분할 터널링 및 서브넷 외 주소 지정을 사용하는 SSTP VPN을 사용하여 Windows Server 2012 및 Windows 7 및 Windows 8 VPN 클라이언트를 구성하려고하지만 문제가 발생합니다. RRAS 서버가 패킷을 VPN으로 보내지 않습니다 자체가 아닌 다른 시스템의 클라이언트.
내 VPN 서버는 Amazon의 “가상 사설 클라우드”에서 실행되므로 사설 IP 주소를 가진 하나의 NIC, 다른 모든 Amazon VPC 서버와 공유되는 RFC1918 네트워크 및 모든 트래픽을 해당 개인 주소로 전달하는 공개 IP 만 있습니다. NAT를 통해 (Amazon에서이를 “Elastic IP”라고 함)
RRAS를 설치하고 VPN을 설정했습니다. Amazon의 프라이빗 서브넷은 172.16.0.0/17 (이것은 “Amazon LAN”이라고 부르는 것입니다)이지만 모든 VPN 클라이언트가 10.128.0.0/20 범위 ( ” VPN LAN “).
Amazon 제어판에서 다음을 수행했습니다.
- VPN 서버의 소스 / 대상 확인 비활성화
- VPN 서버의 네트워크 인터페이스를 가리키는 10.128.0.0/20 풀의 라우팅 테이블에 항목을 추가했습니다.
라우팅 및 원격 액세스 MMC 내에서 서버 이름의 속성 메뉴 내에서 다음을 수행했습니다.
- 일반 탭-> IPv4 라우터 (확인), LAN 및 필요시 전화 접속 라우팅에 사용
- 일반 탭-> IPv4 원격 액세스 서버 (확인)
- IPv4 탭-> IPv4 전달 사용 (확인)
- IPv4 탭-> 고정 주소 풀을 지정하고 10.128.0.1-10.128.15.154를 지정하십시오.
내 클라이언트와 모든 서버에서 방화벽에서 ICMP가 명시 적으로 허용되거나 방화벽이 완전히 비활성화되어 있는지 확인했습니다 (물론 영구 계획은 아님).
클라이언트에서 분할 터널링을 사용하려면 VPN 연결-> 네트워킹-> IPv4-> 속성-> 고급-> IP 설정 탭의 속성으로 이동하여 “원격 네트워크에서 기본 게이트웨이 사용”을 선택 해제했습니다. “클래스 기반 경로 추가 비활성화”를 선택했습니다.
이 시점에서 클라이언트는 Windows 7/8 VPN 클라이언트를 사용하여 연결할 수 있습니다. 10.128.0.0/20 풀에서 IP가 할당되지만 경로를 자동으로 설정하지 않으므로 원격 네트워크와 통신 할 수 없습니다. 클라이언트에서 다음과 같이 원격 네트워크 및 VPN 네트워크로 경로를 설정할 수 있습니다.
route add 172.16.0.0/17 <VPN IP ADDRESS>
route add 10.128.0.0/20 <VPN IP ADDRESS>
이제 클라이언트는 VPN 서버 (10.128.0.1)의 VPN LAN 주소와 Amazon LAN 주소 (172.16.1.32)를 ping 할 수 있습니다. 그러나 Amazon LAN의 다른 컴퓨터와 통신하려고 할 때 문제가 발생합니다. 핑이 응답을받지 못합니다.
예를 들어 클라이언트가 172.16.0.113과 같은 핑에 응답하고 응답 한 시스템을 핑하려고하면 해당 응답이 표시되지 않습니다 ( “요청 시간이 초과되었습니다”라고 표시됨). VPN 서버의 Wireshark는 클라이언트에서 ping을 보거나 172.16.0.113에서 보낸 응답을 보더라도 해당 응답은 클라이언트로 다시 돌아 가지 않습니다.
또한 클라이언트의 VPN LAN 주소를 172.16.0.113에서 핑 (ping)하면 VPN 서버의 Wireshark가 핑 (ping)을 보지만 응답을 볼 수는 없습니다.
요약하면 다음과 같습니다.
- VPN 서버는 Amazon LAN (172.16.0.0/17)의 다른 머신을 ping하고 응답을 수신 할 수 있으며 해당 네트워크의 다른 머신도 이와 동일한 작업을 수행 할 수 있습니다.
- VPN 클라이언트는 앞에서 설명한대로 클라이언트가 올바른 경로를 추가 한 후 서버의 Amazon LAN 주소를 핑하고 응답을 수신 할 수 있습니다.
- VPN 클라이언트는 서버의 VPN LAN 주소 10.128.0.1을 핑 (ping) 할 수 있고, VPN 서버는 클라이언트가 앞에서 설명한대로 경로를 추가 한 후 10.128.0.0/20 범위에서 클라이언트의 VPN LAN 주소를 핑 (ping) 할 수 있습니다.
- VPN 클라이언트는 Amazon LAN의 컴퓨터로 핑을 보낼 수 있지만 해당 컴퓨터가 회신을 보내면 VPN 서버에서 중지됩니다. 클라이언트로 전달되지 않아 클라이언트에 “Request timed out”메시지가 표시됩니다. . 반대로, Amazon LAN의 머신이 클라이언트의 10.128.0.0/20 VPN LAN 주소를 핑하려고하면 VPN 서버는 핑을 보지만 클라이언트는 절대 응답하지 않으므로 응답을 생성하지 않습니다.
