Windows VPNサーバーはVPNクライアントと通信できますが、ローカルネットワークからVPNクライアントにパケットを送信しません


8

スプリットトンネリングとオフサブネットアドレス指定を使用するSSTP VPNを使用して、Windows Server 2012とそのWindows 7およびWindows 8 VPNクライアントを構成したいのですが、問題が発生しています。RRASサーバーがパケットをVPNに送信しません自分以外のマシンのクライアント。

私のVPNサーバーはAmazonの「仮想プライベートクラウド」で実行されているため、他のすべてのAmazon VPCサーバーと共有するプライベートRFC1918ネットワーク上のIPアドレスを持つNICが1つだけあり、そのプライベートアドレスにすべてのトラフィックを転送するパブリックIPがありますNAT経由(Amazonはこれを「Elastic IP」と呼びます)。

RRASをインストールしてVPNを設定しました。Amazonのプライベートサブネットは172.16.0.0/17(これは「Amazon LAN」と呼んでいるものです)ですが、すべてのVPNクライアントで10.128.0.0/20(「 VPN LAN」)。

私のAmazonコントロールパネルでは、次のことを行いました。

  • VPNサーバーの送信元/送信先チェックを無効にしました
  • VPNサーバーのネットワークインターフェイスをポイントする10.128.0.0/20プールのルートテーブルにエントリを追加しました。

ルーティングとリモートアクセスMMC内、サーバー名のプロパティメニュー内で、次の操作を行いました。

  • [全般]タブ-> IPv4ルーター(オン)、LANおよびデマンドダイヤルルーティングに対応
  • [全般]タブ-> [IPv4リモートアクセスサーバー](オン)
  • IPv4タブ-> IPv4転送を有効にする(チェックあり)
  • IPv4タブ->静的アドレスプール、および10.128.0.1-10.128.15.154を指定

クライアントとすべてのサーバーで、ファイアウォールでICMPが明示的に許可されていること、またはファイアウォールが完全に無効になっていることを確認しました(もちろん、恒久的な計画ではありません)。

クライアントで、スプリットトンネリングを有効にするために、VPN接続のプロパティに移動し、[ネットワーク]-> [IPv4]-> [プロパティ]-> [詳細設定]-> [IP設定]タブをクリックし、[リモートネットワークでデフォルトゲートウェイを使用する]チェックボックスをオフにしました。 「クラスベースのルート追加を無効にする」にチェックを入れた。

この時点で、クライアントはWindows 7/8 VPNクライアントを使用して接続できます。10.128.0.0/20プールからIPが割り当てられますが、ルートを自動的に設定しないため、リモートネットワークと通信できません。リモートネットワークとVPNネットワークへのルートを次のように設定できます(クライアント上):

route add 172.16.0.0/17 <VPN IP ADDRESS> 
route add 10.128.0.0/20 <VPN IP ADDRESS> 

これで、クライアントはVPNサーバーのVPN LANアドレス(10.128.0.1)と、そのAmazon LANアドレス(172.16.1.32)にpingできるようになります。ただし、Amazon LAN上の他のマシンと通信しようとすると問題が発生します。pingは応答を受け取りません。

したがって、たとえば、クライアントが、稼働していることがわかっているシステムにpingを実行しようとして172.16.0.113のようなpingに応答した場合、それらの応答は表示されません(「要求がタイムアウトしました」と表示されます)。VPNサーバー上のWiresharkは、クライアントからのpingを確認し、172.16.0.113から送信された応答も確認しますが、その応答がクライアントに返されることはないようです。

さらに、クライアントのVPN LANアドレスに172.16.0.113からpingを実行すると、VPNサーバーのWiresharkにはpingが表示されますが、応答は表示されません。

要約すると、

  • VPNサーバーはAmazon LAN(172.16.0.0/17)上の他のマシンにpingを送信して応答を受信でき、そのネットワーク上の他のマシンは同じようにそれを実行できます。
  • 前述のようにクライアントが適切なルートを追加した後、VPNクライアントはサーバーのAmazon LANアドレスにpingを送信し、応答を受信できます。
  • VPNクライアントは、サーバーのVPN LANアドレス10.128.0.1にpingを送信でき、VPNサーバーは、前述のようにクライアントが適切なルートをルートに追加した後、10.128.0.0 / 20範囲のクライアントのVPN LANアドレスにpingを送信できます。
  • VPNクライアントはAmazon LAN上のマシンにpingを送信できますが、それらのマシンが応答を送信すると、VPNサーバーで停止します-クライアントに転送されないため、クライアントに「リクエストがタイムアウトしました」というメッセージが表示されます。逆に、Amazon LAN上のマシンがクライアントの10.128.0.0/20 VPN LANアドレスをpingしようとすると、VPNサーバーはpingを認識しますが、クライアントはpingを行わないため、応答を生成しません。

VPNサーバーがAmazon LANからVPN LAN上のクライアントにパケットを送信しないのはなぜですか?VPN LAN上のクライアントと確実に通信でき、ルーティングが有効になっています。VPNLAN-> Amazon LANからパケットをルーティングすることはできますが、その逆はできません。ここで何が欠けていますか?

