gtxyzz

直击故障现场:顽固的VPN访问故障

gtxyzz 安全防护 2023-01-20 402浏览 0

为了有效节约组网成本,并且确保组网效率不受任何影响,某公司决定通过VPN连接实现重要数据信息的网络访问。在经过很长时间的精心准备和认真筹建之后,公司的局域网组建任务终于成功了;不过,当笔者在内网工作站中尝试通过VPN连接访问Internet网络时,发现任何一个VPN客户端系统都不能上网。遭遇这种故障时,究竟是VPN客户端上网参数设置不正确,还是局域网的RAS服务器工作状态不正常,或者是局域网没有组建成功呢?现在,本文就将该故障现象的详细排查过程贡献出来,希望各位朋友能从中获得收益!

VPN客户端不能上网故障

某公司在安装了Windows Server 2003系统的主机中架设了文件服务器,由于工作需要各个子公司经常要远程访问单位局域网中的文件服务器;以往用户都是通过拨号方式来进行远程访问,不过这种访问方式不但速度非常缓慢,而且网络访问成本也比较高。为了节约上网成本,公司打算对局域网进行改造,以便允许子公司用户通过VPN连接访问局域网中的RAS服务器,并能通过该服务器访问Internet网络以及目标Web网站,毕竟这种网络访问方式不但传输速度快、上网成本低,而且数据传输的安全性也能得到有效保证。

考虑到RAS服务器既要与局域网内网连接,又要与Internet网络连接,所以笔者在服务器系统所在的主机中同时安装了两块网卡,并为第一块网卡分配了“10.176.6.156”这样的IP地址,以便让该网关设备直接公司的局域网网络保持连接,为第二块网卡分配了“61.166.12.118”这样的IP地址,以便让该网卡设备与Internet网络直接保持连接。在配置好服务器主机中的每一块网卡设备参数后,笔者下面就准备在其中正式安装RAS服务器了。

安装RAS服务器的操作比较简单,笔者先是以系统管理员账号登录进Windows Server 2003系统,打开该系统的“开始”菜单,从中依次点选“设置”、“控制面板”选项,打开对应服务器系统的控制面板窗口,用鼠标双击其中的“管理工具”选项图标,在弹出的管理工具列表窗口中双击“路由和远程访问”选项图标,进入路由和远程访问控制台界面;

在目标控制台界面的左侧子窗格中,找到目标服务器主机名称,并用鼠标右键单击该名称选项,再单击弹出菜单中的“配置路由和远程访问”选项命令,打开安装配置向导对话框(如图1所示),根据向导提示先将“远程访问或VPN拨号”项目选中,再将“VPN”选中,在之后出现的VPN连接设置窗口中,选中服务器主机中与Internet网络保持直接连接的那个本地连接,同时设置是否保护该网络连接,当向导屏幕要求我们设置客户端IP地址时,我们应该将其设置为自动为VPN客户端分配IP地址,最后再根据默认向导提示完成剩余的安装、配置操作就可以了。

直击故障现场:顽固的VPN访问故障

图1

在完成了RAS服务器的安装、配置任务后,笔者又在该服务器系统中用鼠标右键单击桌面中的“我的电脑”图标,并执行弹出菜单中的“管理”命令,打开对应系统的计算机管理窗口,在该窗口的左侧显示区域依次展开“系统工具”/“本地用户和组”/“用户”分支选项,在目标分支选项的右侧显示区域,创建了一个新的VPN连接账号,再用鼠标右键单击该连接账号,从其后出现的快捷菜单中点选“属性”命令,打开该账号的属性设置窗口,选中该设置窗口中的“拨入”标签,并在对应的标签设置页面中,将对应的远程访问权限设置成“允许拨入”,这样一来各个子公司的用户日后就能利用该账号远程连接到目标RAS服务器了,而RAS服务器的架设任务也就算完成了。

