Как настроить L2TP/IPSEC на Windows Server 2019 сохранив доступ к внешнему интерфейсу?
Коллеги, доброго времени суток.
Сразу оговорюсь - внешний интерфейс здесь, это интерфейс, смотрящий в одну подсеть, а внутренний - в другую подсеть.
На WinServ2019 разворачиваю L2TP/IPSEC средствами самой серверной винды. Всё поднимается и работает, Но(!)
Дело в том, что этот VPN нужен для доступа пользователей к серверу на SMB. Но при этом, через внешний интерфейс также должен оставаться доступ к RDP. А он пропадает. По сути, сервер перестаёт даже пинговаться и работает только доступ по VPN.
Что я делаю не так? Заранее спасибо.
P.S. Общая структура - есть внутренняя сеть предприятия с огромной распределённой филиальной сетью. У каждого филиала своя внутренняя сеть за шлюзовым сервером, но эти шлюзовые серверы сами по себе не смотрят в интернет, а смотрят в общую корпоративную сеть. Т.е. шлюзовые серверы натят трафик между общей сетью предприятия и своим филиалом.
Помогите пожалуйста, очень не хочется к старшему админу идти. Он человек специфический.
Вин сервер может не пинговаться, потому что фаервол; скорее всего он применяет к клиентским подключениям общий профиль сети, а там обычно даже icmp заколочен досками
Что касается доступа - а маршрутизация то на вин сервере включена? Кажется, с ролью, обеспечивающей впн сервер, должна, но почитайте доки внимательно. А клиенты знают маршрут до smb?
Ну и вообще любая маршрутизация через винсервер - идея ниже средней степени разумности.
очень не хочется к старшему админу идти. Он человек специфический.
Даже представляю, что скажет старший админ:
- Хорош фигнёй страдать! Городить сетевую инфраструктуру на винде можете в своей личной лаборатории, хоть до посинения, хоть до просветления. А в приличном месте делайте, как делают приличные админы.
TL;DR: Вся connectivity - строго за пределами винды.
AlexVWill, я, конечно, наверное уже надоел нудеть одно и то же, но у них разный транспорт. sstp это tcp. l2tp и ike2 это udp.
И это может быть очень даже чувствительно, с учётом того, что в нём smb гоняется. И едва ли там smb1.
Ziptar, Я останавливал файерволл - без толку. Стоит поднять службы маршрутизации и удалённого доступа, никакие внешние подключения на внешний интерфейс, кроме l2tp больше не принимаются. Подключаешься по VPN - всё нормально работает по внутреннему интерфейсу.
Останавливаешь службу маршрутизации и удалённого доступа - всё вновь адекватно поднимается.
Ziptar, все очень сильно зависит от того, что именно хочет сделать автор... Если там какая то файлопомойка - то это одно, там да, UDP будет в приоритете, если же это какое то решение, предназначенное для обмена небольшими порциями данных приложениями (и если их много), то я бы подумал про TCP. И вообще монтировал бы sshfs (вместо Samba, конечно).
Если Вы подключили сервер по ВПН куда то с использованием "шлюза по умолчанию", то конечно пропадёт доступ через стандартное подключение, ведь ВЕСЬ траффик ушёл в впн.....
Убирайте галочку "шлюз по умолчанию в удаленной сети" на l2tp подключении и прописывайте маршруты до нужных подсетей руками нужные...
По поводу того что это бред - поднимтаь такое на винде - уже написали)
Про то что гонять SMB по впн еще больший бред и проблемы - пока не написали)
Обычно связанность между филиалами реализуется на ШЛЮЗЕ сети... и все ПК прозрачно ходят куда надо
После поднятия VPN сервиса без подключения к нему пропадает полностью доступ к серверу, кроме как для подключения к ВПН. Т.е. именно БЕЗ подключенного ВПН RDP отваливается. Но стоит подключить VPN, то всё Ок по внутреннему интерфейсу. Если отключить маршрутизацию и удалённый доступ, то всё вновь появляется
Простой
Средний
