none
Проблема с доступом к локальным ресурсам при подключении из вне по VPN RRS feed

  • Вопрос

  • Здравствуйте.

    Пришлось восстанавливать VPN-сервер. Появилась такая проблема. После подключения VPN (L2TP с общим ключом) пользователи не могут получить доступ к ресурсам локальной сети, доступ к ресурсам самого VPN-сервера есть. Пользователи доменные и из локальной сети доступ к этим ресурсам имеют.

    на сервере Windows 2008R2. Два сетевых интерфейса.

    Первый подключен к локальной сети 192.168.0.1.

    Ethernet adapter LAN:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
       Физический адрес. . . . . . . . . : 00-1E-67-16-06-AA
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . :
       DNS-серверы. . . . . . . . . . . : 192.168.0.8
                                           192.168.0.9
       NetBios через TCP/IP. . . . . . . . : Включен

    Второй подключен к сети с выходом в интернет 192.168.2.40

    Ethernet adapter WLAN:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : Адаптер D-Link DFE-520TX PCI Fast Ethernet
       Физический адрес. . . . . . . . . : 00-19-5B-38-17-11
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.2.40(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз. . . . . . . . . : 192.168.2.1
       DNS-серверы. . . . . . . . . . . : 192.168.2.1
       NetBios через TCP/IP. . . . . . . . : Включен


    Для VPN подключений выделены адреса 192.168.100.1 по 192.168.100.10

    Таблица маршрутизации

    Список интерфейсов
     23...........................RAS (Dial In) Interface
     13...00 19 5b 38 17 11 ......Адаптер D-Link DFE-520TX PCI Fast Ethernet
     11...00 1e 67 16 06 aa ......Intel(R) 82574L Gigabit Network Connection
      1...........................Software Loopback Interface 1
     12...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
     14...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
     25...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
    ===========================================================================

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес                     Маска сети      Адрес шлюза          Интерфейс  Метрика
                      0.0.0.0                    0.0.0.0      192.168.2.1        192.168.2.40    276
                  127.0.0.0                255.0.0.0         On-link                   127.0.0.1    306
                  127.0.0.1    255.255.255.255         On-link                   127.0.0.1    306
      127.255.255.255    255.255.255.255         On-link                   127.0.0.1    306
              192.168.0.0        255.255.255.0         On-link               192.168.0.1    266
              192.168.0.1    255.255.255.255         On-link               192.168.0.1    266
          192.168.0.255    255.255.255.255         On-link               192.168.0.1    266
              192.168.2.0        255.255.255.0         On-link             192.168.2.40    276
            192.168.2.40    255.255.255.255         On-link             192.168.2.40    276
          192.168.2.255    255.255.255.255         On-link             192.168.2.40    276
          192.168.100.1    255.255.255.255         On-link           192.168.100.1    296
          192.168.100.2    255.255.255.255    192.168.100.2    192.168.100.1     41
                  224.0.0.0                240.0.0.0         On-link                   127.0.0.1    306
                  224.0.0.0                240.0.0.0         On-link               192.168.0.1    266
                  224.0.0.0                240.0.0.0         On-link             192.168.2.40    276
                  224.0.0.0                240.0.0.0         On-link           192.168.100.1    296
      255.255.255.255    255.255.255.255         On-link                   127.0.0.1    306
      255.255.255.255    255.255.255.255         On-link               192.168.0.1    266
      255.255.255.255    255.255.255.255         On-link             192.168.2.40    276
      255.255.255.255    255.255.255.255         On-link           192.168.100.1    296
    ===========================================================================
    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
              0.0.0.0             0.0.0.0      192.168.2.1  По умолчанию
    ===========================================================================


    После подключения пользователя на сервере в списке активных сетей появляется RAS (Dial-In) Interface общественная сеть с доступом в интернет.

    Я помню, что раньше после подключения появлялась инициализация сети и пропадала через несколько секунд. Полагаю RAS (Dial-In) Interface инициализировался и объединялся с доменной сетью. Почему сейчас так не происходит? Что с этим делать?

    Попутно еще вопрос. Сразу после установки системы увидел, что обе сети объединены в одну сеть.

    По какому принципу Windows объединяет сети? 


    • Изменено Alexandr-XAH 12 апреля 2016 г. 11:32
    12 апреля 2016 г. 11:21

Ответы

  • Пинг не идет.


