12
返回列表 发新帖
楼主: sunjushi
收起左侧

[网络] PPTP协议的VPN,无法访问服务器本身

[复制链接]
sunjushi
 楼主| 发表于 2017-8-7 09:07:18 | 显示全部楼层
kxmp 发表于 2017-8-4 18:49
这个贴会实时更新. 如果分析完之后我会标注. 暂时占楼

NAS IP:192.168.2.8

我今天晚些时候会将你的一些疑问都补充在1楼,谢谢啦~
kxmp
发表于 2017-8-7 16:37:50 | 显示全部楼层
sunjushi 发表于 2017-8-7 09:07
我今天晚些时候会将你的一些疑问都补充在1楼,谢谢啦~

别忘了用tracert 那个最重要
sunjushi
 楼主| 发表于 2017-8-8 00:15:27 | 显示全部楼层
kxmp 发表于 2017-8-7 16:37
别忘了用tracert 那个最重要

       晚上在家里,跟NAS处于同一个局域网,就暂时不做到88网段的路由跟踪了。不过192.168.88.* 是公司的局域网地址,250是其网关,这个应该能顺利到达。下面列出我在家里对1.2.4.8  、 192.168.3.1这量个地址的跟踪。另外192.168.3.1这个地址我想起来了,其为永久地址,貌似是上次我手动添加的一条静态路由,也是根据网上的教程在瞎操作……我现在已经把这条路由删除了。也就是说对3.1的跟踪可能没有意义了。当时添加192.168.3.1这条路由的主要目的是VPN服务器端PPTP分配的地址池是192.168.3.0/24。

12.png 11.png 13.png


       另外几个路由跟踪等明天到公司后再看看。
kxmp
发表于 2017-8-8 15:04:53 | 显示全部楼层
本帖最后由 kxmp 于 2017-8-8 15:41 编辑
sunjushi 发表于 2017-8-8 00:15
晚上在家里,跟NAS处于同一个局域网,就暂时不做到88网段的路由跟踪了。不过192.168.88.* 是公司 ...

你需要把手动添加的路由表全删了才行
否则他会干扰网络连接
nsa有终端么
能看网卡么 可以的话需要看下网卡虚拟ip 要vpn的虚拟网卡的ip 也就是vpn的虚拟网关.

看不了的话 就连接vpn 勾选启用远程网络上的默认网关
然后随便用下tracert就出来了
tracert -d 1.2.4.8 这时候内容会发生变化.

-------------------
听你描述 我好像明白了什么
88.250是你公司网关
你在公司上网就通过他
但是你在公司里面 同时使用了另一个vpn 10.1.64.x
如果不出所料 你在公司追公网 tracert -d 1.2.4.8
如果连了10.1开头的vpn
你的流量会走10.1 而不是默认88.250结尾的ip.

但是你还没回答另一个关键问题
192.168.168.1 这个他是谁 他是你公司另一个机器么?
他和88.250什么关系 你有个网卡的ip是192.168.168.246 这时候网关又是192.168.168.1
192.168.168.1和192.168.88.250什么关系.
你有多少个网卡. 168.246的网卡是有线还是无线
哪一个网卡配置的默认网关是192.168.88.250?
你发第一张图的时候 是2个网卡都连接了 还是只连接了一个?
如果只连接了1个 连接的是哪个?
不管他们什么情况 他们 能不能连接到你家里的vpn地址
然后10开头的vpn 他能否直接访问到你家里vpn地址.

你从公司 连入家里vpn 地址用的是什么. 总不会是直接公司内网 就连接到家里内网了吧.
是通过那个10开头的vpn么? 那个10开头的能访问你家里内网资源还是是你公司的vpn 跟你家没任何关系.

其他事情都不怎么重要. 你只需要在你环境下  执行下tracert -d 1.2.4.8 连接和不连接vpn 测2次
然后tracert -d 你vpn服务器地址 这第三次测试是至关重要的.
10开头的vpn作用你必须声明.
公司网络成功连入家里vpn的时候 再测试一下. 这时候需要勾选启用默认网关 然后路由表里面会出现0.0.0.0开头 (我看你默认配置都是启用默认网关的 所以你没必要修改. 但是如果你这中间修改过配置 那是需要该回去的.)
然后跃点数旁边的地址 就是你客户端的vpn ip 也就是192.168.3.x
这时候需要再测试一下. 你说你这时候能访问家里内网了 那就分别测2次 访问家里内网一次 访问你说的nas ip 第二次
tracert -d 192.168.2.1  //只要是.2.x的段都可以.
tracert -d 你的nas ip    //你的nas ip到底是什么?! 你连接vpn之后 你想直接访问192.168.2.8么?

