為了有效節(jié)約組網(wǎng)成本，并且確保組網(wǎng)效率不受任何影響，某公司決定通過VPN連接實現(xiàn)重要數(shù)據(jù)信息的網(wǎng)絡(luò)訪問。在經(jīng)過很長時間的精心準備和認真籌建之后，公司的局域網(wǎng)組建任務(wù)終于成功了;不過，當筆者在內(nèi)網(wǎng)工作站中嘗試通過VPN連接訪問Internet網(wǎng)絡(luò)時，發(fā)現(xiàn)任何一個VPN客戶端系統(tǒng)都不能上網(wǎng)。遭遇這種故障時，究竟是VPN客戶端上網(wǎng)參數(shù)設(shè)置不正確，還是局域網(wǎng)的RAS服務(wù)器工作狀態(tài)不正常，或者是局域網(wǎng)沒有組建成功呢?現(xiàn)在，本文就將該故障現(xiàn)象的詳細排查過程貢獻出來，希望各位朋友能從中獲得收益!

VPN客戶端不能上網(wǎng)故障

某公司在安裝了Windows Server 2003系統(tǒng)的主機中架設(shè)了文件服務(wù)器，由于工作需要各個子公司經(jīng)常要遠程訪問單位局域網(wǎng)中的文件服務(wù)器;以往用戶都是通過撥號方式來進行遠程訪問，不過這種訪問方式不但速度非常緩慢，而且網(wǎng)絡(luò)訪問成本也比較高。為了節(jié)約上網(wǎng)成本，公司打算對局域網(wǎng)進行改造，以便允許子公司用戶通過VPN連接訪問局域網(wǎng)中的RAS服務(wù)器，并能通過該服務(wù)器訪問Internet網(wǎng)絡(luò)以及目標Web網(wǎng)站，畢竟這種網(wǎng)絡(luò)訪問方式不但傳輸速度快、上網(wǎng)成本低，而且數(shù)據(jù)傳輸?shù)陌踩砸材艿玫接行ПＷC。

考慮到RAS服務(wù)器既要與局域網(wǎng)內(nèi)網(wǎng)連接，又要與Internet網(wǎng)絡(luò)連接，所以筆者在服務(wù)器系統(tǒng)所在的主機中同時安裝了兩塊網(wǎng)卡，并為第一塊網(wǎng)卡分配了“10.176.6.156”這樣的IP地址，以便讓該網(wǎng)關(guān)設(shè)備直接公司的局域網(wǎng)網(wǎng)絡(luò)保持連接，為第二塊網(wǎng)卡分配了“61.166.12.118”這樣的IP地址，以便讓該網(wǎng)卡設(shè)備與Internet網(wǎng)絡(luò)直接保持連接。在配置好服務(wù)器主機中的每一塊網(wǎng)卡設(shè)備參數(shù)后，筆者下面就準備在其中正式安裝RAS服務(wù)器了。

安裝RAS服務(wù)器的操作比較簡單，筆者先是以系統(tǒng)管理員賬號登錄進Windows Server 2003系統(tǒng)，打開該系統(tǒng)的“開始”菜單，從中依次點選“設(shè)置”、“控制面板”選項，打開對應(yīng)服務(wù)器系統(tǒng)的控制面板窗口，用鼠標雙擊其中的“管理工具”選項圖標，在彈出的管理工具列表窗口中雙擊“路由和遠程訪問”選項圖標，進入路由和遠程訪問控制臺界面;

在目標控制臺界面的左側(cè)子窗格中，找到目標服務(wù)器主機名稱，并用鼠標右鍵單擊該名稱選項，再單擊彈出菜單中的“配置路由和遠程訪問”選項命令，打開安裝配置向?qū)υ捒?如圖1所示)，根據(jù)向?qū)崾鞠葘ⅰ斑h程訪問或VPN撥號”項目選中，再將“VPN”選中，在之后出現(xiàn)的VPN連接設(shè)置窗口中，選中服務(wù)器主機中與Internet網(wǎng)絡(luò)保持直接連接的那個本地連接，同時設(shè)置是否保護該網(wǎng)絡(luò)連接，當向?qū)聊灰笪覀冊O(shè)置客戶端IP地址時，我們應(yīng)該將其設(shè)置為自動為VPN客戶端分配IP地址，最后再根據(jù)默認向?qū)崾就瓿墒Ｓ嗟陌惭b、配置操作就可以了。

