为了让员工安全、高效地访问内网中的资源,相信很多单位都在内网中搭建了VPN服务器,员工外出办公时,可以在Internet网络的任何位置处利用虚拟加密隧道,直接访问与VPN服务器同处一个子网的任何共享资源,其效果就象在本地局域网中访问共享资源一样;并且,这种网络访问方式相比以前的拨号访问方式,安全连接性能更高、网络连接成本更经济。可是,在实际使用VPN连接方式访问内网资源的过程中,我们时常会遇到VPN连接不成功的故障现象;面对这样的故障现象,很多人往往会表现得手忙脚乱,不知道该从何处下手进行应对?其实造成VPN连接不成功的原因有很多,我们只要有备而来,依次进行针对性排查,就一定能够让VPN连接顺风顺水!
从服务器端着手
要想让普通员工成功地通过VPN网络连接访问到VPN服务器及其子网中的共享内容,我们必须对VPN服务器端的各个参数进行合适设置才可以,如果参数设置不当,那么VPN网络连接自然就不能顺风顺水了。
1、是否支持远程接入
如果VPN服务器不支持远程接入权限,那么VPN客户端用户无论怎么进行连接,都无法访问VPN服务器及其子网中的共享内容。在查看VPN服务器是否支持远程接入权限时,我们可以按照如下步骤进行操作:
首先在VPN服务器所在的主机系统中,依次单击“开始”/“程序”/“管理工具”/“路由和远程访问”选项,在弹出的路由和远程访问控制台窗口左侧位置处,用鼠标右键单击VPN服务器对应的主机名称,从弹出的快捷菜单中执行“属性”命令,打开对应主机的属性设置窗口;
其次单击该设置窗口中的“常规”标签,打开如图1所示的标签设置页面,检查其中的“远程访问服务器”选项是否处于选中状态,一旦发现它没有被选中时,那就意味着VPN服务器不支持远程接入权限,此时我们必须及时将它重新选中,再单击“确定”按钮保存好上述设置操作,如此一来VPN服务器就可以支持普通用户进行VPN网络连接了。
#p#
2、是否通过身份验证
在默认状态下,VPN服务器会对客户端用户的网络连接操作进行身份验证,如果身份验证不能通过,那么VPN客户端用户自然也不能成功与VPN服务器及其子网建立正常的通信。在检查身份验证环节是否存在问题时,我们可以按照如下步骤来进行:
首先按照前面的操作步骤打开路由和远程访问控制台窗口,在该窗口的左侧位置处直接右击VPN服务器的主机名称,从弹出的快捷菜单中执行“属性”命令,打开对应主机的属性设置窗口;
其次单击该属性设置窗口中的“安全”标签,打开如图2所示的标签设置页面,检查该页面是否选中了“Windows身份验证”选项,如果没有选中的话,我们应该及时将它重新选中;
接着单击“身份验证方法”按钮,在其后弹出的设置对话框中,检查使用的身份验证方法是否被设置成了“Microsoft加密身份验证”,在默认状态下我们必须使用该验证方法,否则很容易出现验证失败的现象;
在确认上面的设置正常后,我们还需要检查VPN客户端用户使用的帐号是否正确;在进行这种检查操作时,我们可以直接用鼠标右键单击VPN服务器系统桌面中的“我的电脑”图标,从弹出的快捷菜单中执行“管理”命令,打开对应系统的计算机管理窗口;在该管理窗口的左侧位置处,依次展开“系统工具”/“本地用户和组”/“用户”分支选项,在对应“用户”分支选项的右侧显示区域,检查自己使用的VPN用户帐号是否存在,如果不存在的话,可以重新创建一个新的用户帐号,并设置好合适的操作权限。
此外,在这里需要提醒各位注意的是,VPN客户端用户先前必须获得远程拨入权限,如果没有获得这个权限,系统不会出现身份验证对话框;要为指定VPN客户端用户设置远程拨入权限时,我们可以在对应“用户”分支选项的右侧显示区域,用鼠标右键单击指定VPN客户端用户的帐号名称,从弹出的快捷菜单中执行“属性”命令,打开目标用户帐号的属性设置窗口,单击其中的“拨入”标签,并在对应标签设置页面中的“远程访问权限”设置项处,选中“允许访问”选项,最后单击“确定”按钮就可以了。
#p#
3、是否允许网络访问
VPN服务器要是禁止任何用户通过网络访问这台计算机的话,这也会影响VPN客户端用户与VPN服务器建立网络连接,为此我们需要仔细检查VPN服务器是否对网络访问进行了限制,下面就是具体的检查步骤:
首先在VPN服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,打开对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧显示区域,依次展开“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”分支选项,在对应“用户权限分配”分支选项的右侧显示区域,找到“从网络访问此计算机”的目标组策略选项,同时用鼠标双击该选项,打开如图3所示的目标组策略属性设置窗口;
下面在该窗口的“本地安全设置”页面中,仔细检查一下VPN客户端用户的帐号名称是否出现在其中,如果没有发现的话,我们可以及时单击“添加用户和组”按钮,从其后出现的帐号选择对话框中,将VPN客户端用户的帐号名称添加进来,最后单击“确定”按钮保存好上述设置操作,如此一来目标VPN客户端用户就能通过网络访问VPN服务器系统了。
#p#
4、是否进行安全限制
VPN服务器架设成功后,它就会在服务端自动侦听TCP 1723通信端口等待连接,VPN客户端用户通过服务端授予的合法帐号进行拨号,连接成功后我们就能顺利地访问VPN服务器及其子网中的内容了。不过,要是VPN服务器启用了系统防火墙,那么在默认状态下,该系统防火墙是不允许任何用户通过VPN连接访问VPN服务器的;为此,要想让VPN连接顺风顺水,我们必须设置系统防火墙,让其支持VPN访问连接,下面就是具体的设置步骤:
