動態和靜態IP地址引起的VPN問題

VPN幫助移動用戶和外地員共享總部的網絡資源，創造了虛擬的網絡環境，大大方便了外地和出差的員工，但是，如果不能正常接入到VPN網絡，勢必令終端用戶和網絡工作人員感到沮喪。為了幫助快速解決VPN故障，現在列舉常見的三種典型的IP地址導致的網絡故障。

是否必須只能靜態地址才能獲得VPN服務？

動態地址可以同樣獲得VPN接入服務，但需要搭建一個像dyndns.com那樣的服務，就是提供公網動態DNS注冊服務，然後建立CNAME DNS（別名記錄，也被稱為規范名字。）入口，這種記錄允許您將多個名字映射到同一台計算機，即創建的Mycompany.com名字指向同一個 dyndns.com。外地員工使用VPN服務先登陸Mycompany.com就可以了。但要確認一點，就是Mycompany.com CNAME的TTL（TTL值全稱是生存時間”Time To Live”）設置要正確。

原來正常登陸到VPN，但現在用DSL接入方式了，筆記本就不能接入到VPN了，請問是什麼問題？

很可能問題處在，你使用一個靜態IP地址，同時DHCP(Dynamic Host Configure Protocol， 動態主機配置協議)服務也開啟了。而VPN設置是只能具體的IP地址才能建立一個連接，所以先從內部調查原因。

另外，就是調換新的Modem或者路由器設備，或者也有可能就是ISP服務商不支持VPN，所以需要和ISP核實是否支持，另外致電設備商客戶是否支持VPN。

我是常駐外地辦公人員，此前從來沒出現過VPN接入問題。然而，ISP關閉了我個人用戶的接入賬號，讓我開通一個企業級的接入賬號，我已經換了兩個調制解調器，一個用靜態地址，另外一個用動態地址，如果直接連接到電腦上沒有問題，但是如果用了Linksys的路由器就是連接不上VPN，請問是什麼問題？

由於不清楚你的VPN和路由器星號，所以只能基於網絡症狀猜測，不是Modem和IP地址的問題，而是路由器的問題，路由器導致IP地址混亂且阻斷了VPN協議，NAT導致VPN數據不正常。

此前遇到過同樣的問題，就是路由器默認的子網和調制解調器默認的子網重疊了，或者和公司的網絡重疊了。例如，Modem和路由器都被設置成 192.168.1.x用來接入，就會導致電腦不能正常接入。同樣，公司的網絡和路由器同樣使用192.168.1.x，也許能夠連接到VPN上，但實際 上還是在內部網絡上，方法很簡單就是修改路由器的默認網絡就可以，包括IP地址和DHCP范圍。

更經常地，路由器默認狀態是阻止VPN協議的，導致路由器就像一個防火牆設備。例如，IPsec VPN需要路由器支持協議50或51（ESP or AH），而PPTP VPN需要路由器支持協議47（GRE），所以需要激活路由器上的功能。Linksys RT31P2，就需要設置Security/VPN Passthrough。

即使激活路由器上VPN功能，也有可能VPN隧道被NAT破壞。經常看到的現象是VPN明明是連接上了，就是沒有數據交換。大多數 VPN網關已經升級到NAT Traversal （NAT穿越）能力，這樣就避免NAT破壞VPN封裝的UDP包。但如果沒有升級到NAT Traversal，VPN就需會丟包，所以咨詢VPN設備商，是否支持NAT穿越能力。


備注：

別名記錄(CNAME)

也被稱為規范名字。這種記錄允許您將多個名字映射到同一台計算機。 通常用於同時提供WWW和MAIL服務的計算機。例如，有一台計算機名為“host.mydomain.com”（A記錄）。 它同時提供WWW和MAIL服務，為了便於用戶訪問服務。可以為該計算機設置兩個別名（CNAME）：WWW和MAIL。 這兩個別名的全稱就是“www.mydomain.com”和“mail.mydomain.com”。實際上他們都指向 “host.mydomain.com”。 同樣的方法可以用於當您擁有多個域名需要指向同一服務器IP，此時您就可以將一個域名做A記錄指向服務器IP然後將其他的域名做別名到之前做A記錄的域名 上，那麼當您的服務器IP地址變更時您就可以不必麻煩的一個一個域名更改指向了 只需要更改做A記錄的那個域名其他做別名的那些域名的指向也將自動更改到新的IP地址上了。

TTL

TTL值全稱是生存時間（Time To Live)，簡單的說它表示DNS記錄在DNS服務器上緩存時間，直接的說，此值影響客戶第2次訪問您站點的速度，建議設為7200。

要理解TTL值，請先看下面的一個例子：

假設，有這樣一個域名myhost.abc.com（其實，這就是一條DNS記錄，通常表示在abc.com域中有一台名為myhost的主機）對應IP地址為1.1.1.1，它的TTL為10分鐘。這個域名或稱這條記錄