标签: rras

我想使用使用拆分隧道和子网外寻址的 SSTP VPN 配置 Windows Server 2012 及其 Windows 7 和 Windows 8 VPN 客户端，但我遇到了一个问题：RRAS 服务器不会向 VPN 发送数据包来自除自身之外的任何机器的客户端。

我的 VPN 服务器在 Amazon 的“虚拟私有云”上运行，因此它只有一个 NIC，其 IP 地址位于与我所有其他 Amazon VPC 服务器共享的私有 RFC1918 网络上，以及一个将所有流量转发到该私有地址的公共 IP通过 NAT（亚马逊称之为“弹性 IP”）。

我已经安装了 RRAS 并设置了 VPN。Amazon 上的私有子网是 172.16.0.0/17（这就是我所说的“Amazon LAN”），但我希望所有 VPN 客户端都使用范围 10.128.0.0/20（我称之为“ VPN 局域网”）。

在我的亚马逊控制面板中，我完成了以下操作：

• 禁用 VPN 服务器的源/目标检查
• 在指向 VPN 服务器网络接口的 10.128.0.0/20 池的路由表中添加了一个条目。

在路由和远程访问 MMC 中，在服务器名称的属性菜单中，我完成了以下操作：

• 常规选项卡 -> IPv4 路由器（选中），为 LAN 和请求拨号路由启用
• 常规选项卡 -> IPv4 远程访问服务器（选中）
• IPv4 选项卡 -> 启用 IPv4 转发（选中）
• IPv4 选项卡 -> 静态地址池，并指定 10.128.0.1-10.128.15.154

在我的客户端和我所有的服务器上，我已经确保在防火墙中明确允许 …

尝试连接到 VPN 服务器时，我在客户端上收到 691 错误代码，其中说：

错误描述：691：远程连接被拒绝，因为您提供的用户名和密码组合未被识别，或者远程访问服务器上不允许选择的身份验证协议。

我验证了用户名和密码是正确的。我还安装了与IKEv2安全类型一起使用的认证。我还验证了 VPN 服务器支持安全方法。

但我无法登录。在服务器日志中，我得到了这个日志：

网络策略服务器拒绝访问用户。

用户 DomainName\UserName 从 IP 地址连接，但由于以下原因导致身份验证尝试失败：远程连接被拒绝，因为您提供的用户名和密码组合未被识别，或者远程访问不允许选择的身份验证协议服务器。

知道我能做什么吗？提前致谢！

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          12/29/2010 7:12:20 AM
Event ID:      6273
Task Category: Network Policy Server
Level:         Information
Keywords:      Audit Failure
User:          N/A
Computer:      VPN.domain.com
Description:
Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User:
  Security ID:          domain\Administrator
  Account Name:         domain\Administrator
  Account Domain:           domani
  Fully Qualified Account Name: domain.com/Users/Administrator

Client Machine: …

我正在设置一台 RRAS 机器供我个人使用和供我的几个朋友使用。我目前使用的是 Windows Server 2012；但我已经在 Windows Server 2008 R2 上试过了。两个系统都没有按预期工作。

我曾尝试让 OpenVPN 在 Debian 6 上工作，但没有运气。最后，我希望有一些易于使用的客户端并且有效。

在我的 RRAS 机器上，我通过 HE.net 为它配置了来自路由 /48 的静态 IPv6 地址。（所有 IPv6 访问都由 CentOS 6 虚拟机控制，并提供网络范围的 ipv6 连接）RRAS 机器可以通过 IPv6 与 VPN 客户端和 Internet/Intranet 通信。VPN 客户端可以通过 IPv4 与 Internet、Intranet 和 RRAS 服务器通信；但他们只能通过 IPv6 与 RRAS 服务器通信。这让我相信这是 RRAS 服务器上的路由问题。此外，LAN（到 RRAS 服务器）无法通过 IPv6 ping 任何连接的 VPN 客户端，但可以通过 IPv4 ping。

