直擊故障現場:頑固的VPN訪問故障
為了有效節約組網成本,并且確保組網效率不受任何影響,某公司決定通過VPN連接實現重要數據信息的網絡訪問。在經過很長時間的精心準備和認真籌建之后,公司的局域網組建任務終于成功了;不過,當筆者在內網工作站中嘗試通過VPN連接訪問Internet網絡時,發現任何一個VPN客戶端系統都不能上網。遭遇這種故障時,究竟是VPN客戶端上網參數設置不正確,還是局域網的RAS服務器工作狀態不正常,或者是局域網沒有組建成功呢?現在,本文就將該故障現象的詳細排查過程貢獻出來,希望各位朋友能從中獲得收益!
VPN客戶端不能上網故障
某公司在安裝了Windows Server 2003系統的主機中架設了文件服務器,由于工作需要各個子公司經常要遠程訪問單位局域網中的文件服務器;以往用戶都是通過撥號方式來進行遠程訪問,不過這種訪問方式不但速度非常緩慢,而且網絡訪問成本也比較高。為了節約上網成本,公司打算對局域網進行改造,以便允許子公司用戶通過VPN連接訪問局域網中的RAS服務器,并能通過該服務器訪問Internet網絡以及目標Web網站,畢竟這種網絡訪問方式不但傳輸速度快、上網成本低,而且數據傳輸的安全性也能得到有效保證。
考慮到RAS服務器既要與局域網內網連接,又要與Internet網絡連接,所以筆者在服務器系統所在的主機中同時安裝了兩塊網卡,并為第一塊網卡分配了“10.176.6.156”這樣的IP地址,以便讓該網關設備直接公司的局域網網絡保持連接,為第二塊網卡分配了“61.166.12.118”這樣的IP地址,以便讓該網卡設備與Internet網絡直接保持連接。在配置好服務器主機中的每一塊網卡設備參數后,筆者下面就準備在其中正式安裝RAS服務器了。
安裝RAS服務器的操作比較簡單,筆者先是以系統管理員賬號登錄進Windows Server 2003系統,打開該系統的“開始”菜單,從中依次點選“設置”、“控制面板”選項,打開對應服務器系統的控制面板窗口,用鼠標雙擊其中的“管理工具”選項圖標,在彈出的管理工具列表窗口中雙擊“路由和遠程訪問”選項圖標,進入路由和遠程訪問控制臺界面;
在目標控制臺界面的左側子窗格中,找到目標服務器主機名稱,并用鼠標右鍵單擊該名稱選項,再單擊彈出菜單中的“配置路由和遠程訪問”選項命令,打開安裝配置向導對話框(如圖1所示),根據向導提示先將“遠程訪問或VPN撥號”項目選中,再將“VPN”選中,在之后出現的VPN連接設置窗口中,選中服務器主機中與Internet網絡保持直接連接的那個本地連接,同時設置是否保護該網絡連接,當向導屏幕要求我們設置客戶端IP地址時,我們應該將其設置為自動為VPN客戶端分配IP地址,最后再根據默認向導提示完成剩余的安裝、配置操作就可以了。
圖1
在完成了RAS服務器的安裝、配置任務后,筆者又在該服務器系統中用鼠標右鍵單擊桌面中的“我的電腦”圖標,并執行彈出菜單中的“管理”命令,打開對應系統的計算機管理窗口,在該窗口的左側顯示區域依次展開“系統工具”/“本地用戶和組”/“用戶”分支選項,在目標分支選項的右側顯示區域,創建了一個新的VPN連接賬號,再用鼠標右鍵單擊該連接賬號,從其后出現的快捷菜單中點選“屬性”命令,打開該賬號的屬性設置窗口,選中該設置窗口中的“撥入”標簽,并在對應的標簽設置頁面中,將對應的遠程訪問權限設置成“允許撥入”,這樣一來各個子公司的用戶日后就能利用該賬號遠程連接到目標RAS服務器了,而RAS服務器的架設任務也就算完成了。
原以為架設好RAS服務器后,子公司的用戶就能進行VPN連接訪問了,不過當筆者在普通工作站中創建一個VPN連接,并嘗試通過該連接訪問
