RRAS + VPN+NLB

Ответить
netRunner
Новичок
Сообщения: 9
Зарегистрирован: 10 фев 2017 14:55

RRAS + VPN+NLB

Сообщение netRunner » 10 фев 2017 15:14

Добрый день. Воспользовался инструкцией https://blog.it-kb.ru/2015/01/21/window ... orization/

Все прошло успешно, но, на серверах VPN пропал интернет. Исходящий трафик идет в черную дыру! :D

Шлюз прописан, на каждом WAN интерфейсе болтается по 2 Ip адреса (как я понял один общий и по одному на каждый). Хостинг Hetzner.

До настройки NLB интернет там был, правда IP был получен через статический МАС. После я включил динамический, все прописал, но воз и ныне там.

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      88.99.139.1     88.99.139.56    281
      88.99.139.0  255.255.255.192         On-link      88.99.139.56    281
     88.99.139.56  255.255.255.255         On-link      88.99.139.56    281
     88.99.139.59  255.255.255.255         On-link      88.99.139.56    281
     88.99.139.63  255.255.255.255         On-link      88.99.139.56    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.0.0    255.255.255.0         On-link     192.168.0.231    271
    192.168.0.231  255.255.255.255         On-link     192.168.0.231    271
    192.168.0.255  255.255.255.255         On-link     192.168.0.231    271
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.0.231    271
        224.0.0.0        240.0.0.0         On-link      88.99.139.56    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.0.231    271
  255.255.255.255  255.255.255.255         On-link      88.99.139.56    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      88.99.139.1  По умолчанию
===========================================================================
Вот тут смущает больше всего что чего то не хватает :)
Прописывал такое 0.0.0.0 mask 0.0.0.0 88.99.139.1 metric 25 - не помогло...
Последний раз редактировалось netRunner 11 фев 2017 07:55, всего редактировалось 1 раз.

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: RRAS + VPN+NLB

Сообщение Алексей Максимов » 10 фев 2017 15:36

Здравствуйте.

Нужно начать с того, чтобы полностью понимать то, что у Вас имеется (исходные данные в развёрнутом виде) и что Вы в конечном итоге хотите построить.

netRunner
Новичок
Сообщения: 9
Зарегистрирован: 10 фев 2017 14:55

Re: RRAS + VPN+NLB

Сообщение netRunner » 10 фев 2017 16:26

С какой машины данные нужны?

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: RRAS + VPN+NLB

Сообщение Алексей Максимов » 10 фев 2017 16:45

Ну как с какой, со всех :)
Я же говорю, нужно для начала вообще понять, что у Вас есть и что Вы хотите.
А то приходите такой интересный, показываете какой-то вывод netstat-а и думаете, что получите ответы на свои вопросы.
Волшебники и провидцы все у нас уехали на сборы по баскетболу, к сожалению :)

netRunner
Новичок
Сообщения: 9
Зарегистрирован: 10 фев 2017 14:55

Re: RRAS + VPN+NLB

Сообщение netRunner » 11 фев 2017 07:53

route print с рабочей машины, где есть локальная сеть 192.168.0.0/24 и выход в сеть через шлюз 88.99.139.1, который так же прописан на двух других серверах (VPN1 и VPN2)

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      88.99.139.1     88.99.139.57     25
      88.99.139.0  255.255.255.192         On-link      88.99.139.57    281
     88.99.139.57  255.255.255.255         On-link      88.99.139.57    281
     88.99.139.63  255.255.255.255         On-link      88.99.139.57    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.0.0    255.255.255.0         On-link     192.168.0.214    271
    192.168.0.214  255.255.255.255         On-link     192.168.0.214    271
    192.168.0.255  255.255.255.255         On-link     192.168.0.214    271
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.0.214    271
        224.0.0.0        240.0.0.0         On-link      88.99.139.57    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.0.214    271
  255.255.255.255  255.255.255.255         On-link      88.99.139.57    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию
ipconfig с VPN2

Код: Выделить всё

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : vpn2
   Основной DNS-суффикс  . . . . . . : -----
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Да
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : -----

Адаптер Ethernet LAN:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Физический адрес. . . . . . . . . : 00-15-5D-8B-16-0F
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::453f:a707:b4f6:8600%10(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.231(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :
   IAID DHCPv6 . . . . . . . . . . . : 50337117
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-20-2F-58-D4-00-15-5D-8B-16-0F
   DNS-серверы. . . . . . . . . . . : 192.168.0.200
                                       192.168.0.201
   NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet WAN:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft Hyper-V Network Adapter #2
   Физический адрес. . . . . . . . . : 00-15-5D-8B-16-11
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::a965:c186:63b7:a3b6%2(Основной)
   IPv4-адрес. . . . . . . . . . . . : 88.99.139.56(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.192
   IPv4-адрес. . . . . . . . . . . . : 88.99.139.59(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.192
   Основной шлюз. . . . . . . . . : 88.99.139.1
   IAID DHCPv6 . . . . . . . . . . . : 151015510
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-20-2F-58-D4-00-15-5D-8B-16-0F
   DNS-серверы. . . . . . . . . . . : 192.168.0.200
                                       192.168.0.201
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{9145B8D0-3E22-49E7-A0AE-81FC0A623FF2}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{1D154315-C752-4984-A756-DBA609BEB527}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #4
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
На VPN1 все аналогично за исключением IP адреса