不管你连不连的通 这时候tracert会记录下网络走向 这时候就可以知道为什么你联不通了.


时候 你的网络走向就会被记录下来. 然后你再记录下 连接vpn的情况 这样就行了.
家里的vpn有问题 你就记录一下 连接到vpn的地址
你怎么连vpn的  你始终没说啊 你通过什么地址连接家里vpn.

但是最重要的是 你如果在连入10.开头的vpn  同时连接你192.168.3.x的vpn 2个都启用默认网关 这时候你的vpn流量会循环
也许会碰到什么死循环之类的. 导致有些ip没法访问.
所以上面我已经提到过 你的10.1这个内部网关 是否能访问到你的nas vpn服务器的地址.

你的第一张图 168.1和88.250同时存在
第二张图 10开头vpn和.3.x同时存在 然后同时有88.250
但是你的168.1这个网段消失了 你把什么网卡 禁用了么?
图上可以看出 你的vpn客户端竟然分配到了.1开头的ip.
那你vpn网关一定不是.1结尾的 他是另一个ip. 这就是前面问你测试的原因.


sunjushi
 楼主| 发表于 2017-8-8 17:46:59 | 显示全部楼层
本帖最后由 sunjushi 于 2017-8-8 17:54 编辑
kxmp 发表于 2017-8-8 15:04
你需要把手动添加的路由表全删了才行
否则他会干扰网络连接
nsa有终端么



1.  192.168.168.1这个地址我也不知道是啥,但今天测试时没有发现这个地址。也许是上次测试时同时开了多个vpn导致?

2.  目前在公司,未连接任何VPN时,测试截图。如下:(01-未连接任何vpn时的状态,02-未连接任何vpn时tracert结果)

01-未连接任何vpn时的状态.png 02-未连接任何vpn时tracert结果.png

3. 连接家里NAS上部署的VPN时,测试截图。如下:(03-连接PPTP VPN时route结果,04-连接PPTP VPN时tracert结果,05-tracert192.168.2.1,06-tracert192.168.2.8)

03-连接PPTP VPN时route结果.png 04-连接PPTP VPN时tracert结果.png 05-tracert192.168.2.1.png 06-tracert192.168.2.8.png

4.   从公司连到家里的局域网环境,是通过VPN服务器,VPN服务器架设在NAS上,地址是家庭宽带公网地址,通过动态域名解析服务,映射到家里的NAS上。这样我客户端在连接VPN时只需要输入公网地址+账户密码就可以了。

5.  其实,这个问题应该是出在这个NAS上,我总觉得NAS上做了限制,使得他在作为vpn服务器端时,将自己隐藏了,从而无法访问到。从上述最后一张图上应该能看出来一些tracert nas ip时,直接全部星号。我在想如何才能突破这种限制?
kxmp
发表于 2017-8-8 18:32:04 | 显示全部楼层
本帖最后由 kxmp 于 2017-8-8 18:45 编辑
sunjushi 发表于 2017-8-8 17:46
1.  192.168.168.1这个地址我也不知道是啥,但今天测试时没有发现这个地址。也许是上次测试时同时开 ...

你vpn网关是192.168.3.0
你浏览器直接打开这个地址 能访问nas资源么?
192.168.3.0其实就是.2.8的另一个虚拟网卡.
如果通过.3.0访问.2.8

那个.3.0 通过snat 然后实际走.2.8出去 但是要过路由器 再访问会来.2.8
192.168.2.8 -> 192.168.2.1 ->192.168.2.8
相当于一个网络里面出现了2个通样的ip.

一般这样都是正常的

你如果没法登陆nas的的话 你可以直接访问192.168.3.0
这个.0的就是vpn虚拟网卡 (在nas上面的)
你访问.3.0 就如同访问.2.8了
如果你的nas程序 他监听了所有ip.
如果没有的话 那你需要修改下配置 让他监听0.0.0.0
否咋你通过vpn也没法访问他.




kxmp
发表于 2017-8-8 19:33:54 | 显示全部楼层
本帖最后由 kxmp 于 2017-8-8 19:56 编辑
sunjushi 发表于 2017-8-8 17:46
1.  192.168.168.1这个地址我也不知道是啥,但今天测试时没有发现这个地址。也许是上次测试时同时开 ...