    Вот это является ключевым моментом. Проверьте, для начала, что на пингуемом хосте в брандмауэре Windows разрешены входящие подключения для ping (ICMPv4 Echo In) и в свойствах этого правила на вкладке область нет ограничений для удалённых хостов (либо что вообще отключен брандмауэр). Если ping не идёт и после этого - это и есть корень проблемы.

    В таком случае прежде всего проверьте, что на пингуемом хосте есть обратный маршрут в сеть 192.168.100.0 через сервер VPN (либо - что маршрут по умолчанию указывает на сервер VPN): отсутствие обратного маршрута, по которому могли бы идти пакеты с ответами, является очень частой ошибкой при настройке маршрутизации.

    PS По поводу галки, которую я советовал проверить: она находится на вкладке IPv4 свойств сервера, сверху.


    Слава России!

    • Помечено в качестве ответа Alexandr-XAH 13 апреля 2016 г. 13:23
    13 апреля 2016 г. 11:47

Все ответы

  • 1. Как именно пользователи не могут получить доступ? Есть, как минимум, два различных варианта: не найден  сервер, который во внутренней сети, или доступ запрещён. В каждом варианте есть несколько различных подвариантов, к примеру "не найден сервер" может означать невозможность получить его адрес по его имени либо невозможность получить доступ к названному адресу. И что именно там у вас происходит - это нужно выяснить. Рекомендую с целью выяснения попытаться вам самому подключиться по VPN - потому что пользователи обычно мало чем могут помочь в диагностике.

    2. Для решения задачи вам не надо выяснять принцип, по которому Windows (точнее, компонент NLA) объединяет сети. Вам стоит убедиться, что у вас работает маршрутизация, которая от этого компонента, вообще говоря, не зависит. Для начала ззагляните на в свойства сервера RRAS и убедитесь, что на нём включена маршрутизация IPv4 (там есть галка, по умолчанию она включена вообще-то, но мало ли).

    А чтобы разбираться дальше - см. п.1


    Слава России!

    12 апреля 2016 г. 11:46
  • 1. По имени не открывается вообще ничего. 

    Машина клиент на Windows 10

    Пробуем открыть папку //192.168.0.4/имя папки. Получаем сообщение "Проверьте правильность написания данного имени. В противном случае возможна проблема с вашей сетью. Для определения и разрешения проблемы с сетью щелкните кнопку "Диагностика".  Код ошибки 0х80004005 Неизвестная ошибка"

    Пробуем подключить удаленный рабочий стол к 192.168.0.4. "Удаленному рабочему столу не удалось подключиться к удаленному компьютеру по одной из следующих причин: 1) Не включен удаленный доступ к серверу 2) Удаленный компьютер выключен 3) Удаленный компьютер не подключен к сети. Удостоверьтесь, что удаленный компьютер включен, подключен к сети и удаленный доступ к нему включен."

    Пинг не идет.

    2. IPv4-маршрутизатор только локальной сети, галка стоит. 

    Все же хочется понять, как компонент NLA объединяет сети. 


    • Изменено Alexandr-XAH 12 апреля 2016 г. 17:00
    12 апреля 2016 г. 16:52
  • Пинг не идет.


    Вот это является ключевым моментом. Проверьте, для начала, что на пингуемом хосте в брандмауэре Windows разрешены входящие подключения для ping (ICMPv4 Echo In) и в свойствах этого правила на вкладке область нет ограничений для удалённых хостов (либо что вообще отключен брандмауэр). Если ping не идёт и после этого - это и есть корень проблемы.

    В таком случае прежде всего проверьте, что на пингуемом хосте есть обратный маршрут в сеть 192.168.100.0 через сервер VPN (либо - что маршрут по умолчанию указывает на сервер VPN): отсутствие обратного маршрута, по которому могли бы идти пакеты с ответами, является очень частой ошибкой при настройке маршрутизации.

    PS По поводу галки, которую я советовал проверить: она находится на вкладке IPv4 свойств сервера, сверху.


    Слава России!

    • Помечено в качестве ответа Alexandr-XAH 13 апреля 2016 г. 13:23
    13 апреля 2016 г. 11:47
  • Спасибо огромное.

    Про обратный маршрут я не подумал. Когда первый раз настраивал VPN-сервер был и шлюзом в интернет, соответственно на всех компьютерах маршрут по умолчанию указывал на него.

    Сейчас прописал на серверах маршруты в сеть 192.168.100.0 и проблема решилась.

    Еще раз спасибо.

    13 апреля 2016 г. 13:22