none
RRAS не выполняет маршрутизацию пакетов приходящих из PPTP VPN туннеля RRS feed

  • Вопрос

  •  

    Две локальные сети, между ними Интернет. На границе каждой из сетей стоит сервер с ОС Windows Server 2003 R2 SP2 x64 (плюс все последние обновления). Между серверами настроен VPN-канал вида "сеть-сеть" (на каждом из серверов по Demand-Dial интерфейсу на второго участника и статические маршруты, ведущие через эти интерфейсы в удалённые сети). Внутри локальных сетей работает DHCP, раздаёт всем корректные сетевые настройки. На RRAS работает NAT, из каждой сети люди благополучно ходят в Интернет. На каждом из граничных серверов поднят DC, DNS, WINS. Все локальные для соответствующих сетей службы успешно работают.

     

    С любого из граничных серверов любой узел в чужой сети пингуется успешно. Но если пинговать с любой другой системы произвольную систему удалённой сети, то пинг доходит до удалённого маршрутизатора, но с него на систему-адресат не уходит. Прохождение и содержание пакетов ICMP контролировалось Network Monitor'ом.

     

    Фильтрации нет, в логах относительно чисто. Из связанных особенностей - зависание оснастки RRAS и/или службы RRAS при попытке перезапуска этой службы - но только на одном из серверов, в то время как проблема с маршрутизацией - симметричная.

     

    Какие могут быть причины для службы RRAS не выполнять маршрутизацию в локально достижимую сетку?

    22 января 2009 г. 8:33

Ответы

  • А, прошу прощения, я не понял, что это ссылка была. Smile

     

    Нет, этот вариант совершенно не подходит. Тут речь идёт про соединение "клиент-сеть", а я хочу добиться работоспособности соединения "сеть-сеть".

     

    Решение можно найти здесь: ссылка.

     

    В частности, мой случай:

    === цитата опа ===

    Cause:  A two-way initiated, demand-dial connection is being interpreted by the answering router as a remote access connection.

    Solution:  In order for the answering router to determine that the incoming call is a router rather than remote access client, the user name of the credentials for the calling router must match the name of a demand-dial interface that is configured on the answering router.

    If the incoming caller is a router, the port on which the call was received shows a status of Active and the corresponding demand-dial interface is in a Connected state. If the name of the user name credential for the calling router appears under Remote Access Clients in Routing and Remote Access, then the calling router has been interpreted by the answering router as a remote access client.

    For two-way initiated connections, either router can be the calling router or the answering router. The user names and demand-dial interface names must be properly matched. For example, two-way initiated connections would work under the following configuration:

    • Router 1 has a demand-dial interface called NEW-YORK which is configured to use SEATTLE as the user name when sending authentication credentials.
    • Router 2 has a demand-dial interface called SEATTLE which is configured to use NEW-YORK as the user name when sending authentication credentials.

    This example assumes that the SEATTLE user name can be validated by Router 2 and the NEW-YORK user name can be validated by Router 1.

    === цитата всё ===

     

    Т.е. пока имя пользователя отличается от имени обратного Demand-Dial интерфейса, RRAS считает, что это лох звонит и что от него можно только его пакеты получать, а с чужим адресом отправителя пакеты просто сбрасываются. Smile

    22 января 2009 г. 11:34

Все ответы

  •  Станислав Васильев написано:

     

    Две локальные сети, между ними Интернет. На границе каждой из сетей стоит сервер с ОС Windows Server 2003 R2 SP2 x64 (плюс все последние обновления). Между серверами настроен VPN-канал вида "сеть-сеть" (на каждом из серверов по Demand-Dial интерфейсу на второго участника и статические маршруты, ведущие через эти интерфейсы в удалённые сети). Внутри локальных сетей работает DHCP, раздаёт всем корректные сетевые настройки. На RRAS работает NAT, из каждой сети люди благополучно ходят в Интернет. На каждом из граничных серверов поднят DC, DNS, WINS. Все локальные для соответствующих сетей службы успешно работают.

     

    С любого из граничных серверов любой узел в чужой сети пингуется успешно. Но если пинговать с любой другой системы произвольную систему удалённой сети, то пинг доходит до удалённого маршрутизатора, но с него на систему-адресат не уходит. Прохождение и содержание пакетов ICMP контролировалось Network Monitor'ом.

     

    Фильтрации нет, в логах относительно чисто. Из связанных особенностей - зависание оснастки RRAS и/или службы RRAS при попытке перезапуска этой службы - но только на одном из серверов, в то время как проблема с маршрутизацией - симметричная.

