スプリットトンネリングとオフサブネットアドレス指定を使用するSSTP VPNを使用して、Windows Server 2012とそのWindows 7およびWindows 8 VPNクライアントを構成したいのですが、問題が発生しています。RRASサーバーがパケットをVPNに送信しません自分以外のマシンのクライアント。
私のVPNサーバーはAmazonの「仮想プライベートクラウド」で実行されているため、他のすべてのAmazon VPCサーバーと共有するプライベートRFC1918ネットワーク上のIPアドレスを持つNICが1つだけあり、そのプライベートアドレスにすべてのトラフィックを転送するパブリックIPがありますNAT経由(Amazonはこれを「Elastic IP」と呼びます)。
RRASをインストールしてVPNを設定しました。Amazonのプライベートサブネットは172.16.0.0/17(これは「Amazon LAN」と呼んでいるものです)ですが、すべてのVPNクライアントで10.128.0.0/20(「 VPN LAN」)。
私のAmazonコントロールパネルでは、次のことを行いました。
- VPNサーバーの送信元/送信先チェックを無効にしました
- VPNサーバーのネットワークインターフェイスをポイントする10.128.0.0/20プールのルートテーブルにエントリを追加しました。
ルーティングとリモートアクセスMMC内、サーバー名のプロパティメニュー内で、次の操作を行いました。
- [全般]タブ-> IPv4ルーター(オン)、LANおよびデマンドダイヤルルーティングに対応
- [全般]タブ-> [IPv4リモートアクセスサーバー](オン)
- IPv4タブ-> IPv4転送を有効にする(チェックあり)
- IPv4タブ->静的アドレスプール、および10.128.0.1-10.128.15.154を指定
クライアントとすべてのサーバーで、ファイアウォールでICMPが明示的に許可されていること、またはファイアウォールが完全に無効になっていることを確認しました(もちろん、恒久的な計画ではありません)。
クライアントで、スプリットトンネリングを有効にするために、VPN接続のプロパティに移動し、[ネットワーク]-> [IPv4]-> [プロパティ]-> [詳細設定]-> [IP設定]タブをクリックし、[リモートネットワークでデフォルトゲートウェイを使用する]チェックボックスをオフにしました。 「クラスベースのルート追加を無効にする」にチェックを入れた。
この時点で、クライアントはWindows 7/8 VPNクライアントを使用して接続できます。10.128.0.0/20プールからIPが割り当てられますが、ルートを自動的に設定しないため、リモートネットワークと通信できません。リモートネットワークとVPNネットワークへのルートを次のように設定できます(クライアント上):
route add 172.16.0.0/17 <VPN IP ADDRESS>
route add 10.128.0.0/20 <VPN IP ADDRESS>
これで、クライアントはVPNサーバーのVPN LANアドレス(10.128.0.1)と、そのAmazon LANアドレス(172.16.1.32)にpingできるようになります。ただし、Amazon LAN上の他のマシンと通信しようとすると問題が発生します。pingは応答を受け取りません。
したがって、たとえば、クライアントが、稼働していることがわかっているシステムにpingを実行しようとして172.16.0.113のようなpingに応答した場合、それらの応答は表示されません(「要求がタイムアウトしました」と表示されます)。VPNサーバー上のWiresharkは、クライアントからのpingを確認し、172.16.0.113から送信された応答も確認しますが、その応答がクライアントに返されることはないようです。
さらに、クライアントのVPN LANアドレスに172.16.0.113からpingを実行すると、VPNサーバーのWiresharkにはpingが表示されますが、応答は表示されません。
要約すると、
- VPNサーバーはAmazon LAN(172.16.0.0/17)上の他のマシンにpingを送信して応答を受信でき、そのネットワーク上の他のマシンは同じようにそれを実行できます。
- 前述のようにクライアントが適切なルートを追加した後、VPNクライアントはサーバーのAmazon LANアドレスにpingを送信し、応答を受信できます。
- VPNクライアントは、サーバーのVPN LANアドレス10.128.0.1にpingを送信でき、VPNサーバーは、前述のようにクライアントが適切なルートをルートに追加した後、10.128.0.0 / 20範囲のクライアントのVPN LANアドレスにpingを送信できます。
- VPNクライアントはAmazon LAN上のマシンにpingを送信できますが、それらのマシンが応答を送信すると、VPNサーバーで停止します-クライアントに転送されないため、クライアントに「リクエストがタイムアウトしました」というメッセージが表示されます。逆に、Amazon LAN上のマシンがクライアントの10.128.0.0/20 VPN LANアドレスをpingしようとすると、VPNサーバーはpingを認識しますが、クライアントはpingを行わないため、応答を生成しません。
VPNサーバーがAmazon LANからVPN LAN上のクライアントにパケットを送信しないのはなぜですか?VPN LAN上のクライアントと確実に通信でき、ルーティングが有効になっています。VPNLAN-> Amazon LANからパケットをルーティングすることはできますが、その逆はできません。ここで何が欠けていますか?
