориться с провайдером о статической настройке IP на вашем внешнем интерфейсе, или о получении через DHCP именно статического маршрута к серверу VPN вместо шлюза по умолчанию (DHCP option 123) - если их специалисты смогут это сделать. С провайдером договориться желательно, даже если сейчас все работает - чтобы изменения с их стороны не нарушили работу вашего подключения впоследствии.

    Если это невозможно, то можете попробовать отключить автоматическое определение метрики для IPv4 на внешней сетевой карте (кнопка Advanced в окне свойств протокола) и установить там достаточно большую метрику (например, 1000) - мои эксперименты показывают, что в таком случае маршрут через шлюз по умолчанию поучает удвоенное установленное значение и становится менее приоритетным, чем маршрут через интерфейс соединения по требованию (но лучше это проверить с помощью команды route print).

    PS Если вы попробуете способ из  последнго абзаца (с большой метрикой) - напишите пожалуйста, чтобы я (и любой другой читатель этой темы) знал наверняка, работает ли этот способ. Очень хорошо будет, если вы приложите к этому сообщению выдачу команды route print, чтобы понять, как именно этот способ работает.

    PPS Просьба пометить ответ, который вам помог. Это нужно не только и не столько мне, сколько другим, столкнувшимся с аналогчиной проблемой, найти решение. 


    Слава России!


    • Изменено M.V.V. _ 2 ноября 2013 г. 15:26
    • Помечено в качестве ответа badinokula 2 ноября 2013 г. 17:03
    2 ноября 2013 г. 15:24
  • Если бы вы посмотрели выдачу route print изyачально, вы бы увидели этот маршрут.

    вот то что выдает без казания маршрута:

    Microsoft Windows [Version 6.1.7600]
    (c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

    C:\Users\Администратор>route print
    ===========================================================================
    Список интерфейсов
    25...........................vpn
    17...........................RAS (Dial In) Interface
    12...00 1f c6 00 fc 38 ......Atheros L1 Gigabit Ethernet 10/100/1000Base-T Cont
    roller
    11...00 80 48 50 3d a8 ......Realtek RTL8139/810x Family Fast Ethernet NIC
    1...........................Software Loopback Interface 1
    15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
    13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
    14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
    16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
    ===========================================================================

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
    0.0.0.0 0.0.0.0 10.90.81.1 10.90.81.8 20
    0.0.0.0 0.0.0.0 172.16.0.1 172.16.246.174 21
    10.90.0.2 255.255.255.255 10.90.81.1 10.90.81.8 21
    10.90.81.0 255.255.255.0 On-link 10.90.81.8 276
    10.90.81.8 255.255.255.255 On-link 10.90.81.8 276
    10.90.81.38 255.255.255.255 On-link 10.90.81.38 306
    10.90.81.255 255.255.255.255 On-link 10.90.81.8 276
    127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
    127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
    127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    172.16.246.174 255.255.255.255 On-link 172.16.246.174 276
    224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
    224.0.0.0 240.0.0.0 On-link 10.90.81.8 276
    224.0.0.0 240.0.0.0 On-link 10.90.81.38 306
    255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    255.255.255.255 255.255.255.255 On-link 10.90.81.8 276
    255.255.255.255 255.255.255.255 On-link 10.90.81.38 306
    255.255.255.255 255.255.255.255 On-link 172.16.246.174 276
    ===========================================================================
    Постоянные маршруты:
    Сетевой адрес Маска Адрес шлюза Метрика
    10.90.0.2 255.255.255.255 10.90.81.1 1
    ===========================================================================

    IPv6 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Метрика Сетевой адрес Шлюз
    14 58 ::/0 On-link
    1 306 ::1/128 On-link
    14 58 2001::/32 On-link
    14 306 2001:0:9d38:6ab8:c92:1e0a:f5a5:aef7/128
    On-link
    14 306 fe80::/64 On-link
    14 306 fe80::c92:1e0a:f5a5:aef7/128
    On-link
    1 306 ff00::/8 On-link
    14 306 ff00::/8 On-link
    ===========================================================================
    Постоянные маршруты:
    Отсутствует