ルート

VPNクライアントからのルーティングテーブルを次に示します。クライアントは、Windows 8を実行しているVirtualBox VMです。そのvboxアダプターのIPアドレスは、/ 24では10.0.2.15です。このクライアントはNATの背後にあります(実際には、vboxアダプターは私のローカルネットワークにNAT変換されており、これはインターネットにNAT変換されているためです)。このルートテーブルは、手動でルートを10.128.0.0/20および172.16.0.0/17に追加した後のものです。

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         10.0.2.2        10.0.2.15     10
         10.0.2.0    255.255.255.0         On-link         10.0.2.15    266
        10.0.2.15  255.255.255.255         On-link         10.0.2.15    266
       10.0.2.255  255.255.255.255         On-link         10.0.2.15    266
       10.128.0.0    255.255.240.0         On-link        10.128.0.3     15
       10.128.0.3  255.255.255.255         On-link        10.128.0.3    266
    10.128.15.255  255.255.255.255         On-link        10.128.0.3    266
    54.213.67.179  255.255.255.255         10.0.2.2        10.0.2.15     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.0.0    255.255.128.0         On-link        10.128.0.3     15
   172.16.127.255  255.255.255.255         On-link        10.128.0.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         10.0.2.15    266
        224.0.0.0        240.0.0.0         On-link        10.128.0.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link         10.0.2.15    266
  255.255.255.255  255.255.255.255         On-link        10.128.0.3    266
===========================================================================
Persistent Routes:
  None

次に、Windows Server 2012を実行しているRRASサーバーからのルーティングテーブルを示します。このサーバーも、上記のようにNATの背後にあります。NICは1つだけです。/ 23のプライベートIPアドレスは172.16.1.32です(それ自体が/ 17ネットワークの一部です。/23の外にある/ 17の部分は無視するのが妥当だと思います。 VPNクライアントから到達できない、または到達できない)。

VPN仮想アダプターには独自のアドレス10.128.0.1があり、クライアントが初めて接続したときに自動的に割り当てられます。表示される10.128.0.1(それ自体への)および10.128.0.2(その唯一のクライアントへの)のルートも、そのときに自動的に追加されます。ルートはVPNサーバーに手動で追加されません。

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.0.1      172.16.1.32     10
       10.128.0.1  255.255.255.255         On-link        10.128.0.1    286
       10.128.0.2  255.255.255.255       10.128.0.2       10.128.0.1     31
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  169.254.169.250  255.255.255.255       172.16.0.1      172.16.1.32     10
  169.254.169.251  255.255.255.255       172.16.0.1      172.16.1.32     10
  169.254.169.254  255.255.255.255       172.16.0.1      172.16.1.32     10
       172.16.0.0    255.255.254.0         On-link       172.16.1.32     11
      172.16.1.32  255.255.255.255         On-link       172.16.1.32    266
     172.16.1.255  255.255.255.255         On-link       172.16.1.32    266
       172.16.2.0    255.255.254.0      172.168.0.1      172.16.1.32     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       172.16.1.32    266
        224.0.0.0        240.0.0.0         On-link        10.128.0.1    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       172.16.1.32    266
  255.255.255.255  255.255.255.255         On-link        10.128.0.1    286
===========================================================================
Persistent Routes:
  None

これもサーバー2012を実行しているサーバーのプライベートネットワーク上の別のマシンのルーティングテーブルです。NICが1つあり、プライベートIPアドレスは172.16.1.177です。つまり、VPNサーバーと同じ/ 23にあります。(10.128.0.0/20へのルートは、Amazonによって制御されるゲートウェイで設定されているため、ここには表示されないことに注意してください。Amazonへの正しいルートを追加しました。これは、WiresharkがVPNサーバーはパケットを参照します。)

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.0.1     172.16.1.177     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  169.254.169.250  255.255.255.255       172.16.0.1     172.16.1.177     10
  169.254.169.251  255.255.255.255       172.16.0.1     172.16.1.177     10
  169.254.169.254  255.255.255.255       172.16.0.1     172.16.1.177     10
       172.16.0.0    255.255.254.0         On-link      172.16.1.177    266
     172.16.1.177  255.255.255.255         On-link      172.16.1.177    266
     172.16.1.255  255.255.255.255         On-link      172.16.1.177    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.1.177    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.1.177    266
===========================================================================
Persistent Routes:
  None

Amazonコンソールのルートは次のとおりです。私はこれらは正しいと思います-トラフィック VPNサーバーに戻ってきて、結局、VPNの内部に消えるだけです-しかし、誰かがそれらを見たい場合は、ここにあります。(Amazonは少し奇妙なeni-2f3e8244 / i-77e26440ことをします。VPNサーバーのNICをigw-d4bc27bc指し、私のすべてのインスタンスがインターネットとの通信に使用するAmazonが制御するインターネットNAT /ゲートウェイを指します。)

10.128.0.0/20   eni-2f3e8244 / i-77e26440   
172.16.0.0/17   local   
0.0.0.0/0       igw-d4bc27bc

2
私はかつてあなたとほとんど同じ設定を使用したことがあり、何が間違っているのか本当に思い出せません。クライアント、サーバー、および1つのホストからのルートプリント出力を172.16ネットワークに投稿できますか?(私の推測では、176.16ネットワークのホストには正しいルートがないと思います)
Dusan Bajic '16

また、172.16ホストの1つからvpnクライアントへのtracertを使用してテストします。これは、vpnサーバーに到達することはありますか?
Dusan Bajic 2013

要求された情報route printtracert出力を追加し、以前に追加したいくつかの情報に重要な修正を加えました。(ya'llの助けをありがとう!)
ミカRレッドベッター

1
変だ。VPNクライアントの静的アドレスプールはどのように正確に構成されていますか?
Dusan Bajic 2013

@ dusan.bajic開始IPアドレス:10.128.0.0; 終了IPアドレス:10.128.15.255; アドレスの数:4096
ミカRレッドベター

回答:


1

サーバーに静的ルートを追加して、10.128.0.0 / 20に到達するにはVPNのサーバーLANアドレスを経由する必要があることをサーバーに通知するとどうなるでしょうか。

route add 10.128.0.0 mask 255.255.240.0 a.b.c.d

abcdをVPNサーバーのLANアドレスに置き換えます。

これにより、少なくとも、amazonのルーティングに関する問題が排除されます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.