Страница 1 из 1
RRAS + VPN+NLB
Добавлено: 10 фев 2017 15:14
netRunner
Добрый день. Воспользовался инструкцией
https://blog.it-kb.ru/2015/01/21/window ... orization/
Все прошло успешно, но, на серверах VPN пропал интернет. Исходящий трафик идет в черную дыру!
Шлюз прописан, на каждом WAN интерфейсе болтается по 2 Ip адреса (как я понял один общий и по одному на каждый). Хостинг Hetzner.
До настройки NLB интернет там был, правда IP был получен через статический МАС. После я включил динамический, все прописал, но воз и ныне там.
Код: Выделить всё
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 88.99.139.1 88.99.139.56 281
88.99.139.0 255.255.255.192 On-link 88.99.139.56 281
88.99.139.56 255.255.255.255 On-link 88.99.139.56 281
88.99.139.59 255.255.255.255 On-link 88.99.139.56 281
88.99.139.63 255.255.255.255 On-link 88.99.139.56 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.255.0 On-link 192.168.0.231 271
192.168.0.231 255.255.255.255 On-link 192.168.0.231 271
192.168.0.255 255.255.255.255 On-link 192.168.0.231 271
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.0.231 271
224.0.0.0 240.0.0.0 On-link 88.99.139.56 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.0.231 271
255.255.255.255 255.255.255.255 On-link 88.99.139.56 281
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 88.99.139.1 По умолчанию
===========================================================================
Вот тут смущает больше всего что чего то не хватает
Прописывал такое 0.0.0.0 mask 0.0.0.0 88.99.139.1 metric 25 - не помогло...
Re: RRAS + VPN+NLB
Добавлено: 10 фев 2017 15:36
Алексей Максимов
Здравствуйте.
Нужно начать с того, чтобы полностью понимать то, что у Вас имеется (исходные данные в развёрнутом виде) и что Вы в конечном итоге хотите построить.
Re: RRAS + VPN+NLB
Добавлено: 10 фев 2017 16:26
netRunner
С какой машины данные нужны?
Re: RRAS + VPN+NLB
Добавлено: 10 фев 2017 16:45
Алексей Максимов
Ну как с какой, со всех
Я же говорю, нужно для начала вообще понять, что у Вас есть и что Вы хотите.
А то приходите такой интересный, показываете какой-то вывод netstat-а и думаете, что получите ответы на свои вопросы.
Волшебники и провидцы все у нас уехали на сборы по баскетболу, к сожалению
Re: RRAS + VPN+NLB
Добавлено: 11 фев 2017 07:53
netRunner
route print с рабочей машины, где есть локальная сеть 192.168.0.0/24 и выход в сеть через шлюз 88.99.139.1, который так же прописан на двух других серверах (VPN1 и VPN2)
Код: Выделить всё
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 88.99.139.1 88.99.139.57 25
88.99.139.0 255.255.255.192 On-link 88.99.139.57 281
88.99.139.57 255.255.255.255 On-link 88.99.139.57 281
88.99.139.63 255.255.255.255 On-link 88.99.139.57 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.255.0 On-link 192.168.0.214 271
192.168.0.214 255.255.255.255 On-link 192.168.0.214 271
192.168.0.255 255.255.255.255 On-link 192.168.0.214 271
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.0.214 271
224.0.0.0 240.0.0.0 On-link 88.99.139.57 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.0.214 271
255.255.255.255 255.255.255.255 On-link 88.99.139.57 281
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию
ipconfig с VPN2
Код: Выделить всё
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : vpn2
Основной DNS-суффикс . . . . . . : -----
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : -----
Адаптер Ethernet LAN:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
Физический адрес. . . . . . . . . : 00-15-5D-8B-16-0F
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::453f:a707:b4f6:8600%10(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.231(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
IAID DHCPv6 . . . . . . . . . . . : 50337117
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-20-2F-58-D4-00-15-5D-8B-16-0F
DNS-серверы. . . . . . . . . . . : 192.168.0.200
192.168.0.201
NetBios через TCP/IP. . . . . . . . : Включен
Адаптер Ethernet WAN:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft Hyper-V Network Adapter #2
Физический адрес. . . . . . . . . : 00-15-5D-8B-16-11
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::a965:c186:63b7:a3b6%2(Основной)
IPv4-адрес. . . . . . . . . . . . : 88.99.139.56(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.192
IPv4-адрес. . . . . . . . . . . . : 88.99.139.59(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.192