VPN 서버가 Amazon LAN에서 VPN LAN의 클라이언트로 패킷을 보내지 않는 이유는 무엇입니까? VPN LAN의 클라이언트와 확실히 통신 할 수 있으며 라우팅이 활성화되어 있으며 VPN LAN-> Amazon LAN에서 패킷을 라우팅하려고하지만 반대는 아닙니다. 내가 여기서 무엇을 놓치고 있습니까?
노선
다음은 VPN 클라이언트의 라우팅 테이블입니다. 클라이언트는 Windows 8을 실행하는 VirtualBox VM입니다. vbox 어댑터의 IP 주소는 / 24에서 10.0.2.15입니다. 이 클라이언트는 NAT 뒤에 있습니다 (실제로 vbox 어댑터는 로컬 로컬 네트워크 (NAT는 인터넷에 연결됨)이므로 NAT는 이중 NAT 뒤에 있습니다). 이 경로 테이블은 10.128.0.0/20 및 172.16.0.0/17에 경로를 수동으로 추가 한 후의 것 입니다.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.2.2 10.0.2.15 10
10.0.2.0 255.255.255.0 On-link 10.0.2.15 266
10.0.2.15 255.255.255.255 On-link 10.0.2.15 266
10.0.2.255 255.255.255.255 On-link 10.0.2.15 266
10.128.0.0 255.255.240.0 On-link 10.128.0.3 15
10.128.0.3 255.255.255.255 On-link 10.128.0.3 266
10.128.15.255 255.255.255.255 On-link 10.128.0.3 266
54.213.67.179 255.255.255.255 10.0.2.2 10.0.2.15 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.255.128.0 On-link 10.128.0.3 15
172.16.127.255 255.255.255.255 On-link 10.128.0.3 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.0.2.15 266
224.0.0.0 240.0.0.0 On-link 10.128.0.3 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.0.2.15 266
255.255.255.255 255.255.255.255 On-link 10.128.0.3 266
===========================================================================
Persistent Routes:
None
다음은 Windows Server 2012를 실행하는 RRAS 서버의 라우팅 테이블입니다.이 서버는 위에서 설명한 NAT 뒤에 있습니다. 하나의 NIC 만 있습니다. 개인 IP 주소는 172.16.1.32이며 / 23 (자체적으로 / 17 네트워크의 일부입니다. VPN 클라이언트에 도달하거나 도달 할 수 없습니다).
VPN 가상 어댑터는 클라이언트가 처음 연결할 때 자동으로 할당되는 고유 한 주소 10.128.0.1을 갖습니다. 표시되는 10.128.0.1 (자체) 및 10.128.0.2 (단 하나의 클라이언트) 경로도 해당 시점에 자동으로 추가됩니다. VPN 서버에 경로가 수동으로 추가되지 않습니다.
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.32 10
10.128.0.1 255.255.255.255 On-link 10.128.0.1 286
10.128.0.2 255.255.255.255 10.128.0.2 10.128.0.1 31
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.32 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.32 10
172.16.0.0 255.255.254.0 On-link 172.16.1.32 11
172.16.1.32 255.255.255.255 On-link 172.16.1.32 266
172.16.1.255 255.255.255.255 On-link 172.16.1.32 266
172.16.2.0 255.255.254.0 172.168.0.1 172.16.1.32 11
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.32 266
224.0.0.0 240.0.0.0 On-link 10.128.0.1 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.32 266
255.255.255.255 255.255.255.255 On-link 10.128.0.1 286
===========================================================================
Persistent Routes:
None
다음은 Server 2012를 실행하는 서버의 개인 네트워크에있는 다른 컴퓨터의 라우팅 테이블입니다. 개인 IP 주소가 172.16.1.177 인 NIC가 하나 있습니다. 이는 VPN 서버와 동일한 / 23에 있음을 의미합니다. (10.128.0.0/20에 대한 경로는 Amazon에서 제어하는 게이트웨이에 설정되어 있으므로 여기에 표시되지 않습니다. Wireshark에 대한 사실에 따라 Amazon에 올바른 경로를 추가했습니다. VPN 서버가 패킷을 확인합니다.)
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 172.16.0.1 172.16.1.177 10
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
169.254.169.250 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.251 255.255.255.255 172.16.0.1 172.16.1.177 10
169.254.169.254 255.255.255.255 172.16.0.1 172.16.1.177 10
172.16.0.0 255.255.254.0 On-link 172.16.1.177 266
172.16.1.177 255.255.255.255 On-link 172.16.1.177 266
172.16.1.255 255.255.255.255 On-link 172.16.1.177 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.16.1.177 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.16.1.177 266
===========================================================================
Persistent Routes:
None
다음은 Amazon 콘솔의 경로입니다. 나는 이것이 정확하다고 생각합니다. 트래픽 은 VPN 서버로 다시 돌아가서 내부에서 사라지기만합니다. 그러나 누군가가 그들을보고 싶어하는 경우 여기 있습니다. (Amazon은 약간 이상합니다. eni-2f3e8244 / i-77e26440
VPN 서버의 NIC와 igw-d4bc27bc
모든 인스턴스가 인터넷과 통신하는 데 사용하는 Amazon 제어 인터넷 NAT / 게이트웨이를 나타냅니다.)
10.128.0.0/20 eni-2f3e8244 / i-77e26440
172.16.0.0/17 local
0.0.0.0/0 igw-d4bc27bc
답변
서버에 정적 경로를 추가하여 10.128.0.0/20에 도달하려면 VPN의 서버 LAN 주소를 거쳐야한다고 말하는 방법은 무엇입니까?
route add 10.128.0.0 mask 255.255.240.0 a.b.c.d
abcd를 VPN 서버의 LAN 주소로 대체하십시오.
이것은 적어도 아마존 라우팅 문제를 배제 할 것입니다.