圖1

在完成了RAS服務(wù)器的安裝、配置任務(wù)后，筆者又在該服務(wù)器系統(tǒng)中用鼠標右鍵單擊桌面中的“我的電腦”圖標，并執(zhí)行彈出菜單中的“管理”命令，打開對應(yīng)系統(tǒng)的計算機管理窗口，在該窗口的左側(cè)顯示區(qū)域依次展開“系統(tǒng)工具”/“本地用戶和組”/“用戶”分支選項，在目標分支選項的右側(cè)顯示區(qū)域，創(chuàng)建了一個新的VPN連接賬號，再用鼠標右鍵單擊該連接賬號，從其后出現(xiàn)的快捷菜單中點選“屬性”命令，打開該賬號的屬性設(shè)置窗口，選中該設(shè)置窗口中的“撥入”標簽，并在對應(yīng)的標簽設(shè)置頁面中，將對應(yīng)的遠程訪問權(quán)限設(shè)置成“允許撥入”，這樣一來各個子公司的用戶日后就能利用該賬號遠程連接到目標RAS服務(wù)器了，而RAS服務(wù)器的架設(shè)任務(wù)也就算完成了。

原以為架設(shè)好RAS服務(wù)器后，子公司的用戶就能進行VPN連接訪問了，不過當筆者在普通工作站中創(chuàng)建一個VPN連接，并嘗試通過該連接訪問

RAS服務(wù)器時，發(fā)現(xiàn)VPN客戶端雖然可以成功與RAS服務(wù)器建立連接，但是連接成功后卻無法通過RAS服務(wù)器訪問Internet網(wǎng)絡(luò)，這時筆者有點手足無措了，VPN客戶端竟然不能訪問Internet中的網(wǎng)站內(nèi)容，這是什么原因呢，難道是RAS服務(wù)器本身不能訪問Internet網(wǎng)絡(luò)，或者是服務(wù)器主機系統(tǒng)中的防火墻對Internet訪問進行了限制?想到這一點，筆者立即來到RAS服務(wù)器現(xiàn)場進行了測試，發(fā)現(xiàn)RAS服務(wù)器本地訪問Internet網(wǎng)絡(luò)很順利，同時該服務(wù)器中也沒有啟用網(wǎng)絡(luò)防火墻，這究竟是怎么回事呢?#p#

追查客戶端不能上網(wǎng)原因

剛開始的時候，筆者懷疑公司的RAS服務(wù)器上網(wǎng)參數(shù)沒有配置正確，或者RAS服務(wù)器與Internet網(wǎng)絡(luò)之間的上網(wǎng)線路發(fā)生了一些故障，不過在對上面的各項可能因素進行仔細檢查后，筆者看到VPN客戶端仍然不能正常訪問Internet網(wǎng)絡(luò)。不得已，筆者只好在VPN客戶端系統(tǒng)依次單擊“開始”/“設(shè)置”/“網(wǎng)絡(luò)連接”命令，在彈出的網(wǎng)絡(luò)連接列表窗口中，找到目標VPN連接，并用鼠標右鍵單擊該連接圖標，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開目標VPN連接的屬性設(shè)置窗口，單擊其中的“網(wǎng)絡(luò)”選項卡，并將該選項設(shè)置頁面中的“Internet協(xié)議(TCP/IP)”選項選中，同時單擊“屬性”按鈕，進入目標VPN連接的TCP/IP屬性界面;在該屬性界面中繼續(xù)單擊“高級”按鈕，在彈出的高級設(shè)置頁面中單擊“常規(guī)”選項卡，進入如圖2所示的選項設(shè)置頁面，在該頁面中筆者看到“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”選項默認被選中了，會不會是該功能選項在“搗亂”呢?為了測試該功能選項的作用，筆者暫時取消了“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目的選中狀態(tài)，之后重新通過VPN連接進行上網(wǎng)訪問時，發(fā)現(xiàn)VPN客戶端果然能夠訪問Internet網(wǎng)絡(luò)了，這說明VPN客戶端不能上網(wǎng)與“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”選項有關(guān)。