     

    Какие могут быть причины для службы RRAS не выполнять маршрутизацию в локально достижимую сетку?



    При запуске ipconfig /all на серверах RRAS строчка IP Routing Enabled. . . . . . . . : Yes присутствует ?
    22 января 2009 г. 8:36
  •  

    Присутствует. И маршрутизация работает, когда пакет из локальной сети следует в Интернет через NAT, когда на него возвращается ответ или когда пакет уходит в VPN туннель. Но на пакеты выходящие из VPN туннеля и следующие в сеть локально соединённую с сервером (других локальных подсетей у меня просто нет) маршрутизация почему-то не действует.

     

    И ещё раз уточню - ситуация симметричная.

    22 января 2009 г. 8:58
  •  Станислав Васильев написано:

     

    Присутствует. И маршрутизация работает, когда пакет из локальной сети следует в Интернет через NAT, когда на него возвращается ответ или когда пакет уходит в VPN туннель. Но на пакеты выходящие из VPN туннеля и следующие в сеть локально соединённую с сервером (других локальных подсетей у меня просто нет) маршрутизация почему-то не действует.


    Покажите route print с клиентов и серверов
    22 января 2009 г. 8:59
  • Граничный сервер сети А

    IPv4 Route Table
    ===========================================================================
    Interface List
    0x1 ........................... MS TCP Loopback interface
    0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
    0x10004 ...00 1f 29 e7 0e 32 ...... HP NC105i PCIe Gigabit Server Adapter #2
    0x70003 ...00 1f 29 e7 0e 33 ...... HP NC105i PCIe Gigabit Server Adapter
    0x80005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
    ===========================================================================
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0      А1.А2.А3.А5      А1.А2.А3.А4    100
             10.8.1.0    255.255.255.0        10.8.1.23        10.8.1.22      1
            10.8.1.22  255.255.255.255        127.0.0.1        127.0.0.1     50
            10.8.1.23  255.255.255.255        10.8.1.22        10.8.1.22      1
           10.8.102.0    255.255.255.0       10.8.102.1       10.8.102.1     10
           10.8.102.1  255.255.255.255        127.0.0.1        127.0.0.1     10
       10.255.255.255  255.255.255.255        10.8.1.22        10.8.1.22     50
       10.255.255.255  255.255.255.255       10.8.102.1       10.8.102.1     10
           А1.А2.А3.0    255.255.255.0      А1.А2.А3.А4      А1.А2.А3.А4      1
          А1.А2.А3.А4  255.255.255.255        127.0.0.1        127.0.0.1      1
       А1.255.255.255  255.255.255.255      А1.А2.А3.А4      А1.А2.А3.А4      1
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
          Б1.Б2.Б3.Б4  255.255.255.255      А1.А2.А3.А5      А1.А2.А3.А4     20
            224.0.0.0        240.0.0.0        10.8.1.22        10.8.1.22     50
            224.0.0.0        240.0.0.0       10.8.102.1       10.8.102.1     10
            224.0.0.0        240.0.0.0      А1.А2.А3.А4      А1.А2.А3.А4      1
      255.255.255.255  255.255.255.255        10.8.1.22        10.8.1.22      1
      255.255.255.255  255.255.255.255       10.8.102.1       10.8.102.1      1
      255.255.255.255  255.255.255.255      А1.А2.А3.А4      А1.А2.А3.А4      1
    Default Gateway:       А1.А2.А3.А5
    ===========================================================================
    Persistent Routes:
      None
    ***************************************************************************