Основной шлюз. . . . . . . . . : 88.99.139.1
IAID DHCPv6 . . . . . . . . . . . : 151015510
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-20-2F-58-D4-00-15-5D-8B-16-0F
DNS-серверы. . . . . . . . . . . : 192.168.0.200
192.168.0.201
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{9145B8D0-3E22-49E7-A0AE-81FC0A623FF2}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{1D154315-C752-4984-A756-DBA609BEB527}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
На VPN1 все аналогично за исключением IP адреса
ОС Windows Server 2016, из ролей только RRAS+NLB
Ну и route print с VPN1, там где "нет интернета"
Код: Выделить всё
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 88.99.139.1 88.99.139.56 281
88.99.139.0 255.255.255.192 On-link 88.99.139.56 281
88.99.139.56 255.255.255.255 On-link 88.99.139.56 281
88.99.139.59 255.255.255.255 On-link 88.99.139.56 281
88.99.139.63 255.255.255.255 On-link 88.99.139.56 281
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.0.0 255.255.255.0 On-link 192.168.0.231 271
192.168.0.231 255.255.255.255 On-link 192.168.0.231 271
192.168.0.255 255.255.255.255 On-link 192.168.0.231 271
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.0.231 271
224.0.0.0 240.0.0.0 On-link 88.99.139.56 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.0.231 271
255.255.255.255 255.255.255.255 On-link 88.99.139.56 281
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 88.99.139.1 По умолчанию
===========================================================================
Может проблема в провайдере? Ведь как только была отключена выдача IP через DHCP и IP прописан вручную (при настройке NLB), все сломалось
Re: RRAS + VPN+NLB
Добавлено: 11 фев 2017 08:06
netRunner
Алексей Максимов писал(а):Здравствуйте.
Нужно начать с того, чтобы полностью понимать то, что у Вас имеется (исходные данные в развёрнутом виде) и что Вы в конечном итоге хотите построить.
1 физический сервер, для VPN доступа выделил 2 виртуальных, у каждого свой WAN
Re: RRAS + VPN+NLB
Добавлено: 11 фев 2017 09:16
Алексей Максимов
Может проблема в провайдере?
Вполне может быть. Если в настройках WinNLB кластера Вы используете те же опции, что и в статье (Unicast), то провайдер должен поддерживать работу с разными MAC-ами на одном IP. Насколько я понимаю, большинство провайдеров по умолчанию блокируют такую возможность в целях повышения безопасности, и о включении такой поддержки с провайдером нужно обговаривать отдельно.
Re: RRAS + VPN+NLB
Добавлено: 11 фев 2017 10:09
netRunner
Алексей Максимов писал(а):Может проблема в провайдере?
Вполне может быть. Если в настройках WinNLB кластера Вы используете те же опции, что и в статье (Unicast), то провайдер должен поддерживать работу с разными MAC-ами на одном IP. Насколько я понимаю, большинство провайдеров по умолчанию блокируют такую возможность в целях повышения безопасности, и о включении такой поддержки с провайдером нужно обговаривать отдельно.
А другие варианты есть? В NLB при настройке общего IP можно указать МАС, но поле закрыто для изменения... Можеть быть дело в нем?
Прописал статичные МАС, доступ к серверам появился, но только по уникальному IP. По общему связи нет
Re: RRAS + VPN+NLB
Добавлено: 11 фев 2017 15:38
Алексей Максимов
Прописал статичные МАС, доступ к серверам появился, но только по уникальному IP. По общему связи нет
Ну это Вы совершенно напрасно делаете. Windows NLB так и работает, что управляющий код кластера сам устанавливает общий MAC на интерфейсе каждого из участников кластера, то есть происходит подмена реального уникального MAC-адреса каждого узла на общий MAC-адрес кластера. Именно для этого в свойствах виртуальной машины Вы и разрешали спуфинг MAC-адресов (без этого бы кластер не заработал вообще). Можете это сами увидеть, сопоставив вывод
с обоих узлов кластера.
Попробуйте обратиться в тех.поддержку провайдера, описав им свою конфигурацию виртуальных машин и WinNLB кластера.
Re: RRAS + VPN+NLB
Добавлено: 15 фев 2017 07:44
netRunner
Нашел вариант, взял подсеть, там привязки к МАС нету и весь трафик маршрутизируется через основной IP (88.99.139.22) сервера
Подскажите, какой маршрут прописать на основном сервере (который физически подключен к интернету) что бы трафик из 188.40.203.240 / 29
уходил на шлюз 88.99.139.1 через основной IP сервера 88.99.139.22, а то голова уже кругом...
Параметр IPRoute включил
Спасибо!