VPN в сеансе удаленного рабочего стола

13

Я подключаюсь к серверу в своей локальной сети через удаленный рабочий стол. Затем мне нужно установить VPN-подключение к Интернету из этого сеанса удаленного рабочего стола. Однако это немедленно отключает мой сеанс удаленного рабочего стола.

Что здесь происходит, и есть ли способ, как я могу это исправить?

Дополнительная информация:

Локальный компьютер № 1:

  • Инициирует сессию RDP на # 2
  • Windows 7
  • 10.1.1.140/24

Локальный компьютер № 2:

  • Виндоус виста
  • 10.1.1.132/24
  • Инициирует VPN-соединение с публичным IP
  • VPN это PPTP
  • Установите для получения IP и DNS автоматически
  • «Использовать шлюз по умолчанию в удаленной сети» не выбран
  • «Включить LMHosts» выбран
  • «Включить Netbios» через TCP / IP выбран
  • Имеет возможность быть мультидомным (т.е. имеет 2 никель)

Публичный ADSL Router:

  • VPN-сервер
  • получает соединение от # 2 через внешний IP
  • Внутренняя сеть 192.168.0.0/24

Я могу установить VPN-соединение со своего ПК без проблем (без участия RDP).

Том предложил использовать двойной сетевой адаптер в комментарии ниже. У меня есть два сетевых адаптера в коробке (№2 выше), но я не уверен, как правильно их настроить или как назначить VPN для использования одного поверх другого.

Я попытался установить дополнительный сетевой адаптер в той же частной сети (10.1.1.200/24), запустив VPN, а затем пытаясь выполнить RDP к одному из сетевых адаптеров, 10.1.1.132 или 10.1.1.200, но безуспешно. Есть ли какой-нибудь способ, которым я могу сказать VPN использовать один сетевой адаптер поверх другого?

Как и просили - вот мои таблицы маршрутизации с ПК № 2:

Перед подключением VPN:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     20
         10.1.1.0    255.255.255.0         On-link        10.1.1.132    276
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.255  255.255.255.255         On-link        10.1.1.132    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
===========================================================================

и после того, как VPN подключен:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     20
         10.1.1.0    255.255.255.0         On-link        10.1.1.132    276
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.255  255.255.255.255         On-link        10.1.1.132    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
      192.168.0.0    255.255.255.0    192.168.0.254    192.168.0.234    267
    192.168.0.234  255.255.255.255         On-link     192.168.0.234    522
    remote-vpn-ip  255.255.255.255       10.1.1.254       10.1.1.132     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.234    522
===========================================================================

Я даже попытался подключить второй интерфейс (10.1.1.232) и поиграть с маршрутами по умолчанию:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     21
         10.1.1.0    255.255.255.0       10.1.1.254       10.1.1.232     11
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.232  255.255.255.255         On-link        10.1.1.232    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
      192.168.0.0    255.255.255.0    192.168.0.254    192.168.0.235    267
    192.168.0.235  255.255.255.255         On-link     192.168.0.235    522
    remote-vpn-ip  255.255.255.255       10.1.1.254       10.1.1.132     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
        224.0.0.0        240.0.0.0         On-link        10.1.1.232    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link        10.1.1.232    266
  255.255.255.255  255.255.255.255         On-link     192.168.0.235    522
Дэн
источник
Пожалуйста, предоставьте больше информации о вашей настройке. В частности, какая технология VPN (IPsec, SSL VPN, ...), какой VPN-клиент и какая маршрутизация в локальной сети?
слеске
У вас есть настройка vpn, чтобы не маршрутизировать весь трафик через vpn? если его настройка будет такой, она вас отключит.
Sirex
Я добавил больше информации. Кроме того - я попытался выбрать «Использовать шлюз по умолчанию в удаленной сети» как выбранный, так и не выбранный. Неудачно. Спасибо за ваш вклад до сих пор.
Дан
Весь ли трафик от других хостов в сети 10.1.1.0/24 отклоняется ПК № 2, когда VPN активен? ICMP (Ping) и т. Д.?
Goyuix
Да, Goyuix - это правильно. Проверка связи с ПК № 2 успешна только тогда, когда VPN неактивна.
Дан

Ответы:

10

Происходит то, что вы эффективно отключаете IP-маршрут от сервера к себе - отсюда потеря сеанса RDP. Вы можете исправить это, настроив VPN таким образом, чтобы он был связан со вторым интерфейсом (физическим или виртуальным), чтобы сосуществовать и канал VPN, и канал RDP. То, как вы это сделаете, в огромной степени зависит от ряда очень подробных конфигураций, которые мы сейчас не знаем, поэтому, если вам нужна помощь в этом, вам придется обратиться к нам с МНОГО дополнительной информацией, настолько, насколько вы можете. Пожалуйста.

