VPN服务器无法上网为哪般
编者按:为了在投资成本不大的前提下尽可能地提高组网效率,单位决定采用VPN来组建局域网网络,以便确保单位重要数据能够在局域网中安全、可靠地传输。在经过一段时间的准备和筹建之后,单位的VPN网络终于顺利组建成功了;可是当笔者尝试通过VPN服务器进行Internet访问时,发现所有客户端都无法上网。遇到这种现象时,究竟是VPN服务器没有正确,还是客户端配置有问题呢,或者是组建的VPN网络没有成功呢?相信本文下面的内容,一定能给各位朋友一个满意的答复!
VPN服务器无法上网现象
单位使用Windows 2003作为服务器系统,各个下属单位均通过Windows工作站内置的拨号程序访问VPN服务器,并通过该VPN服务器访问外部网络。由于VPN服务器既要连接外网,又要连接内网,因此笔者在VPN服务器中同时安装了两块网卡设备,其中第一块网卡设备的IP地址设置为“192.168.10.12”,网关地址设置为“192.168.10.1”,子网掩码地址设置为“255.255.255.0”,第二块网卡设备的IP地址设置为“61.155.50.149”,网关地址设置为“61.155.50.1”,子网掩码地址设置为“255.255.255.0”。配置好VPN服务器后,笔者下面开始正式安装VPN服务器了。
安装VPN服务器时操作非常简单,只要依次单击“开始”/“设置”/“控制面板”命令,在弹出的控制面板窗口中用鼠标双击“管理工具”图标,再在其后界面中双击“路由和远程访问”选项,打开路由和远程访问列表窗口;在该窗口的左侧显示区域,用鼠标右键单击目标服务器的主机名称,从弹出的快捷菜单中执行“配置路由和远程访问”命令,打开具体的配置向导,当配置向导弹出如图1所示的界面时,选中“远程访问或VPN拨号”选项,接下来单击“下一步”按钮,然后就能按照向导提示来安装VPN服务了。在设置工作站的IP地址范围时,笔者将其范围设置成“192.168.10.11~192.168.10.111”。很快,笔者就完成了VPN服务器的安装以及参数配置工作,之后笔者尝试从局域网的某工作站中拨入连接VPN服务器,发现拨号连接很顺利,至此VPN服务器就架设成功了。
图1
原以为VPN服务器架设任务就这样完成了呢,可是当笔者尝试通过该服务器进行因特网访问时,笔者顿时傻眼了,工作站竟然无法访问因特网中的内容,这怎么会呢,笔者可没有对Internet访问操作进行过限制操作呀?也没有启用防火墙中的本地连接限制功能呀?登录到VPN服务器中一检查,果然发现服务器没有允许来自192.168.10.0这个子网中的工作站访问Internet。于是笔者毫不由于地将来自192.168.10.0这个子网中的工作站加入到访问列表中,不过这样的努力并没有取得任何效果,工作站还是无法通过VPN服务器访问Internet网络。为了缩小故障排除范围,笔者打算先将工作站不拨入到VPN服务器中,同时登录进交换机后台管理界面,将其中的访问控制过滤列表暂时取消,再把工作站的IP地址直接设置成“192.168.10.18”,结果发现工作站能够访问Internet。然而让人感到意外的是,当笔者再次拨入连接到VPN服务器,并尝试通过VPN服务器进行上网时,发现VPN服务器依然无法上网。
VPN服务器无法上网排查
起初,笔者怀疑VPN服务器配置不当,或者VPN服务器连接外网的线路连接出现了问题,可是在逐一检查了上面的可能因素后,发现工作站仍然无法通过VPN服务器访问Internet网络。后来,笔者打开工作站的虚拟专用连接属性设置界面,单击该界面中的“网络”标签,并选中对应标签页面中的“Internet协议(TCP/IP)”选项,单击“属性”按钮,打开VPN的TCP/IP属性设置窗口;继续单击该设置窗口中的“高级”按钮,在随后弹出的高级对话框中单击“常规”标签,打开如图2所示的标签设置页面,发现其中的“在远程网络上使用默认网关”选项处于选中状态,于是笔者将该选项的选中状态临时取消了,就经过这样一个小小的改动,工作站终于能通过VPN服务器访问Internet了。虽然这种方法能够让工作站通过VPN服务器访问Internet,但是取消使用远程默认网关的话,很容易造成网络信息传输的不安全性,不得已笔者只好寻求另外更合适的解决办法。
图2
考虑到远程网络上是否使用默认网关直接影响着VPN服务器的上网状态,为此笔者认为该故障很有可能是VPN服务器的网关或路由参数设置不正确,于是笔者采用手工方法在VPN连接里面添加了几条路由记录,结果再测试上网连接时,发现VPN服务器虽然能够访问内部网络了,但是还无法访问Internet网络中的内容。看来解决问题的切入点需要转换了,难道真是VPN服务器网络参数配置出错了?可是当笔者尝试修改了若干次网络参数后,VPN服务器仍然还不能访问Internet内容,在万般无奈之下,笔者对VPN服务器中两块网卡设备的IP地址进行了调换,也就是说将VPN服务器第一块网卡设备的IP地址修改成“61.155.50.149”,将网关地址修改为“61.155.50.1”,将VPN服务器第二块网卡设备的IP地址修改成“192.168.10.12”,将网关地址修改为“192.168.10.1”,结果再次测试VPN服务器的上网连接状态时,发现故障竟然被排除了,这是怎么回事呢?笔者对此感到有点糊涂了,为什么调换一下网卡设备的IP地址,VPN服务器就能正常上网了呢?
虽然故障现象已经被排除了,但是笔者仍然对此故障原因感到耿耿于怀,后经笔者的多次试验和认真观察、分析,发现VPN服务器能否上网与VPN服务器的网卡安装顺序以及默认网关有关。起初笔者将VPN服务器第一块网卡的IP地址设置成“192.168.10.12”时,VPN服务器之所以不能正常访问Internet,是因为第一块网卡恰好是VPN服务器所默认选用的网卡设备,Windows服务器系统不管当前主机安装了多少块网卡设备,它总必须指定一个默认的网卡和网关才能正常上网,可是第一块网卡所分配的IP地址恰好是内网地址,所以通过该网卡连接VPN服务器当然不能访问Internet网络了;当笔者调换了VPN服务器中两块网卡设备的IP地址后,也就是说当连接外网的网卡设备IP地址被修改为“61.155.50.149”后,VPN服务器自然就能访问Internet网络了。
VPN服务器无法上网总结
总结VPN服务器无法上网的排除过程,笔者认为当服务器系统同时安装了多块网卡设备时,一定要分清各块网卡设备究竟连接到了什么类型的网络,然后根据网络连接为网卡分配好对应网段中的IP地址。当我们在尝试更改VPN服务器配置参数时,尽量每改动一次参数就重新启动一下服务器系统,这样才能确保改动的参数会立即生效,如果在修改参数的过程中不及时重启服务器系统,那么服务器的上网参数可能会被越配越乱。此外,还需要提醒各位注意的是,当我们发现工作站无法通过VPN服务器上网或无法与VPN服务器创建连接时,那我们首先要做的就是检查工作站的IP地址与VPN服务器的缺省网关地址是否处于同一个子网中,要是不处于相同的子网中,我们必须及时修改它们的地址,确保它们处于相同的子网中。