Der Windows-VPN-Server kann mit VPN-Clients kommunizieren, sendet jedoch keine Pakete von seinem lokalen Netzwerk an die VPN-Clients

8

Ich möchte Windows Server 2012 und seine Windows 7- und Windows 8-VPN-Clients mit einem SSTP-VPN konfigurieren, das Split-Tunneling und Off-Subnetz-Adressierung verwendet, habe jedoch ein Problem: Der RRAS-Server sendet keine Pakete an VPN Clients von einer anderen Maschine als sich selbst.

Mein VPN-Server wird in der "Virtual Private Cloud" von Amazon ausgeführt, sodass nur eine Netzwerkkarte mit einer IP-Adresse in einem privaten RFC1918-Netzwerk vorhanden ist, die mit allen anderen Amazon VPC-Servern gemeinsam genutzt wird, und eine öffentliche IP-Adresse, die den gesamten Datenverkehr an diese private Adresse weiterleitet über NAT (Amazon nennt dies "Elastic IP").

Ich habe RRAS installiert und ein VPN eingerichtet. Das private Subnetz bei Amazon ist 172.16.0.0/17 (das nenne ich das "Amazon LAN"), aber ich möchte, dass alle VPN-Clients den Bereich 10.128.0.0/20 (was ich das nenne) verwenden. VPN LAN ").

In meinem Amazon-Kontrollfeld habe ich Folgendes getan:

  • Deaktiviert die Quell- / Zielprüfung für den VPN-Server
  • Es wurde ein Eintrag in die Routentabellen für den Pool 10.128.0.0/20 hinzugefügt, der auf die Netzwerkschnittstelle des VPN-Servers verweist.

In der MMC Routing und RAS, im Eigenschaftenmenü für den Servernamen, habe ich Folgendes getan:

  • Registerkarte "Allgemein" -> IPv4-Router (aktiviert), aktiviert für LAN- und Demand-Dial-Routing
  • Registerkarte Allgemein -> IPv4-RAS-Server (aktiviert)
  • Registerkarte IPv4 -> IPv4-Weiterleitung aktivieren (aktiviert)
  • Registerkarte IPv4 -> Statischer Adresspool, und geben Sie 10.128.0.1-10.128.15.154 an

Auf meinem Client und allen meinen Servern habe ich sichergestellt, dass ICMP in der Firewall explizit zulässig ist oder die Firewall vollständig deaktiviert ist (natürlich nicht der permanente Plan).

Um Split-Tunneling auf dem Client zu aktivieren, habe ich die Eigenschaften für die VPN-Verbindung -> Netzwerk -> IPv4 -> Eigenschaften -> Erweitert -> IP-Einstellungen aufgerufen und das Kontrollkästchen "Standard-Gateway im Remote-Netzwerk verwenden" und deaktiviert aktiviert "Klassenbasierte Routenaddition deaktivieren".

Zu diesem Zeitpunkt können meine Clients über den Windows 7/8-VPN-Client eine Verbindung herstellen. Ihnen wird eine IP aus dem Pool 10.128.0.0/20 zugewiesen. Da sie jedoch keine Routen automatisch festlegen, können sie nicht mit dem Remotenetzwerk kommunizieren. Ich kann Routen zum Remote-Netzwerk und zum VPN-Netzwerk wie folgt festlegen (auf dem Client):

route add 172.16.0.0/17 <VPN IP ADDRESS> 
route add 10.128.0.0/20 <VPN IP ADDRESS> 

Jetzt kann der Client die VPN-LAN-Adresse des VPN-Servers (10.128.0.1) sowie die Amazon-LAN-Adresse (172.16.1.32) anpingen. Beim Versuch, mit anderen Computern im Amazon LAN zu kommunizieren, tritt jedoch ein Problem auf: Pings erhalten keine Antworten.

Wenn der Client beispielsweise versucht, ein System zu pingen, von dem ich weiß, dass es aktiv ist, und auf Pings wie 172.16.0.113 antwortet, werden diese Antworten nicht angezeigt (es wird "Zeitüberschreitung bei Anforderung" angezeigt). Wireshark auf dem VPN-Server bestätigt, dass der Ping vom Client und sogar eine vom 172.16.0.113 gesendete Antwort angezeigt wird. Diese Antwort gelangt jedoch anscheinend nie zurück zum Client.

Wenn ich die VPN-LAN-Adresse des Clients von 172.16.0.113 anpinge, sieht Wireshark auf dem VPN-Server den Ping, aber keine Antwort.