ルート
VPNクライアントからのルーティングテーブルを次に示します。クライアントは、Windows 8を実行しているVirtualBox VMです。そのvboxアダプターのIPアドレスは、/ 24では10.0.2.15です。このクライアントはNATの背後にあります(実際には、vboxアダプターは私のローカルネットワークにNAT変換されており、これはインターネットにNAT変換されているためです)。このルートテーブルは、手動でルートを10.128.0.0/20および172.16.0.0/17に追加した後のものです。
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.2.2 10.0.2.15 10
10.0.2.0 255.255.255.0 On-link 10.0.2.15 266
10.0.2.15 255.255.255.255 On-link 10.0.2.15 266
10.0.2.255 255.255.255.255 On-link 10.0.2.15 266
10.128.0.0 255.255.240.0 On-link 10.128.0.3 15
10.128.0.3 255.255.255.255 On-link 10.128.0.3 266
10.128.15.255 255.255.255.255 On-link 10.128.0.3 266
54.213.67.179 255.255.255.255 10.0.2.2 10.0.2.15 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.128.0 On-link 10.128.0.3 15
172.16.127.255 255.255.255.255 On-link 10.128.0.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.2.15 266
224.0.0.0 240.0.0.0 On-link 10.128.0.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.2.15 266
255.255.255.255 255.255.255.255 On-link 10.128.0.3 266
===========================================================================
Persistent Routes:
None
次に、Windows Server 2012を実行しているRRASサーバーからのルーティングテーブルを示します。このサーバーも、上記のようにNATの背後にあります。NICは1つだけです。/ 23のプライベートIPアドレスは172.16.1.32です(それ自体が/ 17ネットワークの一部です。/23の外にある/ 17の部分は無視するのが妥当だと思います。 VPNクライアントから到達できない、または到達できない)。
VPN仮想アダプターには独自のアドレス10.128.0.1があり、クライアントが初めて接続したときに自動的に割り当てられます。表示される10.128.0.1(それ自体への)および10.128.0.2(その唯一のクライアントへの)のルートも、そのときに自動的に追加されます。ルートはVPNサーバーに手動で追加されません。
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.32 10
10.128.0.1 255.255.255.255 On-link 10.128.0.1 286
10.128.0.2 255.255.255.255 10.128.0.2 10.128.0.1 31
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.32 10
172.16.0.0 255.255.254.0 On-link 172.16.1.32 11
172.16.1.32 255.255.255.255 On-link 172.16.1.32 266
172.16.1.255 255.255.255.255 On-link 172.16.1.32 266
172.16.2.0 255.255.254.0 172.168.0.1 172.16.1.32 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.32 266
224.0.0.0 240.0.0.0 On-link 10.128.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.32 266
255.255.255.255 255.255.255.255 On-link 10.128.0.1 286
===========================================================================
Persistent Routes:
None
これもサーバー2012を実行しているサーバーのプライベートネットワーク上の別のマシンのルーティングテーブルです。NICが1つあり、プライベートIPアドレスは172.16.1.177です。つまり、VPNサーバーと同じ/ 23にあります。(10.128.0.0/20へのルートは、Amazonによって制御されるゲートウェイで設定されているため、ここには表示されないことに注意してください。Amazonへの正しいルートを追加しました。これは、WiresharkがVPNサーバーはパケットを参照します。)
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.177 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.177 10
172.16.0.0 255.255.254.0 On-link 172.16.1.177 266
172.16.1.177 255.255.255.255 On-link 172.16.1.177 266
172.16.1.255 255.255.255.255 On-link 172.16.1.177 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.177 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.177 266
===========================================================================
Persistent Routes:
None
Amazonコンソールのルートは次のとおりです。私はこれらは正しいと思います-トラフィックは VPNサーバーに戻ってきて、結局、VPNの内部に消えるだけです-しかし、誰かがそれらを見たい場合は、ここにあります。(Amazonは少し奇妙なeni-2f3e8244 / i-77e26440ことをします。VPNサーバーのNICをigw-d4bc27bc指し、私のすべてのインスタンスがインターネットとの通信に使用するAmazonが制御するインターネットNAT /ゲートウェイを指します。)
10.128.0.0/20 eni-2f3e8244 / i-77e26440
172.16.0.0/17 local
0.0.0.0/0 igw-d4bc27bc
route printとtracert出力を追加し、以前に追加したいくつかの情報に重要な修正を加えました。(ya'llの助けをありがとう!)