    Граничный сервер сети Б
    IPv4 Route Table
    ===========================================================================
    Interface List
    0x1 ........................... MS TCP Loopback interface
    0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
    0x10003 ...00 22 64 04 e2 9a ...... HP NC373i Multifunction Gigabit Server Adapter #2
    0x10004 ...00 22 64 04 e2 9c ...... HP NC373i Multifunction Gigabit Server Adapter
    0xa0005 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
    ===========================================================================
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0      Б1.Б2.Б3.Б5      Б1.Б2.Б3.Б4    100
             10.8.1.0    255.255.255.0         10.8.1.1         10.8.1.1      1
             10.8.1.1  255.255.255.255        127.0.0.1        127.0.0.1      1
            10.8.1.22  255.255.255.255        10.8.1.23        10.8.1.23      1
            10.8.1.23  255.255.255.255        127.0.0.1        127.0.0.1     50
           10.8.102.0    255.255.255.0       10.8.202.1       10.8.202.2      1
           10.8.202.1  255.255.255.255       10.8.202.2       10.8.202.2      1
           10.8.202.2  255.255.255.255        127.0.0.1        127.0.0.1     50
       10.255.255.255  255.255.255.255         10.8.1.1         10.8.1.1      1
       10.255.255.255  255.255.255.255       10.8.202.2       10.8.202.2     50
          А1.А2.А3.А4  255.255.255.255      Б1.Б2.Б3.Б5      Б1.Б2.Б3.Б4    100
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
      213.243.100.164  255.255.255.252      Б1.Б2.Б3.Б4      Б1.Б2.Б3.Б4      1
      213.243.100.166  255.255.255.255        127.0.0.1        127.0.0.1      1
      213.243.100.255  255.255.255.255      Б1.Б2.Б3.Б4      Б1.Б2.Б3.Б4      1
            224.0.0.0        240.0.0.0         10.8.1.1         10.8.1.1      1
            224.0.0.0        240.0.0.0       10.8.202.2       10.8.202.2     50
            224.0.0.0        240.0.0.0      Б1.Б2.Б3.Б4      Б1.Б2.Б3.Б4      1
      255.255.255.255  255.255.255.255         10.8.1.1         10.8.1.1      1
      255.255.255.255  255.255.255.255       10.8.202.2       10.8.202.2      1
      255.255.255.255  255.255.255.255      Б1.Б2.Б3.Б4      Б1.Б2.Б3.Б4      1
    Default Gateway:       Б1.Б2.Б3.Б5
    ===========================================================================
    Persistent Routes:
      None

    ***************************************************************************

    Узел из сети Б
    IPv4 Route Table
    ===========================================================================
    Interface List
    0x1 ........................... MS TCP Loopback interface
    0x10003 ...00 22 64 98 c5 02 ...... HP NC373i Multifunction Gigabit Server Adapter #2
    0x10004 ...00 22 64 98 c5 04 ...... HP NC373i Multifunction Gigabit Server Adapter
    ===========================================================================
    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0         10.8.1.1         10.8.1.4     20
             10.8.1.0    255.255.255.0         10.8.1.4         10.8.1.4     20
             10.8.1.4  255.255.255.255        127.0.0.1        127.0.0.1     20
       10.255.255.255  255.255.255.255         10.8.1.4         10.8.1.4     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
          169.254.0.0      255.255.0.0  169.254.120.193  169.254.120.193     10
      169.254.120.193  255.255.255.255        127.0.0.1        127.0.0.1     10
      169.254.255.255  255.255.255.255  169.254.120.193  169.254.120.193     10
            224.0.0.0        240.0.0.0         10.8.1.4         10.8.1.4     20
            224.0.0.0        240.0.0.0  169.254.120.193  169.254.120.193     10
      255.255.255.255  255.255.255.255         10.8.1.4         10.8.1.4      1
      255.255.255.255  255.255.255.255  169.254.120.193  169.254.120.193      1
    Default Gateway:          10.8.1.1
    ===========================================================================
    Persistent Routes:
      None

    ***************************************************************************

    Узел из сети А пингуется с любого из граничных серверов, но не пингуется с узла из сети Б, хотя пакеты ICMP от этого ping'а до граничного сервера сети А доходят благополучно. Можно я не буду приводить здесь route print с системы, до которой пакеты не доходят? Smile

    22 января 2009 г. 9:26
  • Распишите ip внутренних и внешних интерфесов для серверов RRAS

    Так же подсети за серверами.
    22 января 2009 г. 9:39
  • Из приведённых результатов команды route print это должно быть очевидно. Но извольте:

     

    Граничный сервер сети А

     - внутренний - 10.8.102.1/24

     - внешний - А1.А2.А3.А4/24 (шлюз по умолчанию А1.А2.А3.А5)

     

    Граничный сервер сети Б

     - внутренний - 10.8.1.1/24

     - внешний - Б1.Б2.Б3.Б4/30 (шлюз по умолчанию Б1.Б2.Б3.Б5)

     

    Напомню - не работает только маршрутизация через VPN - доступ в Интернет через NAT (на том же RRAS) работает корректно.

    22 января 2009 г. 9:52
  •  Станислав Васильев написано:

    Из приведённых результатов команды route print это должно быть очевидно. Но извольте:

     

    Граничный сервер сети А

     - внутренний - 10.8.102.1/24

     - внешний - А1.А2.А3.А4/24 (шлюз по умолчанию А1.А2.А3.А5)

     

    Граничный сервер сети Б

     - внутренний - 10.8.1.1/24

     - внешний - Б1.Б2.Б3.Б4/30 (шлюз по умолчанию Б1.Б2.Б3.Б5)

     

    Напомню - не работает только маршрутизация через VPN - доступ в Интернет через NAT (на том же RRAS) работает корректно.



