服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows 2008上的SSTP无法在任何方向上进行ping
Intereting Posts
AIX中的rootvg是什么? 相关ID Sharepoint 2010 SSL证书未刷新 ASes,前缀和Internet骨干网的可视化 用于Windows的testing/虚拟SMTP服务器 多台机器的快照 有一个简单的LDAP到HTTP网关吗? 使用Ports升级Postgres 8.3到8.4(在FreeBSD上) 是否有可能限制每个“用户代理”在htaccess中的连接? Mysql 5.6客户端无法显示UTF8字符 如何使主机和客户操作系统互相看到 是否可以停用Windows Server 2008 R2? 没有发现SSH密钥从Windowslogin到CentOS 5.5(Cygwin) 如何处理具有多个Web子域和电子邮件的服务器主机名? vrrp路由ping,但不是其他stream量

Windows 2008上的SSTP无法在任何方向上进行ping

我有以下设置继续。

服务器:configuration为AD,DHCP,DNS,CA和RRAS的Windows 2008服务器。 长话短说,RRAS可以接受SSTP连接,客户端连接正常。 客户获得IP地址。

客户端:Windows 7操作系统

组态:

我在外围有一个Linux防火墙。 该端口已打开,将443转发到RRAS服务器上的内部IP地址和端口。

专用networking位于10.100.0.0/16子网上。

RRAS服务器有2个网卡。 NIC1 = 10.100.85.15和NIC2 = 10.100.85.16。 NIC2正在接受来自公共互联网的SSTP连接。 NIC2上的适配器设置只有静态IP和子网。 NIC2上没有configuration网关和DNS服务器(这是基于我在Windows 2003上设置PPTP的某处所做的)。 NIC1具有2个NIC中的最高优先级。

已经为VPN设置了RRAS(没有NAT)。 IP地址分配是静态的,从10.100.77.250到10.100.77.254(与私网相同的子网)。

我已经允许ICMP任何方向在入站和出站filter。

Windows防火墙已被configuration为允许几乎所有 – 然后在这个configuration我已经closures了Windows防火墙服务。

我没有添加任何静态路由到RRAS。

如前所述,VPN客户端能够通过SSTP连接到RRAS并获得IP地址。 客户端能够ping通RRAS网关(10.100.77.250),NIC1和NIC2。

问题:

客户端无法ping到除RRAS服务器以外的任何计算机

更多debugging信息:

我在RRAS服务器上安装了Microsoftnetworking监视器来监视ICMP数据包。 我看到从客户端(比如说10.100.77.251)到RRAS到目的地服务器(比如说10.100.20.10)的ICMP请求,10.100.20.10响应ICMP回复到10.100.77.251和NIC1的以太网地址。 此时,这里是RRAS服务器的路由表。 

=========================================================================== Interface List 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0 13 ...7e ab 6f 21 e8 30 ...... Citrix PV Ethernet Adapter #1 26 ........................... RAS (Dial In) Interface 1 ........................... Software Loopback Interface 1 14 ...00 00 00 00 00 00 00 e0 isatap.{BCF77165-229C-410C-AE43-D71B6D902F6A} 27 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 15 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205} =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356 10.100.0.0 255.255.0.0 On-link 10.100.85.15 356 10.100.0.0 255.255.0.0 On-link 10.100.85.16 358 10.100.77.253 255.255.255.255 10.100.77.253 10.100.77.254 31 10.100.77.254 255.255.255.255 On-link 10.100.77.254 286 10.100.85.15 255.255.255.255 On-link 10.100.85.15 356 10.100.85.16 255.255.255.255 On-link 10.100.85.16 358 10.100.255.255 255.255.255.255 On-link 10.100.85.15 356 10.100.255.255 255.255.255.255 On-link 10.100.85.16 358 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 10.100.85.16 358 224.0.0.0 240.0.0.0 On-link 10.100.85.15 356 224.0.0.0 240.0.0.0 On-link 10.100.77.254 286 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 10.100.85.16 358 255.255.255.255 255.255.255.255 On-link 10.100.85.15 356 255.255.255.255 255.255.255.255 On-link 10.100.77.254 286 =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 0.0.0.0 0.0.0.0 10.100.0.1 Default 0.0.0.0 0.0.0.0 10.100.0.1 Default 0.0.0.0 0.0.0.0 10.100.0.1 Default =========================================================================== IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 1 306 ::1/128 On-link 13 266 fe80::/64 On-link 12 266 fe80::/64 On-link 12 266 fe80::a8b1:77f:5eb0:d5a8/128 On-link 13 266 fe80::f8a0:2a9d:bee9:e688/128 On-link 1 306 ff00::/8 On-link 13 266 ff00::/8 On-link 12 266 ff00::/8 On-link =========================================================================== Persistent Routes: None

