Иллюстрированный самоучитель по развертыванию виртуальных частных сетей

Попытка подключения принимается, хотя должна быть отклонена

  • Убедитесь в том, что свойствах учетной записи пользователя для параметра Разрешение на удаленный доступ установлено в значение Запретить доступ (Deny access) или Управление на основе политики удаленного доступа (Control access through Remote Access Policy). Если указано последнее значение, убедитесь в том, что для соответствующей политики удаленного доступа установлено значение Отказать в праве удаленного доступа (Deny remote access permission). Чтобы установить имя политики удаленного доступа принявшей эту попытку подключения, найдите в журнале учета запись о данной попытке подключения, содержащую имя политики.
  • Если Вы создали политику удаленного доступа, однозначно запрещающую все подключения, проверьте условия политики, разрешение на удаленный доступ и настройки профиля политики.

Недоступны ресурсы, находящиеся за пределами VPN-сервера

  • Убедитесь в том, что требуемый протокол разрешен для маршрутизации или в том, что клиентам входящих подключений разрешен доступ к сети по протоколам локальной сети, используемым VPN-клиентами.
  • Проверьте пул IP-адресов VPN-сервера. Если VPN-сервер настроен на использование статического пула IP-адресов, убедитесь, что для узлов и маршрутизаторов интрасети существуют маршруты к адресам из этого пула. Если это не так, на маршрутизаторах интрасети следует добавить IP-маршруты, состоящие из диапазонов адресов статического пула, указав IP-адрес и маску для каждого диапазона. Вместо этого можно включить протокол маршрутизации на VPN-сервере, соответствующий инфраструктуре сети. Если маршруты к подсетям VPN-клиентов удаленного доступа отсутствуют, эти клиенты не могут получать пакеты из интрасети. Маршруты для сети определяются либо с помощью статических записей о маршрутах, либо с помощью протоколов маршрутизации, таких как OSPF (Open Shortest Path First) или RIP (Routing Information Protocol).

    Если VPN-сервер настроен на использование протокола DHCP для назначения IP-адресов, но DHCP-сервер недоступен, VPN-сервер использует адреса из диапазона APIPA (Automatic Private IP Addressing): с 169.254.0.1 по 169.254.255.254. Выделение адресов APIPA для удаленных клиентов возможно только в том случае, если в сети, к которой подключен VPN-сервер, также используются адресов APIPA.

    Если VPN-сервер использует адресов APIPA, а DHCP-сервер доступен, убедитесь, что выбран правильный адаптер для получения IP-адресов, выделямых DHCP-сервером. По умолчанию VPN-сервер использует для присвоения IP-адресов адаптер, указанный в параметрах мастера установки сервера маршрутизации и удаленного доступа. Вы можете указать адаптер локальной сети (LAN) вручную. Для этого откройте оснастку Маршрутизация и удаленный доступ, откройте свойства VPN-сервера, перейдите на вкладку IP и выберите необходимый адаптер из списка (Adapters).

    Если статические пулы IP-адресов являются диапазоном IP-адресов, которые в свою очередь являются подмножеством диапазона IP-адресов сети, к которой подключен VPN-сервер, проверьте, что диапазон IP-адресов из статического пула не назначены другим узлам TCP/IP ни статически, ни через DHCP.

  • Убедитесь в том, что фильтры пакетов или свойства профиля политики удаленного доступа для соответствующих VPN-подключений, разрешают передачу VPN-трафика.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.