    Тогда не совсем понятны следующие строчки:

    Граничный сервер сети А
    10.8.1.0    255.255.255.0        10.8.1.23        10.8.1.22      1
    10.8.1.22  255.255.255.255        127.0.0.1        127.0.0.1     50
    10.8.1.23  255.255.255.255        10.8.1.22        10.8.1.22


    22 и 23 - кто в этом случае ?


    Граничный сервер сети Б
    10.8.1.22  255.255.255.255        10.8.1.23        10.8.1.23      1
    10.8.1.23  255.255.255.255        127.0.0.1        127.0.0.1 


    Алиасы ?
    22 января 2009 г. 10:12
  •  

    .22 и .23 это адреса концов туннеля - ближнего и дальнего (если смотреть со стороны сети А), соответственно. Результат открытия соединения на Demand-Dial интерфейсе в одну сторону. В другую сторону на другом сервере сходная ситуация, но с адресами из сети Б. Собственно, наличие этих адресов объясняет, почему с граничных серверов пингуется любой узел удалённой сети - потому, что обмен пакетами производится напрямую, без участия косвенной маршрутизации.
    22 января 2009 г. 10:29
  •  Станислав Васильев написано:

     

    .22 и .23 это адреса концов туннеля - ближнего и дальнего (если смотреть со стороны сети А), соответственно. Результат открытия соединения на Demand-Dial интерфейсе в одну сторону. В другую сторону на другом сервере сходная ситуация, но с адресами из сети Б. Собственно, наличие этих адресов объясняет, почему с граничных серверов пингуется любой узел удалённой сети - потому, что обмен пакетами производится напрямую, без участия косвенной маршрутизации.


    Ваш случай ?
    22 января 2009 г. 10:33
  • Не понял вопроса. Да, это мой случай. Наличие таких адресов при открытии соединения VPN является обычным и совершенно штатным состоянием. Вопрос в другом - почему косвенная маршрутизация после выхода из туннеля не работает?

    22 января 2009 г. 10:43
  •  Станислав Васильев написано:

    Не понял вопроса. Да, это мой случай. Наличие таких адресов при открытии соединения VPN является обычным и совершенно штатным состоянием. Вопрос в другом - почему косвенная маршрутизация после выхода из туннеля не работает?



    Решение из приведённой ссылки не работает ?

    Symptoms: Your VPN client can ping/access the server but not other computers in the remote network.

    Resolutions: 1) if you have two NICs in the VPN server, you may need to enable IP Routing. To do this, go to the RRAS>the Properties of the server>IP, check IP Routing.
    2) Make sure you don't uncheck Use the remote default gateway on VPN client's VPN connection.
    3) Make sure VPN client's LAN and the remote LAN are using the different IP range and subnet.
    4) Check routing table for troubleshooting.


    22 января 2009 г. 10:47
  • А, прошу прощения, я не понял, что это ссылка была. Smile

     

    Нет, этот вариант совершенно не подходит. Тут речь идёт про соединение "клиент-сеть", а я хочу добиться работоспособности соединения "сеть-сеть".

     

    Решение можно найти здесь: ссылка.

     

    В частности, мой случай:

    === цитата опа ===

    Cause:  A two-way initiated, demand-dial connection is being interpreted by the answering router as a remote access connection.

    Solution:  In order for the answering router to determine that the incoming call is a router rather than remote access client, the user name of the credentials for the calling router must match the name of a demand-dial interface that is configured on the answering router.

    If the incoming caller is a router, the port on which the call was received shows a status of Active and the corresponding demand-dial interface is in a Connected state. If the name of the user name credential for the calling router appears under Remote Access Clients in Routing and Remote Access, then the calling router has been interpreted by the answering router as a remote access client.

    For two-way initiated connections, either router can be the calling router or the answering router. The user names and demand-dial interface names must be properly matched. For example, two-way initiated connections would work under the following configuration:

    • Router 1 has a demand-dial interface called NEW-YORK which is configured to use SEATTLE as the user name when sending authentication credentials.
    • Router 2 has a demand-dial interface called SEATTLE which is configured to use NEW-YORK as the user name when sending authentication credentials.

    This example assumes that the SEATTLE user name can be validated by Router 2 and the NEW-YORK user name can be validated by Router 1.

    === цитата всё ===

     

    Т.е. пока имя пользователя отличается от имени обратного Demand-Dial интерфейса, RRAS считает, что это лох звонит и что от него можно только его пакеты получать, а с чужим адресом отправителя пакеты просто сбрасываются. Smile

    22 января 2009 г. 11:34