ОС Windows Server 2016, из ролей только RRAS+NLB

Ну и route print с VPN1, там где "нет интернета"

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      88.99.139.1     88.99.139.56    281
      88.99.139.0  255.255.255.192         On-link      88.99.139.56    281
     88.99.139.56  255.255.255.255         On-link      88.99.139.56    281
     88.99.139.59  255.255.255.255         On-link      88.99.139.56    281
     88.99.139.63  255.255.255.255         On-link      88.99.139.56    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.0.0    255.255.255.0         On-link     192.168.0.231    271
    192.168.0.231  255.255.255.255         On-link     192.168.0.231    271
    192.168.0.255  255.255.255.255         On-link     192.168.0.231    271
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.0.231    271
        224.0.0.0        240.0.0.0         On-link      88.99.139.56    281
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.0.231    271
  255.255.255.255  255.255.255.255         On-link      88.99.139.56    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      88.99.139.1  По умолчанию
===========================================================================
Изображение

Может проблема в провайдере? Ведь как только была отключена выдача IP через DHCP и IP прописан вручную (при настройке NLB), все сломалось
Последний раз редактировалось netRunner 11 фев 2017 08:29, всего редактировалось 1 раз.

netRunner
Новичок
Сообщения: 9
Зарегистрирован: 10 фев 2017 14:55

Re: RRAS + VPN+NLB

Сообщение netRunner » 11 фев 2017 08:06

Алексей Максимов писал(а):Здравствуйте.

Нужно начать с того, чтобы полностью понимать то, что у Вас имеется (исходные данные в развёрнутом виде) и что Вы в конечном итоге хотите построить.

1 физический сервер, для VPN доступа выделил 2 виртуальных, у каждого свой WAN

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: RRAS + VPN+NLB

Сообщение Алексей Максимов » 11 фев 2017 09:16

Может проблема в провайдере?
Вполне может быть. Если в настройках WinNLB кластера Вы используете те же опции, что и в статье (Unicast), то провайдер должен поддерживать работу с разными MAC-ами на одном IP. Насколько я понимаю, большинство провайдеров по умолчанию блокируют такую возможность в целях повышения безопасности, и о включении такой поддержки с провайдером нужно обговаривать отдельно.

netRunner
Новичок
Сообщения: 9
Зарегистрирован: 10 фев 2017 14:55

Re: RRAS + VPN+NLB

Сообщение netRunner » 11 фев 2017 10:09

Алексей Максимов писал(а):
Может проблема в провайдере?
Вполне может быть. Если в настройках WinNLB кластера Вы используете те же опции, что и в статье (Unicast), то провайдер должен поддерживать работу с разными MAC-ами на одном IP. Насколько я понимаю, большинство провайдеров по умолчанию блокируют такую возможность в целях повышения безопасности, и о включении такой поддержки с провайдером нужно обговаривать отдельно.
А другие варианты есть? В NLB при настройке общего IP можно указать МАС, но поле закрыто для изменения... Можеть быть дело в нем?

Прописал статичные МАС, доступ к серверам появился, но только по уникальному IP. По общему связи нет

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: RRAS + VPN+NLB

Сообщение Алексей Максимов » 11 фев 2017 15:38

Прописал статичные МАС, доступ к серверам появился, но только по уникальному IP. По общему связи нет
Ну это Вы совершенно напрасно делаете. Windows NLB так и работает, что управляющий код кластера сам устанавливает общий MAC на интерфейсе каждого из участников кластера, то есть происходит подмена реального уникального MAC-адреса каждого узла на общий MAC-адрес кластера. Именно для этого в свойствах виртуальной машины Вы и разрешали спуфинг MAC-адресов (без этого бы кластер не заработал вообще). Можете это сами увидеть, сопоставив вывод

Код: Выделить всё

ipconfig /all 
с обоих узлов кластера.
Попробуйте обратиться в тех.поддержку провайдера, описав им свою конфигурацию виртуальных машин и WinNLB кластера.

netRunner
Новичок
Сообщения: 9
Зарегистрирован: 10 фев 2017 14:55

Re: RRAS + VPN+NLB

Сообщение netRunner » 15 фев 2017 07:44

Нашел вариант, взял подсеть, там привязки к МАС нету и весь трафик маршрутизируется через основной IP (88.99.139.22) сервера

Подскажите, какой маршрут прописать на основном сервере (который физически подключен к интернету) что бы трафик из 188.40.203.240 / 29

уходил на шлюз 88.99.139.1 через основной IP сервера 88.99.139.22, а то голова уже кругом...
Параметр IPRoute включил


Спасибо!

Ответить

Вернуться в «Windows Server 2016»