RAS服務器時,發現VPN客戶端雖然可以成功與RAS服務器建立連接,但是連接成功后卻無法通過RAS服務器訪問Internet網絡,這時筆者有點手足無措了,VPN客戶端竟然不能訪問Internet中的網站內容,這是什么原因呢,難道是RAS服務器本身不能訪問Internet網絡,或者是服務器主機系統中的防火墻對Internet訪問進行了限制?想到這一點,筆者立即來到RAS服務器現場進行了測試,發現RAS服務器本地訪問Internet網絡很順利,同時該服務器中也沒有啟用網絡防火墻,這究竟是怎么回事呢?#p#
追查客戶端不能上網原因
剛開始的時候,筆者懷疑公司的RAS服務器上網參數沒有配置正確,或者RAS服務器與Internet網絡之間的上網線路發生了一些故障,不過在對上面的各項可能因素進行仔細檢查后,筆者看到VPN客戶端仍然不能正常訪問Internet網絡。不得已,筆者只好在VPN客戶端系統依次單擊“開始”/“設置”/“網絡連接”命令,在彈出的網絡連接列表窗口中,找到目標VPN連接,并用鼠標右鍵單擊該連接圖標,從彈出的快捷菜單中執行“屬性”命令,打開目標VPN連接的屬性設置窗口,單擊其中的“網絡”選項卡,并將該選項設置頁面中的“Internet協議(TCP/IP)”選項選中,同時單擊“屬性”按鈕,進入目標VPN連接的TCP/IP屬性界面;在該屬性界面中繼續單擊“高級”按鈕,在彈出的高級設置頁面中單擊“常規”選項卡,進入如圖2所示的選項設置頁面,在該頁面中筆者看到“在遠程網絡上使用默認網關”選項默認被選中了,會不會是該功能選項在“搗亂”呢?為了測試該功能選項的作用,筆者暫時取消了“在遠程網絡上使用默認網關”項目的選中狀態,之后重新通過VPN連接進行上網訪問時,發現VPN客戶端果然能夠訪問Internet網絡了,這說明VPN客戶端不能上網與“在遠程網絡上使用默認網關”選項有關。
圖2
可是,簡單地取消“在遠程網絡上使用默認網關”項目的選中狀態后,又出現了另外一個故障現象,那就是VPN客戶端只能訪問公司的RAS服務器一臺主機了,而不能同時訪問局域網中的其他普通工作站了,這是因為RAS服務器在默認狀態下并沒有訪問公司局域網的路由記錄。為了解決這個故障現象,筆者立即對癥下藥,重新進入RAS服務器所在的主機系統,依次單擊“開始”/“運行”命令,在彈出的系統運行對話框中執行字符串命令“cmd”,將系統切換到DOS命令行工作窗口;在該窗口的DOS命令行提示符下,筆者通過Windows服務器系統自帶的“route add”命令,手工增加了通往公司內部網絡的路由記錄,假設公司局域網采用“10.176.6.0”網絡地址,并且局域網默認使用“10.176.6.1”網關地址,那么筆者只要在DOS命令行提示符下執行字符串命令“route add 10.176.6.0 mask 255.255.255.0 10.176.6.1”,經過這樣的設置VPN客戶端果然可以同時訪問公司內部的局域網以及Internet網絡了。
最后的小結
總結上面的故障排除過程,筆者認為剛開始VPN客戶端之所以不能正常訪問Internet網絡,是由于RAS服務器使用的默認網關恰好是連接到公司局域網的,而在默認狀態下RAS服務器又自動選中了“在遠程網絡上使用默認網關”功能選項,這就造成了VPN客戶端只能訪問公司局域網而不能訪問Internet網絡的原因了。當筆者取消了“在遠程網絡上使用默認網關”的默認選中狀態后,VPN客戶端就會先將IP數據包通過VPN網絡連接提交給RAS服務器,然后RAS服務器會通過另外一塊網卡建立的網絡連接將IP數據包轉交給Internet網絡,這樣就能正常訪問Internet網絡了。
此外,還需要提醒各位朋友注意的是,當我們對RAS服務器的上網參數進行修改時,盡量每完成一次改動操作就將RAS服務器系統重新啟動一下,如此一來才能及時保證改動過的操作會及時生效,要是頻繁修改參數而不及時重啟系統時,那么很可能會出現網絡配置越配越亂的現象。而且,日后當我們發現VPN客戶端無法通過VPN連接訪問網絡時,應該及時檢查VPN客戶端的IP地址與RAS服務器的默認網關地址是否位于相同的工作子網中,如果發現它們不相同時,我們應該及時將它們修改過來。
【編輯推薦】