我知道有一些路由问题…我已经尝试所有组合插入路由添加到RRAS,但没有任何工作。 任何帮助是极大的赞赏。

更新:将AD机器转换为单个NICconfiguration。 这是客户端连接时客户端和RRAS上的路由表。 

 =========================================================================== Interface List 12 ...7a dd d0 eb af 8c ...... Citrix PV Ethernet Adapter #0 22 ........................... RAS (Dial In) Interface 1 ........................... Software Loopback Interface 1 23 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 14 ...00 00 00 00 00 00 00 e0 isatap.{4705FD1E-0998-43A4-9EBE-46776B90B205} =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.100.0.1 10.100.85.15 356 10.100.0.0 255.255.0.0 On-link 10.100.85.15 356 10.100.77.252 255.255.255.255 10.100.77.252 10.100.77.254 31 10.100.77.254 255.255.255.255 On-link 10.100.77.254 286 10.100.85.15 255.255.255.255 On-link 10.100.85.15 356 10.100.255.255 255.255.255.255 On-link 10.100.85.15 356 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 10.100.85.15 356 224.0.0.0 240.0.0.0 On-link 10.100.77.254 286 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 10.100.85.15 356 255.255.255.255 255.255.255.255 On-link 10.100.77.254 286 =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 0.0.0.0 0.0.0.0 10.100.0.1 Default 0.0.0.0 0.0.0.0 10.100.0.1 Default 0.0.0.0 0.0.0.0 10.100.0.1 Default =========================================================================== IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 1 306 ::1/128 On-link 12 266 fe80::/64 On-link 12 266 fe80::a8b1:77f:5eb0:d5a8/128 On-link 1 306 ff00::/8 On-link 12 266 ff00::/8 On-link =========================================================================== Persistent Routes: None

客户 

 =========================================================================== Interface List 23...........................VPN 10...08 00 27 e9 14 91 ......Intel(R) PRO/1000 MT Desktop Adapter 1...........................Software Loopback Interface 1 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.123.2 192.168.123.15 10 10.0.0.0 255.0.0.0 10.100.77.254 10.100.77.252 11 10.100.77.252 255.255.255.255 On-link 10.100.77.252 266 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.123.0 255.255.255.0 On-link 192.168.123.15 266 192.168.123.15 255.255.255.255 On-link 192.168.123.15 266 192.168.123.255 255.255.255.255 On-link 192.168.123.15 266 216.218.195.214 255.255.255.255 192.168.123.2 192.168.123.15 11 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.123.15 266 224.0.0.0 240.0.0.0 On-link 10.100.77.252 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.123.15 266 255.255.255.255 255.255.255.255 On-link 10.100.77.252 266 =========================================================================== Persistent Routes: None IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 1 306 ::1/128 On-link 1 306 ff00::/8 On-link =========================================================================== Persistent Routes: None

有两件事我注意到了。 1)AD不应该有多个NIC。 MS不支持多宿主DC。 但我不认为这是造成你的问题。 2)您closures了Windows防火墙服务。 可能不是一个好主意。 尝试重新启动服务并运行以下命令来禁用configuration文件。 

 Netsh advfirewall set allprofiles state off

我还不确定这是否能解决你的问题,但是这两件事情都是我跳出来的。

这里有很多事情要做

首先,当Windows的RRASconfiguration为使用静态地址池的VPN客户端分配IP地址时,它将默认为一个/ 24子网掩码,即255.255.255.0; 此外,它不会提供额外的路由到VPN客户端。

通过这个设置,你的Windows 7客户端得到了一个10.100.77.X / 24的地址,它根本不知道如何到达更大的10.100.0.0/16networking,也就是说任何地址的第三个字节不是77.如果您不使用VPN连接作为您的默认网关(如果您不想通过VPN路由所有stream量,通常情况下是这样),那么您的客户端将不知道如何达到任何在10.100.77.0/24子网之外。

build立VPN连接后,请在Windows 7 PC上提供route print命令的输出,以便我们检查是否属于这种情况。 当然,如果您将VPN用作默认网关(这是Windows VPN连接的默认网关),那么这不会成为问题。 但是你的networkingconfiguration将会被破坏。

此外,还有一个相反的问题:如果RRAS服务器不是远程networking上的计算机的默认网关(我不认为这是因为它只有内部接口),他们不会知道他们需要将发往10.100.77.0/24networking的数据包转发给RRAS服务器; 这可以通过RRAS支持ARP代理这一事实来缓解,所以它会自动回复“我知道这个地址在哪里,给你的数据包给我! 但是这部分configuration也将被打破。

另外,正如其他人所说的那样,这两个网卡正在让事情变得更糟。 如果你真的需要你的服务器有两个IP地址,你可以在同一个网卡上configuration它们,并消除一个很大的问题。 但您完全不需要RRAS作为VPN服务器。 摆脱第二块网卡和IP地址是你能做的最好的事情,而且这更加真实,因为该服务器是一个域控制器。

最后一件事,但并非最不重要:你说你“closures了Windows防火墙服务”。 你是否禁用了防火墙,或者是否确实停止了Windows防火墙服务 ? 如果你这样做,那么现在重新启动它。 这是在Windows XP和2003上禁用Windows防火墙的好方法,但从Vista开始,如果停止该服务,整个Windowsnetworking堆栈将崩溃。 您应该重新启动服务,然后使用其configuration工具正确禁用Windows防火墙。

附录:你说过:“我已经在入站和出站filter的任何一个方向上允许ICMP。 哪些filter? RRAS中的那些networking接口的属性? 禁用它们。 它们在默认情况下是禁用的,让所有的东西都通过,但是如果你添加了一些规则,它们将会阻止除了你明确允许的东西(或者相反,根据你如何configuration它们)。 他们是非常less的需要,可以是一个很好的configuration的痛苦。 首先让所有的工作,然后(如果你真的想),你可以开始摆弄他们。