圖2

可是，簡單地取消“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目的選中狀態(tài)后，又出現(xiàn)了另外一個故障現(xiàn)象，那就是VPN客戶端只能訪問公司的RAS服務(wù)器一臺主機了，而不能同時訪問局域網(wǎng)中的其他普通工作站了，這是因為RAS服務(wù)器在默認狀態(tài)下并沒有訪問公司局域網(wǎng)的路由記錄。為了解決這個故障現(xiàn)象，筆者立即對癥下藥，重新進入RAS服務(wù)器所在的主機系統(tǒng)，依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中執(zhí)行字符串命令“cmd”，將系統(tǒng)切換到DOS命令行工作窗口;在該窗口的DOS命令行提示符下，筆者通過Windows服務(wù)器系統(tǒng)自帶的“route add”命令，手工增加了通往公司內(nèi)部網(wǎng)絡(luò)的路由記錄，假設(shè)公司局域網(wǎng)采用“10.176.6.0”網(wǎng)絡(luò)地址，并且局域網(wǎng)默認使用“10.176.6.1”網(wǎng)關(guān)地址，那么筆者只要在DOS命令行提示符下執(zhí)行字符串命令“route add 10.176.6.0 mask 255.255.255.0 10.176.6.1”,經(jīng)過這樣的設(shè)置VPN客戶端果然可以同時訪問公司內(nèi)部的局域網(wǎng)以及Internet網(wǎng)絡(luò)了。

最后的小結(jié)

總結(jié)上面的故障排除過程，筆者認為剛開始VPN客戶端之所以不能正常訪問Internet網(wǎng)絡(luò)，是由于RAS服務(wù)器使用的默認網(wǎng)關(guān)恰好是連接到公司局域網(wǎng)的，而在默認狀態(tài)下RAS服務(wù)器又自動選中了“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”功能選項，這就造成了VPN客戶端只能訪問公司局域網(wǎng)而不能訪問Internet網(wǎng)絡(luò)的原因了。當筆者取消了“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”的默認選中狀態(tài)后，VPN客戶端就會先將IP數(shù)據(jù)包通過VPN網(wǎng)絡(luò)連接提交給RAS服務(wù)器，然后RAS服務(wù)器會通過另外一塊網(wǎng)卡建立的網(wǎng)絡(luò)連接將IP數(shù)據(jù)包轉(zhuǎn)交給Internet網(wǎng)絡(luò)，這樣就能正常訪問Internet網(wǎng)絡(luò)了。

此外，還需要提醒各位朋友注意的是，當我們對RAS服務(wù)器的上網(wǎng)參數(shù)進行修改時，盡量每完成一次改動操作就將RAS服務(wù)器系統(tǒng)重新啟動一下，如此一來才能及時保證改動過的操作會及時生效，要是頻繁修改參數(shù)而不及時重啟系統(tǒng)時，那么很可能會出現(xiàn)網(wǎng)絡(luò)配置越配越亂的現(xiàn)象。而且，日后當我們發(fā)現(xiàn)VPN客戶端無法通過VPN連接訪問網(wǎng)絡(luò)時，應(yīng)該及時檢查VPN客戶端的IP地址與RAS服務(wù)器的默認網(wǎng)關(guān)地址是否位于相同的工作子網(wǎng)中，如果發(fā)現(xiàn)它們不相同時，我們應(yīng)該及時將它們修改過來。

【編輯推薦】

1. 技術(shù)診斷分析:處理VPN連接故障
2. 路由設(shè)置不當導致VPN無法訪問外網(wǎng)