VPN帮助移动用户和外地员共享总部的网络资源,创造了虚拟的网络环境,大大方便了外地和出差的员工,但是,如果不能正常接入到VPN网络,势必令终端用户和网络工作人员感到沮丧。为了帮助快速解决VPN故障,现在列举常见的三种典型的IP地址导致的网络故障。
是否必须只能静态地址才能获得VPN服务?
&n
bsp; 动态地址可以同样获得VPN接入服务,但需要搭建一个像dyndns.com那样的服务,就是提供公网动态DNS注册服务,然后建立CNAME DNS(别名记录,也被称为规范名字。)入口,这种记录允许您将多个名字映射到同一台计算机,即创建的Mycompany.com名字指向同一个dyndns.com。外地员工使用VPN服务先登陆Mycompany.com就可以了。但要确认一点,就是Mycompany.com CNAME的TTL(TTL值全称是生存时间”Time To Live”)设置要正确。
原来正常登陆到VPN,但现在用DSL接入方式了,笔记本就不能接入到VPN了,请问是什么问题?
很可能问题处在,你使用一个静态IP地址,同时DHCP(Dynamic Host Configure Protocol, 动态主机配置协议)服务也开启了。而VPN设置是只能具体的IP地址才能建立一个连接,所以先从内部调查原因。
另外,就是调换新的Modem或者路由器设备,或者也有可能就是ISP服务商不支持VPN,所以需要和ISP核实是否支持,另外致电设备商客户是否支持VPN。
我是常驻外地办公人员,此前从来没出现过VPN接入问题。然而,ISP关闭了我个人用户的接入账号,让我开通一个企业级的接入账号,我已经换了两个调制解调器,一个用静态地址,另外一个用动态地址,如果直接连接到电脑上没有问题,但是如果用了Linksys的路由器就是连接不上VPN,请问是什么问题?
由于不清楚你的VPN和路由器星号,所以只能基于网络症状猜测,不是Modem和IP地址的问题,而是路由器的问题,路由器导致IP地址混乱且阻断了VPN协议,NAT导致VPN数据不正常。
此前遇到过同样的问题,就是路由器默认的子网和调制解调器默认的子网重叠了,或者和公司的网络重叠了。例如,Modem和路由器都被设置成192.168.1.x用来接入,就会导致电脑不能正常接入。同样,公司的网络和路由器同样使用192.168.1.x,也许能够连接到VPN上,但实际上还是在内部网络上,方法很简单就是修改路由器的默认网络就可以,包括IP地址和DHCP范围。
更经常地,路由器默认状态是阻止VPN协议的,导致路由器就像一个防火墙设备。例如,IPsec VPN需要路由器支持协议50或51(ESP or AH),而PPTP VPN需要路由器支持协议47(GRE),所以需要激活路由器上的功能。Linksys RT31P2,就需要设置Security/VPN Passthrough。
即使激活路由器上VPN功能,也有可能VPN隧道被NAT破坏。经常看到的现象是VPN明明是连接上了,就是没有数据交换。大多数 VPN网关已经升级到NAT Traversal (NAT穿越)能力,这样就避免NAT破坏VPN封装的UDP包。但如果没有升级到NAT Traversal,VPN就需会丢包,所以咨询VPN设备商,是否支持NAT穿越能力。
备注:
别名记录(CNAME)
也被称为规范名字。这种记录允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机。例如,有一台计算机名为“host.mydomain.com”(A记录)。 它同时提供WWW和MAIL服务,为了便于用户访问服务。可以为该计算机设置两个别名(CNAME):WWW和MAIL。 这两个别名的全称就是“www.mydomain.com”和“mail.mydomain.com”。实际上他们都指向“host.mydomain.com”。 同样的方法可以用于当您拥有多个域名需要指向同一服务器IP,此时您就可以将一个域名做A记录指向服务器IP然后将其他的域名做别名到之前做A记录的域名上,那么当您的服务器IP地址变更时您就可以不必麻烦的一个一个域名更改指向了 只需要更改做A记录的那个域名其他做别名的那些域名的指向也将自动更改到新的IP地址上了。
TTL
TTL值全称是生存时间(Time To Live),简单的说它表示DNS记录在DNS服务器上缓存时间,直接的说,此值影响客户第2次访问您站点的速度,建议设为7200。
要理解TTL值,请先看下面的一个例子:
假设,有这样一个域名myhost.abc.com(其实,这就是一条DNS记录,通常表示在abc.com域中有一台名为myhost的主机)对应IP地址为1.1.1.1,它的TTL为10分钟。这个域名或称这条记录存储在一台名为dns.abc.com的DNS服务器上。
NAT Traversal 解决方案是 UPnP IGD Working Committee 为制定 Internet 网关设备 (IGD) 规范所从事工作的一部分。UPnP 的成员公司可以加入该委员会,也可以只选择跟踪其工作进展。委员会的主席是 Intel 公司的 Prakash Iyer (prakash.iyer@intel.com)。许多公司,包括 Microsoft,都在为此而努力。