原以为架设好RAS服务器后,子公司的用户就能进行VPN连接访问了,不过当笔者在普通工作站中创建一个VPN连接,并尝试通过该连接访问

RAS服务器时,发现VPN客户端虽然可以成功与RAS服务器建立连接,但是连接成功后却无法通过RAS服务器访问Internet网络,这时笔者有点手足无措了,VPN客户端竟然不能访问Internet中的网站内容,这是什么原因呢,难道是RAS服务器本身不能访问Internet网络,或者是服务器主机系统中的防火墙对Internet访问进行了限制?想到这一点,笔者立即来到RAS服务器现场进行了测试,发现RAS服务器本地访问Internet网络很顺利,同时该服务器中也没有启用网络防火墙,这究竟是怎么回事呢?#p#

追查客户端不能上网原因

刚开始的时候,笔者怀疑公司的RAS服务器上网参数没有配置正确,或者RAS服务器与Internet网络之间的上网线路发生了一些故障,不过在对上面的各项可能因素进行仔细检查后,笔者看到VPN客户端仍然不能正常访问Internet网络。不得已,笔者只好在VPN客户端系统依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,找到目标VPN连接,并用鼠标右键单击该连接图标,从弹出的快捷菜单中执行“属性”命令,打开目标VPN连接的属性设置窗口,单击其中的“网络”选项卡,并将该选项设置页面中的“Internet协议(TCP/IP)”选项选中,同时单击“属性”按钮,进入目标VPN连接的TCP/IP属性界面;在该属性界面中继续单击“高级”按钮,在弹出的高级设置页面中单击“常规”选项卡,进入如图2所示的选项设置页面,在该页面中笔者看到“在远程网络上使用默认网关”选项默认被选中了,会不会是该功能选项在“捣乱”呢?为了测试该功能选项的作用,笔者暂时取消了“在远程网络上使用默认网关”项目的选中状态,之后重新通过VPN连接进行上网访问时,发现VPN客户端果然能够访问Internet网络了,这说明VPN客户端不能上网与“在远程网络上使用默认网关”选项有关。

直击故障现场:顽固的VPN访问故障

图2

可是,简单地取消“在远程网络上使用默认网关”项目的选中状态后,又出现了另外一个故障现象,那就是VPN客户端只能访问公司的RAS服务器一台主机了,而不能同时访问局域网中的其他普通工作站了,这是因为RAS服务器在默认状态下并没有访问公司局域网的路由记录。为了解决这个故障现象,笔者立即对症下药,重新进入RAS服务器所在的主机系统,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中执行字符串命令“cmd”,将系统切换到DOS命令行工作窗口;在该窗口的DOS命令行提示符下,笔者通过Windows服务器系统自带的“route add”命令,手工增加了通往公司内部网络的路由记录,假设公司局域网采用“10.176.6.0”网络地址,并且局域网默认使用“10.176.6.1”网关地址,那么笔者只要在DOS命令行提示符下执行字符串命令“route add 10.176.6.0 mask 255.255.255.0 10.176.6.1”,经过这样的设置VPN客户端果然可以同时访问公司内部的局域网以及Internet网络了。

最后的小结

总结上面的故障排除过程,笔者认为刚开始VPN客户端之所以不能正常访问Internet网络,是由于RAS服务器使用的默认网关恰好是连接到公司局域网的,而在默认状态下RAS服务器又自动选中了“在远程网络上使用默认网关”功能选项,这就造成了VPN客户端只能访问公司局域网而不能访问Internet网络的原因了。当笔者取消了“在远程网络上使用默认网关”的默认选中状态后,VPN客户端就会先将IP数据包通过VPN网络连接提交给RAS服务器,然后RAS服务器会通过另外一块网卡建立的网络连接将IP数据包转交给Internet网络,这样就能正常访问Internet网络了。

此外,还需要提醒各位朋友注意的是,当我们对RAS服务器的上网参数进行修改时,尽量每完成一次改动操作就将RAS服务器系统重新启动一下,如此一来才能及时保证改动过的操作会及时生效,要是频繁修改参数而不及时重启系统时,那么很可能会出现网络配置越配越乱的现象。而且,日后当我们发现VPN客户端无法通过VPN连接访问网络时,应该及时检查VPN客户端的IP地址与RAS服务器的默认网关地址是否位于相同的工作子网中,如果发现它们不相同时,我们应该及时将它们修改过来。

继续浏览有关 安全 的文章
发表评论