Configuré un vpn pptp en Windows XP y agregué los usuarios. Los usuarios de VPN pueden conectarse al servidor, pero una vez conectados no pueden acceder a Internet a través del servidor VPN, que debería actuar como un proxy. Esa es mi tarea básica: hacer que un servidor VPN sirva como proxy para los usuarios.
¿Alguien puede explicar por qué los usuarios no pueden acceder a Internet a través del servidor VPN O indicarme algún sitio donde esto se explique bien?
Gracias de antemano.
Respuesta1
Un servidor proxy suele ser una función de capa de aplicación. Creo que cuando dices "actuar como un proxy" en realidad estás diciendo "enrutar su tráfico a través de la VPN a ese servidor que, a su vez, enrutará el tráfico a su puerta de enlace predeterminada y, en última instancia, a Internet".
Comenzaría con un "tracert" (o un comando equivalente del sistema operativo) de un cliente mientras estoy conectado a la VPN a una dirección de Internet y vería hacia dónde se dirige el tráfico.
Es bastante común en el cliente VPN de Microsoft que los usuarios desmarquen la opción "Usar puerta de enlace predeterminada en la red remota" (establecida en la configuración "Avanzada" de TCP/IP en la conexión VPN), lo que provocará que solo se envíe el tráfico destinado a la subred VPN remota. cruzar la VPN. ¿Has comprobado que nadie haya desmarcado esa casilla en los clientes?
Normalmente, el cliente VPN de Microsoft "impulsará" las configuraciones DNS y WINS desde el servidor VPN a las computadoras cliente. Si los clientes no pueden acceder a sitios web con un navegador, por ejemplo, puede ser quesonenrutar el tráfico por el túnel VPN pero que el servidor DNS que está "desactivado" no puede resolver los nombres de Internet.
Ver la tabla de enrutamiento en un cliente mientras está conectado con el comando "imprimir ruta" también ayudará a descubrir qué está pasando. Debe haber dos entradas de puerta de enlace predeterminada (0.0.0.0 con una máscara de subred de 0.0.0.0) en un cliente que esté configurado para enrutar todo el tráfico a través de la VPN: una para la puerta de enlace predeterminada en la subred del cliente y otra "apuntando". al túnel VPN.
Editar:
Si quierestodoel tráfico de los clientes VPN para cruzar la VPN y salir a Internet desde el "centro" VPN y luego deje marcada la casilla de verificación "Usar puerta de enlace predeterminada en la red remota" en las computadoras cliente.
Sospecho que tienes un problema de resolución de nombres. Conectaría un cliente a la VPN y haría lo siguiente:
tracert -d (your favorite Internet IP address here)
Puede usar cualquier dirección IP que desee en ese comando, siempre que sea algo a lo que realmente se pueda acceder. Diablos, usa la dirección IP de "star.slashdot.org". Ya la he usado en algunos ejemplos aquí... >sonríe< 216.34.181.48
Eso le mostrará la ruta que están tomando los paquetes. Es importante utilizar una dirección IP en ese comando para no depender del DNS.
Si eso se ve bien (es decir, ve que los paquetes cruzan la VPN y salen a través de la conexión a Internet del "centro" de la VPN), entonces pruebe el DNS:
nslookup star.slashdot.org
Deberías obtener algo como:
C:\>nslookup star.slashdot.org
Server: the-name-of-the-VPN-server's-DNS-server
Address: the-ip-address-of-the-VPN-server's-DNS-server
Non-authoritative answer:
Name: star.slashdot.org
Address: 216.34.181.48
Si recibe algo desagradable como esto, entonces el servidor DNS remoto no está configurado para resolver nombres de Internet.
*** the-name-of-the-VPN-server's-DNS-server can't find star.slashdot.org: Non-existent domain
Si obtiene algo como esto, entonces el servidor VPN no tiene especificado un servidor DNS válido:
C:\>nslookup star.slashdot.org
Server: [the-ip-address-of-the-VPN-server's-DNS-server]
Address: the-ip-address-of-the-VPN-server's-DNS-server
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to [the-ip-address-of-the-VPN-server's-DNS-server] timed-out