VPN幫助移動用戶和外地員共享總部的網絡資源,創造了虛擬的網絡環境,大大方便了外地和出差的員工,但是,如果不能正常接入到VPN網絡,勢必令終端用戶和網絡工作人員感到沮喪。為了幫助快速解決VPN故障,現在列舉常見的三種典型的IP地址導致的網絡故障。
是否必須只能靜態地址才能獲得VPN服務?
動態地址可以同樣獲得VPN接入服務,但需要搭建一個像dyndns.com那樣的服務,就是提供公網動態DNS注冊服務,然後建立CNAME DNS(別名記錄,也被稱為規范名字。)入口,這種記錄允許您將多個名字映射到同一台計算機,即創建的Mycompany.com名字指向同一個 dyndns.com。外地員工使用VPN服務先登陸Mycompany.com就可以了。但要確認一點,就是Mycompany.com CNAME的TTL(TTL值全稱是生存時間”Time To Live”)設置要正確。
原來正常登陸到VPN,但現在用DSL接入方式了,筆記本就不能接入到VPN了,請問是什麼問題?
很可能問題處在,你使用一個靜態IP地址,同時DHCP(Dynamic Host Configure Protocol, 動態主機配置協議)服務也開啟了。而VPN設置是只能具體的IP地址才能建立一個連接,所以先從內部調查原因。
另外,就是調換新的Modem或者路由器設備,或者也有可能就是ISP服務商不支持VPN,所以需要和ISP核實是否支持,另外致電設備商客戶是否支持VPN。
我是常駐外地辦公人員,此前從來沒出現過VPN接入問題。然而,ISP關閉了我個人用戶的接入賬號,讓我開通一個企業級的接入賬號,我已經換了兩個調制解調器,一個用靜態地址,另外一個用動態地址,如果直接連接到電腦上沒有問題,但是如果用了Linksys的路由器就是連接不上VPN,請問是什麼問題?
由於不清楚你的VPN和路由器星號,所以只能基於網絡症狀猜測,不是Modem和IP地址的問題,而是路由器的問題,路由器導致IP地址混亂且阻斷了VPN協議,NAT導致VPN數據不正常。
此前遇到過同樣的問題,就是路由器默認的子網和調制解調器默認的子網重疊了,或者和公司的網絡重疊了。例如,Modem和路由器都被設置成 192.168.1.x用來接入,就會導致電腦不能正常接入。同樣,公司的網絡和路由器同樣使用192.168.1.x,也許能夠連接到VPN上,但實際 上還是在內部網絡上,方法很簡單就是修改路由器的默認網絡就可以,包括IP地址和DHCP范圍。
更經常地,路由器默認狀態是阻止VPN協議的,導致路由器就像一個防火牆設備。例如,IPsec VPN需要路由器支持協議50或51(ESP or AH),而PPTP VPN需要路由器支持協議47(GRE),所以需要激活路由器上的功能。Linksys RT31P2,就需要設置Security/VPN Passthrough。
即使激活路由器上VPN功能,也有可能VPN隧道被NAT破壞。經常看到的現象是VPN明明是連接上了,就是沒有數據交換。大多數 VPN網關已經升級到NAT Traversal (NAT穿越)能力,這樣就避免NAT破壞VPN封裝的UDP包。但如果沒有升級到NAT Traversal,VPN就需會丟包,所以咨詢VPN設備商,是否支持NAT穿越能力。
備注:
別名記錄(CNAME)
也被稱為規范名字。這種記錄允許您將多個名字映射到同一台計算機。 通常用於同時提供WWW和MAIL服務的計算機。例如,有一台計算機名為“host.mydomain.com”(A記錄)。 它同時提供WWW和MAIL服務,為了便於用戶訪問服務。可以為該計算機設置兩個別名(CNAME):WWW和MAIL。 這兩個別名的全稱就是“www.mydomain.com”和“mail.mydomain.com”。實際上他們都指向 “host.mydomain.com”。 同樣的方法可以用於當您擁有多個域名需要指向同一服務器IP,此時您就可以將一個域名做A記錄指向服務器IP然後將其他的域名做別名到之前做A記錄的域名 上,那麼當您的服務器IP地址變更時您就可以不必麻煩的一個一個域名更改指向了 只需要更改做A記錄的那個域名其他做別名的那些域名的指向也將自動更改到新的IP地址上了。
TTL
TTL值全稱是生存時間(Time To Live),簡單的說它表示DNS記錄在DNS服務器上緩存時間,直接的說,此值影響客戶第2次訪問您站點的速度,建議設為7200。
要理解TTL值,請先看下面的一個例子:
假設,有這樣一個域名myhost.abc.com(其實,這就是一條DNS記錄,通常表示在abc.com域中有一台名為myhost的主機)對應IP地址為1.1.1.1,它的TTL為10分鐘。這個域名或稱這條記錄