Um es noch einmal zusammenzufassen:

  • Der VPN-Server kann andere Computer im Amazon LAN (172.16.0.0/17) anpingen und Antworten empfangen, und andere Computer in diesem Netzwerk können dasselbe tun.
  • Ein VPN-Client kann die Amazon LAN-Adresse des Servers anpingen und Antworten empfangen, nachdem die Clients die zuvor beschriebene Route hinzugefügt haben.
  • Ein VPN-Client kann die VPN-LAN-Adresse des Servers von 10.128.0.1 anpingen, und der VPN-Server kann die VPN-LAN-Adresse des Clients im Bereich von 10.128.0.0/20 anpingen, nachdem der Client die zuvor beschriebene Route hinzugefügt hat.
  • Ein VPN-Client kann Pings an einen Computer im Amazon LAN senden. Wenn diese Computer jedoch Antworten senden, werden sie am VPN-Server angehalten. Sie werden nicht an den Client weitergeleitet, was zu Nachrichten mit Zeitüberschreitung beim Anfordern auf dem Client führt . Wenn umgekehrt ein Computer im Amazon LAN versucht, die VPN-LAN-Adresse 10.128.0.0/20 des Clients zu pingen, sieht der VPN-Server den Ping, der Client tut dies jedoch nie und generiert daher keine Antwort.

Warum sendet der VPN-Server keine Pakete vom Amazon LAN an seine Clients im VPN LAN? Es kann definitiv mit den Clients im VPN-LAN kommunizieren, und das Routing ist aktiviert, und es ist bereit, die Pakete vom VPN-LAN -> Amazon LAN weiterzuleiten, aber nicht umgekehrt. Was fehlt mir hier?

Routen

Hier sind die Routing-Tabellen von einem VPN-Client. Der Client ist eine VirtualBox-VM unter Windows 8. Die IP-Adresse des vbox-Adapters lautet 10.0.2.15 auf a / 24. Dieser Client steht hinter NAT (tatsächlich steht er hinter Double-NAT, da der vbox-Adapter NAT für mein lokales Netzwerk ist, das NAT für das Internet). Diese Routing - Tabelle ist aus nach manuell den Routen zu 10.128.0.0/20 und 172.16.0.0/17 hinzufügen.

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         10.0.2.2        10.0.2.15     10
         10.0.2.0    255.255.255.0         On-link         10.0.2.15    266
        10.0.2.15  255.255.255.255         On-link         10.0.2.15    266
       10.0.2.255  255.255.255.255         On-link         10.0.2.15    266
       10.128.0.0    255.255.240.0         On-link        10.128.0.3     15
       10.128.0.3  255.255.255.255         On-link        10.128.0.3    266
    10.128.15.255  255.255.255.255         On-link        10.128.0.3    266
    54.213.67.179  255.255.255.255         10.0.2.2        10.0.2.15     11
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
       172.16.0.0    255.255.128.0         On-link        10.128.0.3     15
   172.16.127.255  255.255.255.255         On-link        10.128.0.3    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link         10.0.2.15    266
        224.0.0.0        240.0.0.0         On-link        10.128.0.3    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link         10.0.2.15    266
  255.255.255.255  255.255.255.255         On-link        10.128.0.3    266
===========================================================================
Persistent Routes:
  None

Hier sind die Routing-Tabellen vom RRAS-Server, auf dem Windows Server 2012 ausgeführt wird. Dieser Server befindet sich auch hinter NAT, wie oben erläutert. Es hat nur eine Netzwerkkarte. Die private IP-Adresse lautet 172.16.1.32 auf einer / 23 (die selbst Teil eines größeren / 17-Netzwerks ist; ich glaube, es ist fair, die Teile der / 17 außerhalb der / 23 zu ignorieren, da andere Maschinen auf der / 23 kann auch von VPN-Clients nicht erreicht oder erreicht werden).

Der virtuelle VPN-Adapter hat eine eigene Adresse, 10.128.0.1, die automatisch zugewiesen wird, wenn ein Client zum ersten Mal eine Verbindung herstellt. Die Routen für 10.128.0.1 (zu sich selbst) und 10.128.0.2 (zu seinem einzigen Client), die Sie sehen, werden zu diesem Zeitpunkt ebenfalls automatisch hinzugefügt. Dem VPN-Server werden keine Routen manuell hinzugefügt.

