使用Window Server 2008 R2和RRAS的Hub-and-Spoke VPN

我正在尝试创build一个简单的VPN hub-and-spoke地形。 我已经设法取得了很大的进展，我希望下面的图表能够描述我到目前为止能够build立的东西：

如您所见，集线器是运行RRAS的Windows Server 2008 R2框。 这些辐条或者是Dreytek路由器，在其后面的局域网上有许多PC（或其他设备），或者是直接连接到服务器的PC。 所有这一切都按预期工作，除了在辐条上的LAN设备都不能与另一个辐条上的设备进行通信。 例如，直拨电话（192.168.1.11）不能与192.168.3.1或192.168.10.1通信。

我已经尝试和工作的事情：

• Windows 2003 RRAS不断给我一个APIPA 169.xxx地址
• 移动到与我们的思科路由器和Windows 2008的DHCP中继。如何顺利过渡？
• RRAS VPN – 客户端不接收DNS后缀
• L2TP预共享密钥在w2k8上以任何forms存储在纯文本中？
• 通过GPO禁用TCP / IP筛选

• 所有的局域网设备都可以ping通任何一个VPN地址（例如，直接拨入PC可以ping通10.0.0.1,10.0.0.4和10.0.0.5）。
• 我已经在Draytek路由器上启用了Syslog，并且可以在路由器的10.0.0.x地址被ping通时看到通过防火墙的ICMPstream量（例如，如果我从直接拨入PC ping 10.0.0.5，看到允许ping的防火墙）。
• 我已经添加了静态路由到Dreytek路由器（例如，在10.0.0.5路由器上，我添加了一个路由192.168.1.0 / 24和通过10.0.0.1 192.168.3.0 / 24路由）。
• 我已经通过10.0.0.5和192.168.10.0 / 24通过10.0.0.5添加了静态路由到192.168.3.0 / 24直接拨入PC
• 我已经添加静态路由到服务器的每个LAN在辐条的末尾（例如，我添加了路由通过10.0.0.2 192.168.1.0 / 24，通过10.0.0.5和192.168.10.0 / 24）。 我无法坚持这些路由，以便它们在VPN连接断开并重新连接时重新build立连接。

事情不起作用：

• 服务器无法ping任何局域网的电脑（例如，它不能ping 192.168.10.1或.2等）。 系统日志在路由器没有看到任何ICMPstream量。
• 客户端PC无法Ping任何远程PC（例如，192.168.10.x PC不能Ping 192.168.3.x PC或直接拨入客户端192.168.1.11）。

如果使用tracert或pathping ，它看起来像stream量试图通过服务器，但它永远不会到达那里。 例如：

C:\Users\Administrator>pathping -n 192.168.10.2 Tracing route to 192.168.10.2 over a maximum of 30 hops 0 10.0.0.1 1 10.0.0.5 2 * * * 

对于下一步该做什么，我感到非常失望。 这一定是可以做到的…我已经find了这么多关于这个话题的文章，但似乎没有解决这个问题。 所以我想我的两个主要问题是：

• 我错过了什么让远程LAN PC能够相互沟通？
• 我需要做什么来保持路由通过VPN客户端到他们的局域网？
• 我可以完全避免静态路由并使用dynamic路由吗？ 我尝试过使用RIP，但RIP组播通过VPN（我已经看到这个使用Wireshark），我不能在“内部接口”上创buildRIP。

我有一个想法…问题可能与IPv6有关吗？ 当我尝试的时候，我尝试使用Microsoft Fixit 50409来禁用它。在我这样做之后，路由器和直接拨入的W7客户端都不能build立VPN连接，直到我重新启用它为止。所有的stream量将是IPv4，但也许我错了？