现在当前配置

在我的 CentOS VM 上，我将路由表配置为正确重定向到 /48 的 RRAS 服务器。

在我的 RRAS 服务器上，我已将 2001:XXX:XXXX:XXXX::1 分配给它的接口，它再次来自我的 /48。

在 RRAS 控制台中，我已将 …

路由和远程访问服务器如何选择路由以通告给客户端，以及在哪里可以查看提供的路由列表？

我们的一个用户报告说，服务器正在通告一条有效的路由，但从未在 RRAS 服务器的静态路由部分中输入或在任何时候告诉/提供给他们。事实上，静态路由部分目前是空的。

此时未配置 RIP，因此据我所知，它不是来自那里。

我们使用的是 PPTP，而不是 l2tp。

Windows 2016 Server (Fully SPd) 角色安装了 Active Directory、IIS、DNS 还安装了 Exchange 2013 CU4

到那时，服务器似乎运行良好。

添加了远程访问角色，该角色会安装良好的安装后向导运行并选择仅部署 VPN

然后启动路由和远程访问 运行“配置和启用路由和远程访问”向导

选择自定义配置，因为服务器只有一个 NIC 检查 VPN 访问向导完成并提示启动服务

单击“启动服务”，将出现一个带有旋转时钟的对话框，并且没有其他任何反应。它只是挂起并在窗口上说，“请等待路由和远程访问服务完成初始化”

事件查看器中没有错误

尝试访问 services.msc，“路由和远程访问”和“远程访问管理”服务都说它们正在运行。右键单击这些服务，所有选项都变灰，因此无法启动、停止或重新启动这些服务。

经过一些谷歌搜索后，我检查了本地策略的“登录即服务”并且匹配，所以我认为没问题。链接到那篇文章 我还尝试使用 powershell 脚本设置“作为服务登录”的权限链接到脚本

默认域策略和默认域控制器策略的 GPO 是 MSAD 安装中的默认设置。

我检查了 Windows 防火墙和 RRAS 规则。

1. 我错过了什么？

2. 可能是防火墙阻止服务启动吗？我试着把它关掉，没有任何区别。

3. 它可能是停止某事的许可，如果是这样，那是什么？

4. 我应该寻找什么？

＃＃＃＃＃ 更新 ＃＃＃＃＃

我决定向域中添加第二台服务器作为成员服务器。然后我添加了 RRAS 角色和功能。

运行向导将 RRAS 配置为仅自定义（只有一个 NIC）VPN。向导完成，然后尝试启动服务，只是挂在窗口上说“请稍候，路由和远程访问服务完成初始化”，但没有任何反应。

这与第一台服务器的问题完全相同。

所以我不知道是否是某种 GPO 导致了它。然而，“默认域策略”和“默认域控制器策略”都保持不变。

无论如何，我尝试使用以下方法重置两个 GPO

dcgpofix /target:Domain dcgpofix /target:DC

并删除本地 GPO

RD /S /Q "%WinDir%\System32\GroupPolicyUsers" RD /S /Q …

我在 Windows Server 2008 R2 RRAS 中有一条运行了很长时间的路由，它是 192.168.100.0/24。

该链接另一端的网络最近添加了一个新子网，192.168.101.0/24

所以，我很自然地想，我会把现有的路由修改为以下内容：

但是不行。新子网上的任何内容都不会随处可见。

但是，如果我进行以下设置：

这实际上与上面的路线相同，只是更冗长，效果很好。

我不介意有两条路线，但我真的很想知道为什么它是必要的。有任何想法吗？

我正在尝试使用 RRAS 启动并运行 Azure 站点到站点 VPN，但需要帮助配置我的路由器的 iptables，以便在不使用 NAT 的情况下将 VPN 端口和协议桥接到 RRAS 服务器，同时仍允许 NAT 用于所有其他流量.

我已经能够正确配置 Azure 和 VM，并且我可以通过链接上的数据建立并运行连接（并且在 Azure 门户中显示为与双向数据连接）。但是，设置的连接不可用，我无法 ping 或似乎在 Azure VM 和我的本地计算机之间建立任何形式的连接。

我相信这是由于 Azure 的 Site-to-Site VPN 要求本地 VPN 网关直接连接到 Internet 而无需通过 NAT 防火墙（我必须使用它，因为它是我的家庭宽带，因此只有一个 IP）所以同时可以建立连接 我的路由器上的 NAT 以某种方式更改数据包，这意味着它们一旦到达 RRAS 服务器就无法正确路由。

