Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Невозможно получить доступ к узлам, находящимся за VPN-маршрутизатором

  • Убедитесь, что включена IP-маршрутизация на вкладке IP в диалоговом окне свойств VPN-маршрутизатора. Убедитесь, что разрешен доступ к сети на вкладке IPХ в свойствах VPN-маршрутизатора.
  • Убедитесь, что был добавлен соответствующий интерфейс вызова по требованию для маршрутизируемого протокола.
  • Убедитесь, что на маршрутизаторах сайтов вызывающего и отвечающего VPN-серверов прописаны маршруты ко внутренним ресурсам обоих сайтов. Вы можете добавить маршруты на маршрутизаторах каждого сайта, используя статические маршруты или включив протоколы маршрутизации на внутренних интерфейсах вызывающего и отвечающего VPN-серверов.

    В отличие от подключений удаленного доступа, подключение по требованию автоматически не создает маршрут по умолчанию. На каждой из сторон подключения по требованию Вам необходимо создать маршруты, обеспечивающие обмен данными с другой стороной подключения по требованию.

    Вы можете вручную добавить статические маршруты в таблицу маршрутизации или сделать это при помощи протоколов маршрутизации. Для постоянных подключений по требованию Вы можете задействовать протоколы OSPF (Open Shortest Path First) или RIP (Routing Information Protocol). Для подключений по требованию, устанавливаемых по запросу, Вы можете автоматически обновлять маршруты при помощи автостатических обновлений протокола RIP.

  • Для двусторонне инициируемых VPN-подключений убедитесь, что VPN-подключение "маршрутизатор-маршрутизатор" не интерпретируется VPN-сервером как подключение удаленного доступа.

    В случае двусторонне инициируемых подключений каждый маршрутизатор может быть как вызывающим, так и отвечающим. Имена пользователей и имена интерфейсов вызова по требованию должны определенным образом совпадать. Например, двусторонне инициируемое подключение будет работать при следующей конфигурации:

    Маршрутизатор 1 имеет интерфейс вызова по требованию с именем NEW-YORK, который использует имя SEATTLE в качестве имени пользователя при передаче учетных данных для проверки подлинности.

    Маршрутизатор 2 имеет интерфейс вызова по требованию с именем SEATTLE, который использует имя NEW-YORK в качестве имени пользователя при передаче учетных данных для проверки подлинности.

    В этом примере предполагается, что Маршрутизатор 2может проверять имя пользователя SEATTLE, а Маршрутизатор 1 может проверять имя пользователя NEW-YORK.

    Если вызывающий объект является маршрутизатором, порт, на который был получен вызов, переключается в состояние Активно (Active), а соответствующий интерфейс вызова по требованию находится в состоянии Подключено (Connected). Если имя учетной записи пользователя в учетных данных вызывающего маршрутизатора появилось в списке Клиенты удаленного доступа (Remote Access Clients) оснастки Маршрутизация и удаленный доступ (Routing and Remote Access), значит вызывающий маршрутизатор был интерпретирован отвечающим маршрутизатором как клиент удаленного доступа.

  • Для односторонне инициируемого подключения по требованию убедитесь, что в учетной записи пользователя вызывающего маршрутизатора содержатся подходящие статические маршруты, и что на отвечающем маршрутизаторе настроены протоколы маршрутизации, которые при установленном соединении объявляют об этих маршрутах соседним маршрутизаторам.
  • Убедитесь, что на интерфейсах вызова по требованию вызывающего и отвечающего маршрутизаторов не настроены фильтры IP- или IPX-пакетов, препятствующие передаче TCP/IP- или IPX-трафика.

    На каждом интерфейсе вызова по требованию Вы можете настроить фильтры входящих и исходящих IP- и IPX-пакетов. С помощью этих фильтров можно управлять точно определенными типами TCP/IP- и IPX-трафика, разрешенного для приема или отправки через интерфейс вызова по требованию.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.