虚拟专网(Virtual private networking,VPN)提供了有安全保障的安全连接,但是很多事情都可能会出错。下面是一些情况以及应该做的处理建议。
用户不能访问文件服务器 如果这个用户可以通过IP地址但不能通过名称来访问文件服务器,最有可能的原因是域名解析的问题。可能会是NetBIOS 或者DNS主机名解析有问题。如果客户端操作系统使用NetBIOS,VPN服务器就应该为该VPN客户端分配一个内网主机名。
如果使用DNS来为VPN用户解析内部网主机名,一定要确保这些客户端能够正确解析企业网络中所使用的域名。如果无域的计算机试图使用DNS来解析位于VPN服务器后面的内网服务器域名,就经常会遇到这个问题。
用户不能访问企业网的任何内容
有时候用户能够连接到远程VPN服务器,但是不能够连接到企业网络内的任何资源。它们不能解析主机名,甚至也不能ping通企业网络里的资源。
这个问题最常见的原因是该用户连接到的网络同VPN服务器后面的企业网络使用的是同样的网络ID。例如,该用户连接到一个宾馆宽带网络中,该网络使用的ID是10.0.0.0/24。如果企业网也使用了10.0.0.0/24这个ID,它们就不能连接,因为VPN客户端机器会把目标地址当作本地网络地址,所以就不会通过VPN界面连接到远程网络上。
另一个常见的通讯失败的原因是VPN客户端连接到的VPN服务器/防火墙设备上的规则不允许该客户端访问企业网络里的资源。解决的方法是修改防火墙的配置,允许VPN客户端访问适当的网络资源。
用户不能从NAT设备后连接到VPN服务器
绝大部分防火墙和NAT路由器支持NAT设备后面的PPTP VPN协议。然而,一些高端的网络设备供应商却并没有为PPTP VPN协议设置NAT编辑器。如果用户是在这样一个设备后面,使用PPTP进行VPN连接就会失败,而使用VPN协议则可以成功。
所有的NAT设备和防火墙都支持基于IPSec的VPN协议IPSecpassthrough。这些VPN协议包括IPSec渠道模式和兼容RFC的L2TP/IPSec。这些VPN协议可以支持NAT,IPSec通信被压缩成UDP报头在网络中往返。
如果你的VPN客户端和服务器支持NAT,客户端尝试使用L2TP/IPSec穿过一个NAT连接一台兼容NAT-T的VPN服务器,那么出现这种问题最有可能的原因是客户端使用了Windows XP Service Pack 2。Service Pack 2阻止了L2TP/IPSec VPN 客户端的NAT通信。如果想解决这个问题,你可以按照Microsoft Knowledge Base article 885407中的指导,对VPN客户端机器注册表进行修改。
用户抱怨速度太慢
性能差是最难解决的问题之一。有很多种可能的原因,重要的是要获得用户的准确而详细的描述,说清楚他们在做什么,以及什么时候发现速度慢的。
VPN客户端觉得速度慢最常见的一个原因是这些客户端位于一个使用PPPoE的DSL网络后面。这些网络连接经常会遇到最大传输单元(MTU)问题,这个问题会造成连接和性能两方面的影响。如果想了解更多的关于微软客户端MTU问题的信息,请参看Microsoft Knowledge Base article 283165。
|
