Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   Проблемы с маршрутизацией RRAS, VPN, статические маршруты (http://forum.oszone.net/showthread.php?t=219573)

AlexSTAL 02-11-2011 17:17 1787377
Проблемы с маршрутизацией RRAS, VPN, статические маршруты
 
Дано:
Чистый Windows 2008R2, поднимаем только RRAS (маршрутизация и удалённый доступ) и NPS (сервер политики сети).
Разрешаем VPN, включаем возможность коннекта PPTP, включаем старый протокол авторизации CHAP (железка, которая описана ниже, другой не поддерживает).

Клиент: железка 3COM 3CR858-91 (теперь она называется HP V100) коннектится по VPN в режиме "сеть". Компы филиала соответственно напрямую воткнуты в эту железку.
Со всех этих компов филиала прекрасно видится вся сеть Центра.

Хочу: из Центра видеть компы Филиала без построения site-to-site. Дописываю статический маршрут для пользователя VPN:


Делаю пинг в Центре: "Общий сбой". Делаю трассировку:
C:\>tracert 192.168.26.1
Трассировка маршрута к 192.168.26.1 с максимальным числом прыжков 30
1 Общий сбой.
Трассировка завершена.

Убираю статический маршрут из пользователя, переконнективаюсь, прописываю ручками:
route add 192.168.26.0 MASK 255.255.255.0 172.16.1.2
и сразу же всё начинает превосходно работать! Тот же самый маршрут! Сравниваю таблицы маршрутизации обоих вариантов
прописан в пользователе:

добавлен вручную:


Различаются только метрикой (которую изменить при первом случае не получается) и протоколом (который так же явно нигде не прописывается и устанавливается автоматически)

Что за проблема? Кто нибудь можешь направить на путь истинный?

sevsey 13-01-2012 23:25 1835301
Вероятно, надо добавить второй маршрут в статические, который укажет, что к полученному при подключении адресу надо ходить через определенный интерфейс ( route add 192.168.15.10 255.255.255.255 192.168.15.10, где 192.168.15.10 - полученный клиентом адрес впн интерфейса).

Правильнее даже просто сравнить таблицы маршрутизации (route print'ом) на клиенте, при указании статического маршрута и без оного.

AlexSTAL 14-01-2012 09:52 1835478
Цитата:
Цитата sevsey
Вероятно, надо добавить второй маршрут в статические, который укажет, что к полученному при подключении адресу надо ходить через определенный интерфейс ( route add 192.168.15.10 255.255.255.255 192.168.15.10, где 192.168.15.10 - полученный клиентом адрес впн интерфейса).
Правильнее даже просто сравнить таблицы маршрутизации (route print'ом) на клиенте, при указании статического маршрута и без оного. »
Вы не правы по всем пунктам....

Tonny_Bennet 16-01-2012 12:07 1836981
Цитата:
Цитата AlexSTAL
из Центра видеть компы Филиала без построения site-to-site. Дописываю статический маршрут для пользователя VPN: »
Вы сделали маршрут в одну сторону: Центр -> Филиал

Теперь вам нужен маршрут: Филиал -> Центр.


P.S. У меня подобная схема функционирует на 2003 сервере уже несколько лет.

cameron 16-01-2012 12:32 1836995
Цитата:
Цитата AlexSTAL
железка 3COM 3CR858-91 (теперь она называется HP V100) коннектится по VPN в режиме "сеть". »
Цитата:
Цитата AlexSTAL
из Центра видеть компы Филиала без построения site-to-site. »
сами то поняли? :)
Цитата:
Цитата AlexSTAL
Дописываю статический маршрут для пользователя VPN: »
под которым железяка подключается к RRAS?
Цитата:
Цитата AlexSTAL
Что за проблема? Кто нибудь можешь направить на путь истинный? »
проблема в непонятном "хочу через одно место"

если уж Site-to-Site то почему бы на RRAS'е это не сделать?
если уж не хочется так - пропишите маршрут на РРАСе.
если уж и это не хочется - 121/249 DHCP Option для клиентов

AlexSTAL 17-01-2012 06:56 1837615
Цитата:
Цитата Tonny_Bennet
Вы сделали маршрут в одну сторону: Центр -> Филиал
Теперь вам нужен маршрут: Филиал -> Центр.
P.S. У меня подобная схема функционирует на 2003 сервере уже несколько лет. »
Цитата:
Цитата cameron
проблема в непонятном "хочу через одно место"
если уж Site-to-Site то почему бы на RRAS'е это не сделать?
если уж не хочется так - пропишите маршрут на РРАСе.
если уж и это не хочется - 121/249 DHCP Option для клиентов »
Уважаемые коллеги!
Прочитайте пожалуйста внимательно снова весь пост.

Особое внимание обратить на смысл фразы: "прописываю то же самое ручками.... и сразу всё начинает работать"

Вот есть родственная тема: http://social.technet.microsoft.com/...4-f44ab72921be
больше похоже на баг или на необходимость более тонкой настройки

sevsey 17-01-2012 09:50 1837666
Да, перечитал внимательно. Действительно глупость сказал, каюсь.


Время: 06:16.

Время: 06:16.
© OSzone.net 2001-