Ich möchte Windows Server 2012 und seine Windows 7- und Windows 8-VPN-Clients mit einem SSTP-VPN konfigurieren, das Split-Tunneling und Off-Subnetz-Adressierung verwendet, habe jedoch ein Problem: Der RRAS-Server sendet keine Pakete an VPN Clients von einer anderen Maschine als sich selbst.
Mein VPN-Server wird in der "Virtual Private Cloud" von Amazon ausgeführt, sodass nur eine Netzwerkkarte mit einer IP-Adresse in einem privaten RFC1918-Netzwerk vorhanden ist, die mit allen anderen Amazon VPC-Servern gemeinsam genutzt wird, und eine öffentliche IP-Adresse, die den gesamten Datenverkehr an diese private Adresse weiterleitet über NAT (Amazon nennt dies "Elastic IP").
Ich habe RRAS installiert und ein VPN eingerichtet. Das private Subnetz bei Amazon ist 172.16.0.0/17 (das nenne ich das "Amazon LAN"), aber ich möchte, dass alle VPN-Clients den Bereich 10.128.0.0/20 (was ich das nenne) verwenden. VPN LAN ").
In meinem Amazon-Kontrollfeld habe ich Folgendes getan:
- Deaktiviert die Quell- / Zielprüfung für den VPN-Server
- Es wurde ein Eintrag in die Routentabellen für den Pool 10.128.0.0/20 hinzugefügt, der auf die Netzwerkschnittstelle des VPN-Servers verweist.
In der MMC Routing und RAS, im Eigenschaftenmenü für den Servernamen, habe ich Folgendes getan:
- Registerkarte "Allgemein" -> IPv4-Router (aktiviert), aktiviert für LAN- und Demand-Dial-Routing
- Registerkarte Allgemein -> IPv4-RAS-Server (aktiviert)
- Registerkarte IPv4 -> IPv4-Weiterleitung aktivieren (aktiviert)
- Registerkarte IPv4 -> Statischer Adresspool, und geben Sie 10.128.0.1-10.128.15.154 an
Auf meinem Client und allen meinen Servern habe ich sichergestellt, dass ICMP in der Firewall explizit zulässig ist oder die Firewall vollständig deaktiviert ist (natürlich nicht der permanente Plan).
Um Split-Tunneling auf dem Client zu aktivieren, habe ich die Eigenschaften für die VPN-Verbindung -> Netzwerk -> IPv4 -> Eigenschaften -> Erweitert -> IP-Einstellungen aufgerufen und das Kontrollkästchen "Standard-Gateway im Remote-Netzwerk verwenden" und deaktiviert aktiviert "Klassenbasierte Routenaddition deaktivieren".
Zu diesem Zeitpunkt können meine Clients über den Windows 7/8-VPN-Client eine Verbindung herstellen. Ihnen wird eine IP aus dem Pool 10.128.0.0/20 zugewiesen. Da sie jedoch keine Routen automatisch festlegen, können sie nicht mit dem Remotenetzwerk kommunizieren. Ich kann Routen zum Remote-Netzwerk und zum VPN-Netzwerk wie folgt festlegen (auf dem Client):
route add 172.16.0.0/17 <VPN IP ADDRESS>
route add 10.128.0.0/20 <VPN IP ADDRESS>
Jetzt kann der Client die VPN-LAN-Adresse des VPN-Servers (10.128.0.1) sowie die Amazon-LAN-Adresse (172.16.1.32) anpingen. Beim Versuch, mit anderen Computern im Amazon LAN zu kommunizieren, tritt jedoch ein Problem auf: Pings erhalten keine Antworten.
Wenn der Client beispielsweise versucht, ein System zu pingen, von dem ich weiß, dass es aktiv ist, und auf Pings wie 172.16.0.113 antwortet, werden diese Antworten nicht angezeigt (es wird "Zeitüberschreitung bei Anforderung" angezeigt). Wireshark auf dem VPN-Server bestätigt, dass der Ping vom Client und sogar eine vom 172.16.0.113 gesendete Antwort angezeigt wird. Diese Antwort gelangt jedoch anscheinend nie zurück zum Client.
Wenn ich die VPN-LAN-Adresse des Clients von 172.16.0.113 anpinge, sieht Wireshark auf dem VPN-Server den Ping, aber keine Antwort.
Um es noch einmal zusammenzufassen:
- Der VPN-Server kann andere Computer im Amazon LAN (172.16.0.0/17) anpingen und Antworten empfangen, und andere Computer in diesem Netzwerk können dasselbe tun.
- Ein VPN-Client kann die Amazon LAN-Adresse des Servers anpingen und Antworten empfangen, nachdem die Clients die zuvor beschriebene Route hinzugefügt haben.
- Ein VPN-Client kann die VPN-LAN-Adresse des Servers von 10.128.0.1 anpingen, und der VPN-Server kann die VPN-LAN-Adresse des Clients im Bereich von 10.128.0.0/20 anpingen, nachdem der Client die zuvor beschriebene Route hinzugefügt hat.
- Ein VPN-Client kann Pings an einen Computer im Amazon LAN senden. Wenn diese Computer jedoch Antworten senden, werden sie am VPN-Server angehalten. Sie werden nicht an den Client weitergeleitet, was zu Nachrichten mit Zeitüberschreitung beim Anfordern auf dem Client führt . Wenn umgekehrt ein Computer im Amazon LAN versucht, die VPN-LAN-Adresse 10.128.0.0/20 des Clients zu pingen, sieht der VPN-Server den Ping, der Client tut dies jedoch nie und generiert daher keine Antwort.
