none
VPN 設定 RRS feed

  • 問題

  • Dear All 
               小弟架了一台VPN Server, OS是Server 2003 SP2 。client可連線,IP、DNS也都正常,唯一不正常的是gateway,gateway 會是那個client拿到的IP,所以這樣一來那個client 就無法連到其他網段了,另外,連上來以後,去ping 某個同網段的IP,發出去的四個封包只會第一個有回應,其他全部無回應。

             Server的兩張網卡都是接在同一個網段的Lan上,只是一個有對應外部IP,另一個則沒有。請問是否哪邊出了問題,會造成這種現象? 會是因為同一個Lan的關係嗎? 以上請指點一下,謝謝!
    2008年11月7日 上午 03:41

解答

所有回覆

  • 你好:

    可以將現有環境的設定 post 上來嗎?

     

    如現有內部網段設定、VPN Server 的設定等。

     

     

    2008年11月7日 上午 05:08
  • 內部網段方面,VPN Server的網段是172.20.5.0/24 由AD 的DHCP派送IP 同時另外還有172.20.3.0/24 這個網段

    Server方面,以下是我的設定
    1. 在【路由與遠端存取伺服器精靈】中的【設定】步驟:【遠端存取(撥號或VPN)】
    2. 在【遠端存取】步驟:VPN
    3. 在【VPN連線】步驟:指定有對外IP的網卡(172.20.5.25/24 GW:172.20.5.1)
    4. 在【網路選取項目】步驟:指定第二張網卡(172.20.5.30/24 GW:172.20.5.1)
    5. 在【IP位址指派】步驟:自動
    6. 在【管理多個遠端存取伺服器】步驟:使用路由與遠端存取來驗證遠端要求
    7. 在【DHCP轉接代理】那邊,指定第二張網卡作為介面

              大約就是這樣了,其他AD跟防火牆的設定我想應該都沒問題才對。請問我是不是哪邊沒設定好?
    2008年11月7日 上午 05:43
  •  

    gateway 會是那個client拿到的IP這邊應該是正常的,因為VPN連線跟PPP類似;拿到的GATEWAY就是自己IP。能不能到達其他網段就要看VPN Server怎麼幫你轉送
    2008年11月7日 上午 05:48
  • 那是否能在【靜態路由】那邊做什麼設定,讓連上去的client能連到其他網段? 若可以的話該怎麼設定? 

    另外,我發現有一個現象,如果client取得的IP是172.20.5.161的話,當我去下 tracert 172.20.3.88 的話,第一個router竟然是172.20.5.162,去VPN Server查了一下,發現那是在【IP路由】下的【一般】
    的一個叫做【內部】的介面,那個IP只有VPN Client 跟 VPN Server ping得到,其他host都ping不到,而VPN Client ping VPN Server的那兩個IP 就完全正常,ping 其他IP就只能收到第一個...

    因為之前是用一張網卡在作VPN的,所以無法用AD 的DHCP派IP,當然也不會有DNS 跟GW了,但至少連線頗穩定,ping都ping得到:現在有兩張網卡,DNS是正常了,但其他的似乎都有問題,所以想說是不是哪邊設定有問題...再麻煩指點一下囉!
     
    2008年11月7日 上午 06:09
  •  

    你的172.20.3.x 的電腦,會找不到172.20.5.x 的網段,

     

    試試 在一台172.20.5.x 網段的電腦,使用 route add 加一筆 路由。

     

    route add 172.20.5.0 mask 255.255.255.0 x.x.x.x (VPN 的內部IP)

     

     

    2008年11月7日 上午 07:05
  • Dear Lusheng
     
             17.20.3.x電腦是能連到172.20.5.x網段的,因為上層有L3 的switch 作 routing (這兩個網段實際上便是該switch的兩個vlan)  ,我在想會不會是VPN Server中跟路由有關的東西沒設定好,因為外面能很正常的ping 到 vpn server (內外兩張網卡均可),內部也是能ping到(172.20.3.0/24和172.20.5.0/24 都可),獨獨就是內部要ping到外部(完全不通),外部要ping到內部(只會收到第一個) 不太正常...

             VPN Client 在 tracert 172.20.5.1 (172.20.5.0/24的GW) 時,仍是第一個去找VPN Server的【內部】IP,但事實上應該不需要才對,因為並未跨網段...

             VPN Server另外有安裝VMWare 所以也有VM的網卡在上面,這是否會影響VPN?


    2008年11月7日 上午 07:34
  • 參考一下,將你的架構調整一下。

    http://technet.microsoft.com/en-us/library/cc758085.aspx

     

    兩張網卡要使用不同的網段,因為如你所提,Default Gateway 一定會變成是自己的IP。

     

    所以從VPN User 到內部電腦的路徑會是 VPN User -> VPN Server ->到內部的電腦。

     

    而不是使用 L3 switch 做VLAN 通。

     

     

     

    2008年11月7日 上午 08:33
  • Dear Lusheng

              我已將兩張網卡分接不同的網段,但碰到另一個問題,若我將IP的派送設定成【自動】,那Client連上來後會拿不到IP,會收到一個733的錯誤,若我將IP的派送設定成VPN Server指定的集區,那麼Client雖然能拿到IP,但就不會有那些DNS的資訊了,所以雖然跨網段的問題解決了,但卻只能用IP通行...這個問題有辦法克服嗎? 照理說應該可以設定成【自動】,讓DHCP 來派送IP才對不是嗎? 是否我哪邊沒有設定好或是要注意的?

    11/8 更新
    問題解決了,原來是在RAS介面中,伺服器【內容】頁面中,【IP】頁面要將【介面卡】調成內部的網卡,這樣便能正常取得IP、DNS了,GW雖然仍是VPN Client 拿到的IP,但還是能跨網段,名稱解析也沒問題。

    感謝 Lusheng 幫忙!
    2008年11月8日 上午 04:29
  •  

    請問hsucych大大,您vpnserver一張網卡是設172.20.5.x,另一張是設172.20.3.x嗎?然後gw設172.20.5.1
    2008年11月10日 上午 04:20