我已经尝试了替代的站点到站点 VPN 解决方案（OpenVPN、SoftEther、RRAS 本身），但没有一个能正常工作，都表现出相同的问题，即两个 VM 的托管 VPN 连接能够连接到所有内容，并且我的家庭网络服务器可以正确路由以连接到 Azure 端，但我相信要么是由于 Azure VM 的限制（只有一个网络适配器并且无法启用混杂模式）或 Azure 虚拟网络本身，这意味着没有其他 Azure VM 能够连接到我的家尽管添加了静态路由以通过 VPN 服务器或将其添加为附加网关。

我正在使用运行最新 Merlin 版本的 Asus RT-AC68U 路由器，所以我希望我可以通过以下方式更改它的 iptables 规则和网络配置来使用 Azure Site-to-Site VPN：

• 保留现有的 iptables 配置基本不变，因此 NAT 可以继续用于允许我的其他本地服务器和工作站继续连接到 …

Windows 2008 R2 (SBS) 机器早先设置为运行 PPTP VPN 服务器。出于安全考虑，我确实想用 L2TP/IPsec VPN 服务器替换 PPTP。

服务器位于 NAT 路由器后面，其中创建了 3 个到 Windows 服务器的转发规则：

1. 协议 50 (ESP)
2. 端口 UDP 500 (IKE)
3. UDP 4500 端口（NAT 穿越）

我现在可以看到数据包到达 Windows 服务器并被 Windows 防火墙过​​滤阻止。Windows 事件查看器显示目标端口 500 和协议 17 (UDP) 的事件 ID 为 5152（Windows 筛选平台阻止了数据包。）的条目。

需要采取哪些额外步骤才能在 Windows Server 2008 R2 上为 Mac OS X 客户端启动并运行 L2TP-VPN-Server？

所以我有一台运行 Windows Server 2003 的家庭服务器。我使用双网卡设置和路由和远程访问将内部专用网络链接到外部连接。外部连接直接连接到我的电缆调制解调器（因此中间没有路由器或其他设备）。

我遇到的问题是我无法使用远程桌面或 VNC 从房屋外的位置（因此连接到服务器的外部连接）远程连接到服务器。我在路由和远程访问的防火墙中启用了两个端口以允许访问，并且我在 Windows Server 2003 中启用了远程桌面。

奇怪的是我可以访问我的家庭服务器的 SVN 存储库，我什至可以 ping 服务器的 IP。我正在使用 IP 尝试连接，尽管我使用 dyndns.com 提供的名称连接到我的 SVN 存储库，所以它应该没有区别（我知道 IP 得到正确解析）。

关于从哪里开始诊断这个问题的任何想法？我在服务器的事件日志中没有看到任何内容。如果需要任何其他信息，请告诉我。谢谢。

更新：最后一条信息：我们在工作中使用代理服务器，我几乎 100% 肯定它是罪魁祸首。我有一个解决方法——如果我连接到我们的 VPN（即使我已经在大楼内），我也可以连接到我的家庭服务器。这是与VNC。但是，有没有办法使用远程桌面通过代理进行连接？

又一更新：确实，是我在工作时使用的 http 代理导致了这个问题。一个可以接受的解决方法是使用我的 VPN 连接绕过代理，我就进去了！

我最近阅读了一篇关于 Windows 防火墙如何工作的 Microsoft Technet 文章。这篇文章的作者对机器使用了诸如“请求的网络流量”和“未经请求的网络流量”之类的概念。我想我并不完全理解这些概念。

关于 TCP 协议，请求的流量是否是由本地机器发起的流量？

关于 UDP 协议，是否有类似请求/未经请求的流量或所有流量都是未经请求的？

其他协议呢？（+Windows 防火墙可以过滤那些其他协议）

是否可以通过组策略对象禁用/覆盖 Windows TCP/IP 过滤设置？

我有一台运行 2012 R2 的服务器，我在它上面设置了 RRAS，我无意中通过允许向导保护网络连接（服务器有一个 NIC）来切断自己的远程访问。

我正在使用仙人掌，我不小心把时钟调到了前面。Cacti 更新，将新数据存储在 rra 中 - 现在我已经修复了我的时钟，我无法让仙人掌再次更新。我该怎么办？