非常感谢！

编辑：为了响应Stephane的评论，这里是networking中各种组件的路由表。

服务器：

 C:\Users\Administrator>route print -4 =========================================================================== Interface List 18...........................RAS (Dial In) Interface 11...00 15 5d 2f 4d 2d ......Microsoft Virtual Machine Bus Network Adapter 1...........................Software Loopback Interface 1 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 109.228.20.1 109.228.20.174 6 10.0.0.1 255.255.255.255 On-link 10.0.0.1 276 10.0.0.2 255.255.255.255 10.0.0.2 10.0.0.1 21 10.0.0.4 255.255.255.255 10.0.0.4 10.0.0.1 21 10.0.0.5 255.255.255.255 10.0.0.5 10.0.0.1 21 109.228.20.0 255.255.252.0 On-link 109.228.20.174 261 109.228.20.174 255.255.255.255 On-link 109.228.20.174 261 109.228.23.255 255.255.255.255 On-link 109.228.20.174 261 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.11 255.255.255.255 10.0.0.2 10.0.0.1 21 192.168.3.0 255.255.255.0 10.0.0.4 10.0.0.1 21 192.168.10.0 255.255.255.0 10.0.0.5 10.0.0.1 21 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 109.228.20.174 261 224.0.0.0 240.0.0.0 On-link 10.0.0.1 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 109.228.20.174 261 255.255.255.255 255.255.255.255 On-link 10.0.0.1 276 =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 0.0.0.0 0.0.0.0 109.228.20.1 1 =========================================================================== 

注意：我遇到的一个问题是每次VPN客户端连接时都必须手动添加192.168.1.11,192.168.3.0/24和192.168.10.0/24的路由。 这显然是一个严重的问题，因为我必须能够坚持这些路线，但也许这是不可能的？

Windows 7客户端：

 C:\Windows\system32>route print -4 =========================================================================== Interface List 26...........................CodeArt Consulting VPN 17...90 b1 1c 67 94 d4 ......Realtek PCIe GBE Family Controller 13...68 94 23 36 83 ba ......Bluetooth Device (Personal Area Network) 1...........................Software Loopback Interface 1 11...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter 16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 18...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.11 10 10.0.0.0 255.0.0.0 10.0.0.1 10.0.0.2 11 10.0.0.2 255.255.255.255 On-link 10.0.0.2 266 109.228.20.174 255.255.255.255 192.168.1.1 192.168.1.11 11 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.0 255.255.255.0 On-link 192.168.1.11 266 192.168.1.11 255.255.255.255 On-link 192.168.1.11 266 192.168.1.255 255.255.255.255 On-link 192.168.1.11 266 192.168.3.0 255.255.255.0 10.0.0.1 10.0.0.2 11 192.168.10.0 255.255.255.0 10.0.0.1 10.0.0.2 11 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.1.11 266 224.0.0.0 240.0.0.0 On-link 10.0.0.2 266 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.1.11 266 255.255.255.255 255.255.255.255 On-link 10.0.0.2 266 =========================================================================== Persistent Routes: None 

注意：我已经手动将路由器添加到192.168.3.0/24和192.168.10.0/24。

路由器10.0.0.5 / 192.168.10.0/24：

 Key: C - connected, S - static, R - RIP, * - default, ~ - private * 0.0.0.0/ 0.0.0.0 via 188.30.37.17 WAN2 C 10.0.0.1/ 255.255.255.255 directly connected VPN-1 S 10.0.0.0/ 255.255.255.0 via 10.0.0.1 VPN-1 C~ 192.168.10.0/ 255.255.255.0 directly connected LAN S 192.168.1.0/ 255.255.255.0 via 10.0.0.1 VPN-1 S 192.168.3.0/ 255.255.255.0 via 10.0.0.1 VPN-1 S 188.30.37.17/ 255.255.255.255 via 188.30.37.17 WAN2 

注意到 192.168.1.0/24和192.168.3.0/24的静态路由已被添加到路由器并按预期保持。

据我所知，所有的路线是正确的，但当然，可能有一个错误或失踪的东西…