Chopper3
источник
3
+1. Это было бы и мое предположение. Интересно, может ли что-то вроде LogMeIn быть более простым решением, чем пытаться найти обходной путь для работы сеанса RDP.
Joeqwerty
Поместите второй NIC в коробку, и получите VPN-клиента от того, которому назначен маршрут по умолчанию.
SpacemanSpiff
Вы могли бы кое-что здесь, Том. См редактировать в вопросе.
Дан
Как это произойдет, если настройка удаленного шлюза отключена и он подключается по локальному маршруту (той же подсети)?
Йорис
5

Это может быть обычной практикой - по умолчанию в окне Windows (это могло измениться) весь трафик форсируется по VPN-туннелю, так что да, ваш RDP упадет.

Я предлагаю, перейдя в расширенные настройки вашего VPN на вашем сервере, и убедитесь, что он не отправляет весь трафик через VPN.

Кроме того, убедитесь, что в сети назначения не используются те же настройки подсети, что и у вас, иначе вы снова столкнетесь с описанными вами симптомами.

Мистер ИТ Гуру
источник
Просто чтобы проверить, вы на самом деле физически сидите за локальным компьютером №1, верно?
Mister IT Guru
Да, это так. Я попытался установить «Использовать шлюз по умолчанию в удаленной сети» как не выбранное. Неудачно.
Дан
Также - это другая подсеть,
Дан
1

У меня была идентичная проблема. Проверьте, может ли провайдер vpn добавить вас в группу с политикой, установленной для «раздельного туннелирования» - это делается на стороне хоста vpn, и если на сервере это не включено, вы не сможете делать то, что вам нужно. пытаемся.

Видя, что ваш vpn имеет адрес 192. * при подключении он разрушит интерфейс, к которому вы подключаетесь (таким образом, отключив вас).

Если раздельное туннелирование не включено на VPN-сервере (обратитесь к администратору VPN-сервера!), Вы не сможете подключиться.

Все это предполагает, что вы правильно настраиваете свои локальные соединения vpn (похоже).

Marm0t
источник
Спасибо - я не вижу никакой опции для «Split Tunneling» на VPN-сервере. Чтобы было ясно - я просто использую маршрутизатор ADSL (Draytek) со встроенной функцией VPN-сервера. Возможно, у него нет некоторых дополнительных параметров ...
Дан
Работает ли на этом маршрутизаторе демон pptp? Если это так, вам нужно отключить его. Это может мешать пакетам GRE.
Мистер ИТ-гуру
1

У меня была эта проблема раньше, и решение - «раздельное туннелирование», это означает, что отправлять интернет-трафик на шлюз по умолчанию и трафик в сеть VPN с использованием туннеля.

Что вам нужно сделать, это настроить статический маршрут к вашему компьютеру в компьютере № 2. И установив приоритет для этого маршрута на 0

Таким образом, конечным результатом будет маршрут по умолчанию 0.0.0.0/0 к IP-адресу шлюза VPN и статический маршрут к вашей машине с использованием шлюза по умолчанию.

В Windows вы должны сделать что-то вроде этого:

 route add 10.1.1.140 netmask 255.255.255.255 <defaultGW> -P

где defaultGW - это IP-адрес вашего роутера.

Это гарантирует, что трафик, идущий к 10.1.1.140, не будет направляться в туннель.

если у вас есть физический доступ к компьютеру №2, подключитесь к VPN и сообщите нам таблицу маршрутизации машины:

route print

один до подключения к VPN и один после.

С этой информацией мы можем помочь вам настроить «разделенный туннель».

Надеюсь на помощь

Уго Гарсия
источник
Я добавил таблицы маршрутизации к вопросу выше. Спасибо за ваш вклад.
Дан
Когда вы подключаетесь к VPN на ПК № 2, вы все еще можете просматривать веб-страницы? и если вы можете, можете ли вы проверить, что вы выходите с тем же публичным IP? whatismyip.net должен дать вам IP-адрес, который вы используете, чтобы выйти в мир. Другой вопрос, используете ли вы интерфейс удаленного доступа Windows для подключения к VPN или другому VPN-клиенту?
Уго Гарсия
1

Я обнаружил, что использование адреса IPv6 для подключения не приводит к прерыванию сеанса RDP VPN.

В моей настройке у меня есть гостевая и виртуальная машина Windows Virtualbox, и мой VPN на гостевой системе вызывает ВСЕ трафик через VPN (это настроенный сервер, я не могу изменить это)

Если я подключаюсь от своего хоста к гостю через адрес ipv4 (например, 192.168.1.x), то, как только я инициирую VPN-соединение на госте, сеанс RDP прерывается. Однако если я подключаю RDP через имя гостевого хоста (которое разрешается по адресу IPv6), то VPN-соединение не прерывает сеанс RDP.

