自己整理的VPN常见问题原因与解决

类别:软件工程 点击:0 评论:0 推荐:

自己整理的VPN常见问题原因与解决

 

VPN服务器

什么地方可能出现故障

当客户端与某个ISP建立连接时(这种连接使用VPN连接中的点对点协议--PPP--部分),ISP将为客户端分配一个IP地址、一个DNS服务器地址以及一个缺省网关。当客户端发起一个PPTP连接时,这项操作将创建第二个TCP/IP会话(这个会话是VPN连接的隧道部分),并将其嵌入到用以提供数据包加密与封装功能的第一个会话内部。当客户端连接成功后,VPN服务器将为客户端分配第二个IP地址、第二个DNS服务器地址、可选WINS服务器以及另一个缺省网关。因此在连接中的每一条链接上,均有可能出现故障。


1.多宿主服务器:如果的PPTP服务器配备了两块网卡,一块针对LAN,一块针对WAN,那么,请将LAN适配器上的网关设置为空(请注意,这里要求设置为空而非设置为0)。在WAN网络接口的网关字段中输入ISP所定义的IP地址;网关地址通常指向ISP所属的一台路由器。需要保持LAN网关设置为空,以便使服务器能够将网络数据包路由至客户端。当为服务器配置多个网络适配器时,保持LAN网关设置为空是一种标准实现方式。在测试过程中,建议手工输入LAN NIC的IP地址与WINS服务器地址(而不要通过DHCP为其分配)。

2.RAS:当安装RAS时,请仅为那些真正需要提供支持的活动客户端连接配置必要数量的VPN端口。如果将RAS配置为从静态地址池中分配客户端地址,那么,客户端将从RAS服务器继承DNS与WINS设置。如果的RAS服务器能够浏览网络,那么,客户端同样可以利用相同的设置来浏览网络。

3.使用DHCP,请确保DHCP“范围选项44”(WINS/NetBIOS名称服务器)指向WINS服务器且“范围选项6”显示的DNS服务器地址。如果未能定义这些选项,那么几乎肯定会在客户端浏览过程中遇到问题。

4.启用PPTP过滤功能:如果在具备高度安全性的环境中运行服务器,便可以放心的将服务器置于防火墙外部并将允许进入的唯一VPN通信内容限制为PPTP数据包。从控制面板中启用PPTP过滤功能,请依次选择“网络”、“协议”、“TCP/IP协议”、“WAN适配器”、“高级”,并选中“启用PPTP过滤功能”复选框。当启用PPTP过滤器后,服务器拒绝所有非PPTP请求。PPTP过滤功能具有一个重要的副作用:当启用过滤功能后,由于其阻挡了进入的HTTP与FTP通信内容,LAN客户端将无法通过RAS服务器的WAN连接对Internet进行浏览。

5.使用防火墙:请首先确认的防火墙软件能够接收PPTP数据包。防火墙在某些情况下可能无法接受PPTP连接。这种情况下,尝试与RAS服务器建立连接的客户端将报出事件编号为721的错误消息--PPP远端未能响应。所以当将VPN服务器置于防火墙后方时,请确保启用IP协议端口47(通用路由封装--GRE)和TCP端口1723。VPN连接使用1723端口完成诸如PPTP隧道创建、维护与终止之类的日常管理工作。47端口则用于在客户端与服务器(包含GRE协议)之间传送隧道数据。

6.在尝试与VPN客户端建立连接之前,首先确保RAS服务器能够执行所有典型网络操作(例如浏览LAN、连接LAN资源、连接Internet或浏览Internet等)。此后,请针对的测试帐号的启用拨号权限。另外,可能还需要在最初测试过程中启用PPP日志功能。

 