Warum sendet der VPN-Server keine Pakete vom Amazon LAN an seine Clients im VPN LAN? Es kann definitiv mit den Clients im VPN-LAN kommunizieren, und das Routing ist aktiviert, und es ist bereit, die Pakete vom VPN-LAN -> Amazon LAN weiterzuleiten, aber nicht umgekehrt. Was fehlt mir hier?
Routen
Hier sind die Routing-Tabellen von einem VPN-Client. Der Client ist eine VirtualBox-VM unter Windows 8. Die IP-Adresse des vbox-Adapters lautet 10.0.2.15 auf a / 24. Dieser Client steht hinter NAT (tatsächlich steht er hinter Double-NAT, da der vbox-Adapter NAT für mein lokales Netzwerk ist, das NAT für das Internet). Diese Routing - Tabelle ist aus nach manuell den Routen zu 10.128.0.0/20 und 172.16.0.0/17 hinzufügen.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.2.2 10.0.2.15 10
10.0.2.0 255.255.255.0 On-link 10.0.2.15 266
10.0.2.15 255.255.255.255 On-link 10.0.2.15 266
10.0.2.255 255.255.255.255 On-link 10.0.2.15 266
10.128.0.0 255.255.240.0 On-link 10.128.0.3 15
10.128.0.3 255.255.255.255 On-link 10.128.0.3 266
10.128.15.255 255.255.255.255 On-link 10.128.0.3 266
54.213.67.179 255.255.255.255 10.0.2.2 10.0.2.15 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.128.0 On-link 10.128.0.3 15
172.16.127.255 255.255.255.255 On-link 10.128.0.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.2.15 266
224.0.0.0 240.0.0.0 On-link 10.128.0.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.2.15 266
255.255.255.255 255.255.255.255 On-link 10.128.0.3 266
===========================================================================
Persistent Routes:
None
Hier sind die Routing-Tabellen vom RRAS-Server, auf dem Windows Server 2012 ausgeführt wird. Dieser Server befindet sich auch hinter NAT, wie oben erläutert. Es hat nur eine Netzwerkkarte. Die private IP-Adresse lautet 172.16.1.32 auf einer / 23 (die selbst Teil eines größeren / 17-Netzwerks ist; ich glaube, es ist fair, die Teile der / 17 außerhalb der / 23 zu ignorieren, da andere Maschinen auf der / 23 kann auch von VPN-Clients nicht erreicht oder erreicht werden).
Der virtuelle VPN-Adapter hat eine eigene Adresse, 10.128.0.1, die automatisch zugewiesen wird, wenn ein Client zum ersten Mal eine Verbindung herstellt. Die Routen für 10.128.0.1 (zu sich selbst) und 10.128.0.2 (zu seinem einzigen Client), die Sie sehen, werden zu diesem Zeitpunkt ebenfalls automatisch hinzugefügt. Dem VPN-Server werden keine Routen manuell hinzugefügt.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.32 10
10.128.0.1 255.255.255.255 On-link 10.128.0.1 286
10.128.0.2 255.255.255.255 10.128.0.2 10.128.0.1 31
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.32 10
172.16.0.0 255.255.254.0 On-link 172.16.1.32 11
172.16.1.32 255.255.255.255 On-link 172.16.1.32 266
172.16.1.255 255.255.255.255 On-link 172.16.1.32 266
172.16.2.0 255.255.254.0 172.168.0.1 172.16.1.32 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.32 266
224.0.0.0 240.0.0.0 On-link 10.128.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.32 266
255.255.255.255 255.255.255.255 On-link 10.128.0.1 286
===========================================================================
Persistent Routes:
None
Hier sind die Routing-Tabellen für einen anderen Computer im privaten Netzwerk des Servers, auf dem auch Server 2012 ausgeführt wird. Er verfügt über eine Netzwerkkarte mit einer privaten IP-Adresse von 172.16.1.177. Dies bedeutet, dass er sich auf derselben / 23 befindet wie der VPN-Server. (Beachten Sie, dass die Route zum 10.128.0.0/20 auf dem Gateway festgelegt ist, das von Amazon gesteuert wird, sodass Sie sie hier nicht sehen. Ich habe die richtige Route zu Amazon hinzugefügt, was durch die Tatsache belegt wird, dass Wireshark auf dem VPN-Server sieht die Pakete.)
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.177 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.177 10
172.16.0.0 255.255.254.0 On-link 172.16.1.177 266
172.16.1.177 255.255.255.255 On-link 172.16.1.177 266
172.16.1.255 255.255.255.255 On-link 172.16.1.177 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.177 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.177 266
===========================================================================
Persistent Routes:
None
Hier sind die Routen in der Amazon-Konsole. Ich denke , das ist richtig - der Verkehr ist so dass es zurück zum VPN - Server, nachdem alle, nur in der es verschwinden - aber falls jemand will , sich sehen, hier sind sie. (Amazon macht die Dinge etwas seltsam. eni-2f3e8244 / i-77e26440
Bezieht sich auf die Netzwerkkarte auf dem VPN-Server und igw-d4bc27bc
auf das von Amazon gesteuerte Internet-NAT / Gateway, mit dem alle meine Instanzen mit dem Internet kommunizieren.)
10.128.0.0/20 eni-2f3e8244 / i-77e26440
172.16.0.0/17 local
0.0.0.0/0 igw-d4bc27bc
route print
und tracert
ausgegeben - und einige zuvor hinzugefügte Informationen korrigiert. (Danke für Ihre Hilfe!)