вали
источник
0

Трудно сказать без дополнительной информации, но многие VPN-клиенты имеют неприятную привычку (логически) отключать свой хост-компьютер от локальной сети при настройке VPN-подключения. То есть вы можете быть подключены либо к вашей локальной сети, либо к VPN, но не к обоим.

Если ваш VPN-клиент делает это, очевидно, что ваш сеанс RDP будет убит из-за побочного эффекта отрезания вас от локальной сети.

Я не уверен, почему VPN-клиенты делают это, будь то намеренная мера (безопасность?) Или просто побочный эффект перенастройки сети, но я часто сталкивался с этим.

Проверьте руководство для деталей и как это исправить.

sleske
источник
1
VPN-клиенты делают это для того, чтобы люди не связывали воедино две сети (используя маршрутизацию) и крали все ваши данные из ваших открытых систем (или даже просто были скомпрометированы вредоносными программами). Атака такого рода будет исходить из системы, выполняющей связывание, не оставив практически никаких доказательств
Mister IT Guru
0

Обычно я использовал «вложенные» сеансы RDP через VPN без особых проблем (не считая небольшого замедления). Базовая схема была Client-> VPN-> RDP First Server-> Internet-> RDP Second Server. Думаю, единственная проблема, с которой вы можете столкнуться, заключается в том, что на первом сервере может быть установлен межсетевой экран, который блокирует исходящий вызов протокола RDP. Используя VPN, вы можете «войти» в серверную сеть, но это не гарантия того, что один и тот же сервер или другие машины ЛВС могут установить сеанс RDP с внешним сервером ЛВС. Если ваш второй сервер находится в локальной сети первого, убедитесь, что он может быть достигнут сеансом RDP (например, может иметь локальный брандмауэр, блокирующий порт RDP), и Windows разрешает его использовать. Немедленное отключение второго сеанса RDP означает, что есть «проблема» сети (брандмауэры, аутентификация и т. д.) на маршруте ко второму серверу, поэтому требуется точная проверка исходящих вызовов с первого сервера. По моему мнению, решение более простое, чем вы думаете, даже если на первом сервере есть только одна сетевая карта. В течение долгого времени я работал с вложенными сеансами rdp с серверами, монтирующими Windows 2000, Windows 2003 и 2008, используя VPN-сервер на сервере Windows 2003, а затем вложил сеансы RDP для двух других, иногда вместе, из первого. Поэтому, пожалуйста, проверьте состояние сети первого сервера. Windows 2003 и 2008 с использованием VPN-сервера на сервере Windows 2003, а затем вложение RDP-сессий для двух других, иногда вместе, из первого. Поэтому, пожалуйста, проверьте состояние сети первого сервера. Windows 2003 и 2008 с использованием VPN-сервера на сервере Windows 2003, а затем вложение RDP-сессий для двух других, иногда вместе, из первого. Поэтому, пожалуйста, проверьте состояние сети первого сервера.


источник
0

Вы упомянули, что «Использовать шлюз по умолчанию» не отмечен - что, если это приемлемо (не требуется маршрутизация вне подсети 192.168.0.0/24), должно решить вашу проблему.

Что у вас осталось с такими звуками, как потенциально мешающий брандмауэр? Можете ли вы полностью отключить брандмауэр Windows (или какой-либо другой используемый вами продукт) и убедиться, что симптом все еще существует?

Можете ли вы повторно подключиться к удаленному сеансу после того, как канал VPN был установлен и остается активным?

Goyuix
источник
Я попытался со всеми выключенными межсетевыми экранами, и я не могу повторно подключить RDP, в то время как VPN активен.
Дан
0

редактировать : я пропустил ответ Слескес, объясняя то же самое.

Возможно, какой-то установленный продукт безопасности (брандмауэр, «интернет-безопасность», антивирус, ...) обнаруживает PPTP-соединение и имеет такую ​​же функциональность?

Обратите внимание, что некоторые из этих продуктов имеют опции, которые глубоко скрыты в графическом интерфейсе за непритязательными флажками.

Джорис
источник
0

Вполне вероятно, что VPN-клиент настроен на маршрутизацию ВСЕГО трафика по туннелю, а не только трафика в сети, в которые маршрутизируется VPN. Это удаляет все открытые в данный момент соединения и изменяет поведение маршрутизации на сервере, поэтому ваше соединение сбрасывается.

tomstephens89
источник
0

Это не решает конкретную проблему, о которой говорилось, но именно это я и использовал для решения однотипных проблем при поддержке множества клиентов, использующих различные vpn-клиенты, которые не все совместимы, и некоторые, которые создают vpn-соединение с закрытым туннелем. У меня есть сервер vmware, на котором размещены несколько виртуальных машин, и я использую клиент vSphere для подключения к сеансу Windows, и я могу открыть соединение vpn с закрытым туннелем и не потерять доступ к сеансу Windows.

Джефф Хаскетт
источник