    C:\Users\Администратор>

    2 ноября 2013 г. 16:40
  • Если это невозможно, то можете попробовать отключить автоматическое определение метрики для IPv4 на внешней сетевой карте (кнопка Advanced в окне свойств протокола) и установить там достаточно большую метрику (например, 1000) - мои эксперименты показывают, что в таком случае маршрут через шлюз по умолчанию поучает удвоенное установленное значение и становится менее приоритетным, чем маршрут через интерфейс соединения по требованию (но лучше это проверить с помощью команды route print).

    PS Если вы попробуете способ из  последнго абзаца (с большой метрикой) - напишите пожалуйста, чтобы я (и любой другой читатель этой темы) знал наверняка, работает ли этот способ. Очень хорошо будет, если вы приложите к этому сообщению выдачу команды route print, чтобы понять, как именно этот способ работает.

    PPS Просьба пометить ответ, который вам помог. Это нужно не только и не столько мне, сколько другим, столкнувшимся с аналогчиной проблемой, найти решение. 


    Слава России!


    Установл метрику 1000 вместо стоявшей там 4245  и все работает. Ниже показываю результат route print после внесенных изменений.

    Microsoft Windows [Version 6.1.7600]
    (c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

    C:\Users\Администратор>route print
    ===========================================================================
    Список интерфейсов
    12...00 1f c6 00 fc 38 ......Atheros L1 Gigabit Ethernet 10/100/1000Base-T Cont
    roller
    11...00 80 48 50 3d a8 ......Realtek RTL8139/810x Family Fast Ethernet NIC
    25...........................RAS (Dial In) Interface
    26...........................vpn
    1...........................Software Loopback Interface 1
    15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
    13...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
    14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
    16...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
    17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
    ===========================================================================

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
    0.0.0.0 0.0.0.0 10.90.81.1 10.90.81.8 1000
    0.0.0.0 0.0.0.0 172.16.0.1 172.16.242.10 21
    10.90.0.2 255.255.255.255 10.90.81.1 10.90.81.8 1001
    10.90.81.0 255.255.255.0 On-link 10.90.81.8 1256
    10.90.81.8 255.255.255.255 On-link 10.90.81.8 1256
    10.90.81.13 255.255.255.255 On-link 10.90.81.13 306
    10.90.81.255 255.255.255.255 On-link 10.90.81.8 1256
    127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
    127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
    127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    172.16.242.10 255.255.255.255 On-link 172.16.242.10 276
    224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
    224.0.0.0 240.0.0.0 On-link 10.90.81.8 1255
    224.0.0.0 240.0.0.0 On-link 10.90.81.13 305
    255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
    255.255.255.255 255.255.255.255 On-link 10.90.81.8 1256
    255.255.255.255 255.255.255.255 On-link 10.90.81.13 306
    255.255.255.255 255.255.255.255 On-link 172.16.242.10 276
    ===========================================================================
    Постоянные маршруты:
    Сетевой адрес Маска Адрес шлюза Метрика
    10.90.0.2 255.255.255.255 10.90.81.1 1
    ===========================================================================

    IPv6 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Метрика Сетевой адрес Шлюз
    14 58 ::/0 On-link
    1 306 ::1/128 On-link
    14 58 2001::/32 On-link
    14 306 2001:0:5ef5:79fb:2476:2e80:53ef:df5/128
    On-link
    14 306 fe80::/64 On-link
    14 306 fe80::2476:2e80:53ef:df5/128
    On-link
    1 306 ff00::/8 On-link
    14 306 ff00::/8 On-link
    ===========================================================================
    Постоянные маршруты:
    Отсутствует

    C:\Users\Администратор>

    2 ноября 2013 г. 17:10