VPN客户端

什么地方可能出现故障

为确保操作成功,PPTP客户端必须正确维护两套TCP/IP协议栈设置:其中一套面向于ISP与Internet连接,另一套面向于VPN服务器连接。客户端路由表同样必须包含两条记录:其中一条负责将网络数据包定向至提供Internet浏览服务的ISP,另一条指向用于实现LAN浏览的VPN服务器接口。当协议栈设置不正确时,客户端将会遇到严重问题。通常情况下,T客户端维护独立的TCP/IP协议栈设置,然而,当同时配备网卡和调制解调器时,Windows客户端则会经常出现协议栈设置问题。在建立PPTP连接后,Windows缺省网关可能仍旧指向ISP,从而使客户端无法成功浏览LAN。常见的客户端连接问题。
-----------------------------------------------
客户端无法连接PPTP服务器:

1.尽可能指定IP ,而不是使用DHCP自动分配

2.配置正确的DNS SERVER地址

3.关闭PPTP过滤功能
  命令:Net Stop RASPPTPF

4.开启IP协议端口47(通用路由封装--GRE)和TCP端口1723
-----------------------------------------------

客户端能够连接但无法登录

1.确保是使用有效的用户帐号

2.确保用户帐号具备拨入权限

3.协商客户端身份验证方式
 
RAS服务器可以通过三种不同身份验证协议对PPTP用户进行身份验证。客户端与服务器通过协商方式确定的登录身份验证协议取决于在配置服务器进入端口与客户端PPTP连接网络设置时所选择的加密设置。

按照由低到高的安全性顺序,这三种协议分别是PAP、CHAP和MSCHAP。

PAP:通过明文方式实现的口令身份验证协议

CHAP:通过加密与Hash算法实现的质询式握手身份验证协议

MSCHAP:通过加密和带有校验和的双重Hash算法实现的Microsoft质询式握手身份验证协议


从系统的安全日志分析出错原因

1.启用组策略的审核策略并再次尝试建立连接。

2.查看事件查看器安全日志中所存储的记录时,就能够获得相关障碍的清晰描述信息。

可以看到用户名称是否合法,口令是否错误或者已经过期,计算机是否缺少一个合法帐号以及是否不存在可用VPN端口。当用户能够成功登录后,应用程序事件日志将记录登录的日期与时间。此外,用户注销时间和会话持续时间也会被记录。

-----------------------------------------------

客户端能够登录但无法浏览LAN

1.请确保已在所有Windows客户端上将工作组设置为目标NT域的名称

2.客户端TCP/IP设置

面向VPN会话的TCP/IP设置将采用与面向LAN连接的TCP/IP设置相同的方式运行。

先理解四种TCP/IP设置如何对网络连接与浏览方式产生影响:

 DNS服务器: 能够将域名转换为相应的IP地址。

 WINS服务器: 能够将NetBIOS名称转换为相应的IP地址。

 DHCP服务器: 至少能够为LAN客户端分配IP地址并在连接时为RAS客户端分配IP地址。
      可以分配的范围选项还包括域名、缺省网关、DNS服务器以及WINS服务器等。

 缺省网关:能够在数据传输目标为本地子网以外的系统时将数据发送至一台特定计算机或路由器。

3.使用route命令添加静态路由!!

4.安装NetBEUI协议

5.使用net use 命令
  如net use z: \\myserver\myshare
  通过手工方式与共享资源建立连接是一种访问文件及打印机的良好工作机制。


-----------------------------------------------
已经建立连接的客户端无法浏览Internet

当出现这种问题时,尽管VPN会话处于活动状态,但客户端却无法浏览Internet。
导致这种问题的常见原因有两种:

1.当远程客户端具备网络连接时,VPN服务器可能不允许远程客户端访问Internet。而当关闭VPN连接后,由于缺省网关恢复为ISP所定义的网关,因此,客户端将能够浏览Internet。

2.当客户端处于连接状态时,Windows可能会使用VPN服务器所定义的网关来覆盖ISP网关,从而切  断客户端访问Internet的路径。

解决:通过手工方式添加静态路由记录(首先尝试VPN网关,其次尝试ISP网关

本文地址:http://com.8s8s.com/it/it33141.htm