首先在VPN服务器系统桌面中依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击目标本地连接图标,从弹出的快捷菜单中执行“属性”命令,打开目标本地连接的属性设置窗口;
其次单击该设置窗口中的“高级”标签,并在对应标签设置页面中单击“设置”按钮,打开高级设置对话框,点选其中的“服务”标签,再单击对应标签设置页面中的“添加”按钮,进入如图4所示的设置对话框;
在该对话框的“计算机名称或IP地址”文本框中,输入VPN服务器的名称或IP地址,在“此服务的外部端口”文本框中输入“1723”,同时选中“TCP”协议选项,之后在“此服务的内部端口”文本框中也输入“1723”,最后单击“确定”按钮保存好上述设置操作,这么一来VPN服务器系统中的防火墙就不会限制VPN客户端用户的连接了。
需要提醒各位注意的是,VPN网络连接不会受到客户端系统防火墙的影响,也就是说就算客户端系统防火墙即使没有打开“1723”这个端口,Windows系统同样可以打开“1723”端口进行侦听。
#p#
5、是否正确分配地址
当VPN网络连接成功后,要是无法从VPN服务器那里获得有效的IP地址,那么客户端系统同样也不能访问VPN服务器中的内容。在检查VPN服务器是否正确为客户端系统分配IP地址时,我们首先要弄清楚VPN服务器是采用了DHCP方式分配IP地址,还是采用静态地址池分配IP地址,如果采用DHCP方式分配IP地址的话,那需要仔细检查DHCP服务器的工作状态是否正常,同时检查该服务器的参数设置是否正确,要是采用静态地址池分配IP地址时,那需要仔细查看静态地址池参数是否设置正确。在查看VPN服务器使用何种地址分配方式时,我们可以按照下面的操作步骤来进行:
首先在VPN服务器所在的主机系统中,依次单击“开始”/“程序”/“管理工具”/“路由和远程访问”选项,在弹出的路由和远程访问控制台窗口左侧位置处,用鼠标右键单击VPN服务器对应的主机名称,从弹出的快捷菜单中执行“属性”命令,打开对应主机的属性设置窗口;
其次单击该设置窗口中的“IP”标签,打开如图5所示的标签设置页面,在这里我们就能清楚地看到VPN服务器究竟使用了何种地址分配方式了。当然,在这里我们还需要同时选中“启用IP路由”以及“允许基于IP的远程访问和请求拨号连接”等选项,确保客户端系统日后可以通过路由来寻找路径。
#p#
从客户端着手
在确认VPN服务器的各项设置参数都正确后,我们还需要对VPN客户端系统进行一下检查,以便确保VPN网络连接成功。当然,本文中所提到的各种检查都是基于网络通信正常的前提下进行的。
6、是否获得有效地址
VPN客户端系统如果不能从VPN服务器那里获得有效的IP地址,那么就可能会出现无法访问VPN服务器的现象。在检查VPN客户端系统是否获得有效IP地址时,我们可以依次单击“开始”/“运行”命令,在弹出的系统运行对话框中输入字符串命令“cmd”,单击回车键后,将系统切换到DOS命令行工作窗口;在该窗口的命令行提示符下,执行字符串命令“ipconfig /all”,在其后出现的结果界面中,我们就能清楚地看到VPN客户端系统使用的IP地址是否为VPN服务器分配的了。
一般来说,当VPN服务器采用了DHCP方式分配IP地址时,VPN客户端系统比较容易出现无法获得IP地址的现象。遇到这种现象时,我们多半要检查VPN客户端系统中的“DHCP Client”服务运行状态是否正常,如果发现该服务不能正常工作时,我们必须及时将该系统服务重新启动正常才可以。
7、是否修改默认网关
很多时候,VPN客户端用户发现在VPN网络连接成功后,VPN客户端系统不能访问Internet网络了,不得已很多人都会修改VPN网络连接的默认网关,让其仍然使用本地的网关;殊不知修改了默认网关后,我们再次通过VPN网络连接访问VPN服务器及其对应的子网时,却遇到了访问失败的故障现象。为此,要想让VPN客户端系统成功访问VPN服务器及其对应的子网,我们可以让VPN网络连接使用远程网络的默认网关,下面就是具体的检查步骤:
首先在VPN客户端系统中,依次点选“开始”/“设置”/“网络连接”选项,从其后出现的本地网络连接列表界面中,右击目标VPN网络连接图标,并执行快捷菜单中的“属性”命令,进入目标VPN网络连接属性设置窗口;
其次单击其中的“网络”选项卡,并在对应选项设置页面中选中“Internet协议(TCP/IP)”选项,再点击该选项下面的“属性”按钮,打开TCP/IP属性设置对话框,单击该对话框中的“高级”按钮,打开TCP/IP协议的高级属性设置窗口;
下面用鼠标单击高级属性设置窗口中的“常规”选项卡,进入如图6所示的选项设置页面,检查“在远程网络上使用默认网关”项目是否处于选中状态,要是发现它已经被取消选中时,我们必须及时将它重新选中,最后单击“确定”按钮保存好上述设置操作,这样一来VPN网络连接就能顺利地访问VPN服务器及其对应子网中的内容了。
当然,我们也可以在取消选中“在远程网络上使用默认网关”项目的情况下,使用route add命令手工添加指向VPN服务器所在子网的路由记录,这样一来VPN客户端系统既能访问VPN服务器及其对应子网,又能访问Internet网络了。