你服务器在nas上 nas上面又直接拨号了 有ip地址
那你访问nas资源 直接从公网不就行了....
vpn撑死也就是加密下. 如果你nas程序可以走https的话 你直接走那个也可以啊.
你用这个vpn什么目的还没说呢.
是通过他访问lan里面其他资源 还是单纯访问nas里面的数据.
如果访问其他资源 你好像已经办到了 目前除了nas的ip 其他你不都可以随意访问么..

你是只有这个为什么访问不了这个疑惑 还是这个ip冲突问题导致你没法访问nas资源了.

你nas如果不是特别坑的话  既然你都拨号了 直接公网访问就可以了.

要解决这个问题 也不是不可以 不过这个问题不是系统限制造成的 而是你vpn服务器摆的位置不对.
如果你nas能高定制化 那解决这个问题有很多种
如果在nas上的路由表 指定如果内部访问这个ip 不出去 直接走本地 那也许就没问题了.
不知道你能弄来nas上面的路由表么
或者你自己加一个表也可以 让.2.8走.2.8 就行了.
但是这样不知道会不会对nat产生影响. 你有兴趣可以试试.

当然如果你能给.2.1开vpn 那是最好的.
他访问谁都没问题 不会出现ip冲突.


你那个问题就是本地原地访问的 却出去走一圈 所以不行.
而且你这个情况 出站ip就是你自己.2.8 到头来是你自己冒出来了个影子 在路由器旁边 再访问自己....
所以如果加个路由表 应该有改善 让.2.8访问自己的时候 不出站 直接原地访问自己.
不过你这个 应该是你配置vpn服务器的时候 让nas路由表也有了变化.
你可以试试访问.2.x网络里面其他机器 不是路由器的.
如果nas自己对于这个网络什么都不知道 他肯定不会走2.1路由 然后访问下面的资源.
他如果可以访问 那说明nas上有这个路由表. 这个表应该不会就自己冒出来.
不知道你那个套件上面 有填写.2.1那个地址的配置么?
你图上就一个dns 但是你如果把dns改成1.2.4.8之类的公网地址
改了之后 如果你前面 nas能通过vpn访问.2.1之外的ip 现在他应该就没这能力了.或许还会有. 因为你路由器是.1的ip 默认.1都是路由器 他设计的应该会自动检测这个地址.

不过如果会这个的话 你开vpn服务器一定是造成了网络路由表有变化.
导致甚至自己访问自己也问路由器去了. 当然这个也是很奇怪了 除非你vpn的那个表 优先级最高 nas连不上 也不会自动重试.
这应该是你.2.1的ip就在线  nas知道 所以他就不重试了.
你如果加一个另一个优先级超高的表 导致你这个访问不出去 可能直接就解决问题了
192.168.3.1 -> 192.168.3.0 虚拟网关 -> nat 192.168.2.8 ->访问.2.8再出去走192.168.2.1 然后死路
192.168.3.1 -> 192.168.3.0 虚拟网关 -> nat 192.168.2.8 ->访问.2.8直接走本地 不出去 这样就行了.
如果你nas没法配置路由表 那也是没法尝试这个招数了.

我个人认为 这个问题 解决的花样多了去了.
甚至可以给nas添加附加虚拟网卡 就当作一个装蒜的. 比如192.168.2.9 这个ip是虚的 但是他就有 他做nat时候需要用.
然后添加防火墙规则
iptables -t nat -A POSTROUTING -s 192.198.3.0/24 -d 192.168.2.8 -o eth1 -j MASQUERADE
如果eth1的ip是.2.9
这样就相当于你原地访问的时候 电脑装成.2.9然后走路由器再走回来. 这样绕一圈可行的.

kxmp
发表于 2017-8-8 20:00:45 | 显示全部楼层
你不想折腾 直接访问.3.0就ok了
你把.3.0就当作你.2.8这样完全没问题的.
除非你nas上的程序 他没监听所有地址.
kxmp
发表于 2017-8-8 20:14:43 | 显示全部楼层
sunjushi 发表于 2017-8-8 17:46
1.  192.168.168.1这个地址我也不知道是啥,但今天测试时没有发现这个地址。也许是上次测试时同时开 ...

你这个还真有点奇怪啊
我看图上 你nas都知道路由器ip 不管怎么样 他就是知道了
因为经过.2.1出去了.
可是走.2.8的时候 他好像没走.2.1 而是全报错了.

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-8-24 03:18 , Processed in 0.087616 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表