Решение проблем, связанных с VPN-соединениями

Какой бы простой ни была настройка VPN-соединения в системе Windows XP Professional, вы все же можете столкнуться с некоторыми трудностями. Найти источник проблемы в VPN-соединении достаточно сложно, так как эта головоломка состоит из множества фрагментов. Заключается ли проблема в клиенте? Или в соединении сервера с ISP? Или неверна конфигурация сервера? Может быть, проблема кроется в маршрутизаторе или в межсетевом экране?

До сих пор мы обсуждали VPN при работе с Windows XP Professional-клиентами. VPN-клиентом является не только Windows XP Professional-компьютер, но и VPN-сервер. Скорее всего, окончанием виртуальной частной сети является маршрутизатор или межсетевой экран, а VPN-сервер обычно располагается на Windows 2000, NT или.NET Server.

Для установки VPN-соединения VPN-клиент посылает вызов ISP, применяя протокол PPP. На этом этапе ISP выдает клиенту TCP/IP-адрес, адрес DNS-сервера и шлюз по умолчанию.

Когда клиент, используя протокол PPTP, пытается установить VPN-соединение, создается вторая TCP/IP-сессия. Эта сессия является туннельной частью VPN-соединения. Она содержится внутри первой TCP/IP-сессии и обеспечивает шифрование и инкапсуляцию пакетов. Когда клиент успешно устанавливает соединение с VPN-сервером, то сервер выдает второй IP-адрес, второй адрес DNS-сервера и новый шлюз. На каждом из этих этапов могут возникнуть неполадки, которые вызовут проблемы в работе соединения.

Несколько слов о сервере

Хотя это выходит за рамки вопросов, рассматривающихся в этом курсе, но есть несколько моментов, касающихся сервера, о которых следует помнить при построении VPN-сети.

• Пользуйтесь сервером, на котором установлено минимальное количество сервисов. Ограничьтесь использованием протоколов TCP/IP и PPTP.
• Если сервер расположен в зоне действия межсетевого экрана или в DMZ, то необходимо переадресовывать трафик с внешнего маршрутизируемого IP-адреса сервера на внутренний адрес VPN. Это выполняется с помощью специальной конфигурации межсетевого экрана, которая называется Network Address Translation (Преобразование сетевых адресов), или с помощью канала (говоря на языке Cisco).
• Если нужно разместить VPN-сервер за межсетевым экраном, убедитесь в том, что программа межсетевого экрана пропускает PPTP-пакеты. Некоторые программы этого не делают, и если у вас установлена одна из них, то вы не сможете пользоваться VPN.

Проблемы клиента

Другим местом возникновения проблемы является VPN-клиент. Процесс соединения VPN-клиента с VPN-сервером проходит в несколько этапов. Сначала в VPN-клиенте надо создать два набора настроек TCP/IP для его правильного функционирования. Один набор используется для установки связи с ISP и интернетом, а другой - в VPN-соединении. Кроме того, в таблице маршрутизации VPN-клиента должны быть записаны два маршрута: один направляет пакеты из локальной сети к ISP для дальнейшей отправки в интернет, а другой посылает пакеты на VPN-сервер для использования в локальной сети.

Наиболее распространенные проблемы VPN соединений, связанные с клиентами, перечислены ниже.

Невозможно установить связь с сервером. Если VPN-клиент не может установить связь с VPN-сервером, следует проверить ряд настроек. Убедитесь в том, что сервер подключен к интернету. Для этого с компьютера-клиента выполните пингование (ping) сервера по его IP-адресу. Межсетевой экран может блокировать пинг, но если вы получите сообщение "request timed out", то можете быть уверены в том, что сервер работает некорректно. Если сервер получает свой IP-адрес динамически (при использовании соединения удаленного доступа), убедитесь, что вы изменили IP-адрес VPN-сервера в ярлыке VPN в окне Network Connections (Сетевые подклюяения).

Если VPN-сервер отвечает на пинг своего IP-адреса, то проверьте пингом имя сервера. Если имя не прозванивается, то, возможно, имя сервера не зарегистрировано в домене, или DNS-сервер интернет-провайдера не в порядке.

Проверьте PPTP-фильтрацию. Если на сервере активизирована PPTP-фильтрация, то вы можете увидеть сообщение об ошибке с указанием, что сервер не отвечает. Отключите PPTP-фильтрацию на сервере и попробуйте создать нефильтруемое соединение.

Если удается установить связь при отключенном фильтровании, проверьте, включены ли на сервере UDР-порты 137 и 138, а также TCP-порт 139. Если они не работают, то подключите их, так как NetBIOS-пакеты не могут пересылаться по сети без этих портов. Эти порты следует активизировать на всех маршрутизаторах и межсетевых экранах, находящихся между VPN-сервером и клиентом.

Если вы проделали все указанные шаги, но все равно не можете установить связь с сервером, то проверьте все промежуточные маршрутизаторы на предмет задержки ими GRE (generic routing encapsulating) пакетов. Эту проверку полезно провести вместе с ISP, так как они зачастую используют GRE непосредственно для управления маршрутизацией.

Клиент устанавливает связь, но не может войти в сеть. Другой проблемой является возможность клиента установить связь с сервером, но невозможность войти в сеть. Если VPN-сервер сконфигурирован как контроллер домена, убедитесь в наличии у пользователя учетной записи, которая разрешает удаленный доступ. Если сервер не является контроллером домена, убедитесь в наличии у пользователя соответствующих прав на доступ к серверу.

Winsock прокси-клиент. Если Winsock прокси-клиент активен, то VPN-соединение не может быть установлено. Winsock-прокси переадресовывает пакеты на прокси-сервер до того, как они могут быть инкапсулированы для отправки по каналу VPN. Убедитесь в том, что Winsock прокси-клиент отключен.

Разрешение имени. Если вы подозреваете, что проблема связана с разрешением имени, то пользуйтесь полными именами доменов и IP-адресами при установке связи.