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.0.1      172.16.1.32     10
       10.128.0.1  255.255.255.255         On-link        10.128.0.1    286
       10.128.0.2  255.255.255.255       10.128.0.2       10.128.0.1     31
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  169.254.169.250  255.255.255.255       172.16.0.1      172.16.1.32     10
  169.254.169.251  255.255.255.255       172.16.0.1      172.16.1.32     10
  169.254.169.254  255.255.255.255       172.16.0.1      172.16.1.32     10
       172.16.0.0    255.255.254.0         On-link       172.16.1.32     11
      172.16.1.32  255.255.255.255         On-link       172.16.1.32    266
     172.16.1.255  255.255.255.255         On-link       172.16.1.32    266
       172.16.2.0    255.255.254.0      172.168.0.1      172.16.1.32     11
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       172.16.1.32    266
        224.0.0.0        240.0.0.0         On-link        10.128.0.1    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       172.16.1.32    266
  255.255.255.255  255.255.255.255         On-link        10.128.0.1    286
===========================================================================
Persistent Routes:
  None

Hier sind die Routing-Tabellen für einen anderen Computer im privaten Netzwerk des Servers, auf dem auch Server 2012 ausgeführt wird. Er verfügt über eine Netzwerkkarte mit einer privaten IP-Adresse von 172.16.1.177. Dies bedeutet, dass er sich auf derselben / 23 befindet wie der VPN-Server. (Beachten Sie, dass die Route zum 10.128.0.0/20 auf dem Gateway festgelegt ist, das von Amazon gesteuert wird, sodass Sie sie hier nicht sehen. Ich habe die richtige Route zu Amazon hinzugefügt, was durch die Tatsache belegt wird, dass Wireshark auf dem VPN-Server sieht die Pakete.)

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       172.16.0.1     172.16.1.177     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  169.254.169.250  255.255.255.255       172.16.0.1     172.16.1.177     10
  169.254.169.251  255.255.255.255       172.16.0.1     172.16.1.177     10
  169.254.169.254  255.255.255.255       172.16.0.1     172.16.1.177     10
       172.16.0.0    255.255.254.0         On-link      172.16.1.177    266
     172.16.1.177  255.255.255.255         On-link      172.16.1.177    266
     172.16.1.255  255.255.255.255         On-link      172.16.1.177    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      172.16.1.177    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      172.16.1.177    266
===========================================================================
Persistent Routes:
  None

Hier sind die Routen in der Amazon-Konsole. Ich denke , das ist richtig - der Verkehr ist so dass es zurück zum VPN - Server, nachdem alle, nur in der es verschwinden - aber falls jemand will , sich sehen, hier sind sie. (Amazon macht die Dinge etwas seltsam. eni-2f3e8244 / i-77e26440Bezieht sich auf die Netzwerkkarte auf dem VPN-Server und igw-d4bc27bcauf das von Amazon gesteuerte Internet-NAT / Gateway, mit dem alle meine Instanzen mit dem Internet kommunizieren.)

10.128.0.0/20   eni-2f3e8244 / i-77e26440   
172.16.0.0/17   local   
0.0.0.0/0       igw-d4bc27bc
Micah R Ledbetter
quelle
2
Ich habe einmal fast das gleiche Setup wie Sie verwendet und kann mich nicht wirklich erinnern, was Sie falsch machen. Können Sie bitte die ROUTE PRINT-Ausgabe von Client, Server und einem Host im 172.16-Netzwerk veröffentlichen? (Ich vermute, dass Hosts aus dem 176.16-Netzwerk nicht die richtige Route haben)
Dusan Bajic
Testen Sie auch mit Tracert von einem der 172.16-Hosts zum VPN-Client - erreicht es jemals den VPN-Server?
Dusan Bajic
Ich habe die angeforderten Informationen hinzugefügt - route printund tracertausgegeben - und einige zuvor hinzugefügte Informationen korrigiert. (Danke für Ihre Hilfe!)
Micah R Ledbetter
1
Seltsam. Wie ist Ihr statischer Adresspool für VPN-Clients genau konfiguriert?
Dusan Bajic
@ dusan.bajic IP-Adresse starten: 10.128.0.0; End IP Address: 10.128.15.255; Anzahl der Adressen: 4096.
Micah R Ledbetter

Antworten:

1

Was passiert, wenn Sie Ihren Servern eine statische Route hinzufügen, die ihnen mitteilt, dass sie die LAN-Adresse des VPN-Servers durchlaufen müssen, um 10.128.0.0/20 zu erreichen?

route add 10.128.0.0 mask 255.255.240.0 a.b.c.d

Ersetzen Sie abcd durch die LAN-Adresse des VPN-Servers.

Dies schließt zumindest Probleme mit dem Routing von Amazon aus.

Silvio Massina
quelle