- Вопрос или проблема
- Ответ или решение
- Проблема с доступом при подключении SSTP на Windows Server 2022: Возможные причины и решения
- 1. Обзор ситуации
- 2. Анализ сетевой конфигурации
- Рекомендации:
- 3. Настройки брандмауэра
- Проверка брандмауэра:
- 4. DHCP и IP-адресация
- Убедитесь в следующем:
- 5. Конфигурация RRAS
- 6. Логи и диагностика
- Заключение
Вопрос или проблема
У меня есть физический сервер в моей сети, работающий на Windows Server 2019. Этот сервер раньше выполнял функции DHCP, DNS, веб-сервера и SSTP-сервера, а также был обратным прокси для некоторых публичных веб-приложений. Теперь я мигрирую на виртуальную машину Windows Server 2022 в той же сети. DNS и DHCP сейчас обрабатываются другим сервером, но веб, обратный прокси и SSTP работают на новом сервере Windows. Мой маршрутизатор (предоставленный моим интернет-провайдером) перенаправляет TCP порты 80 и 443 на новый сервер, чтобы разрешить входящие HTTP(S) соединения и автоматическое получение сертификатов TLS от Let’s Encrypt.
Проблема в том, что клиенты SSTP могут успешно подключаться к новому серверу, но не могут получить доступ к любому устройству в моей сети. Я думаю, что я что-то упустил, потому что для меня кажется, что старый и новый серверы настроены абсолютно одинаково. Конфигурация RRAS в MMC совершенно идентична на обоих серверах. Когда я меняю перенаправление портов обратно на старый сервер, SSTP снова работает идеально.
(Конфигурация клиента SSTP не изменена, потому что публичное имя хоста и учетная запись пользователя остаются прежними.)
| Моя сеть | 172.16.0.0/16 |
| Сервер DNS/DHCP | 172.16.3.3 |
| Шлюз | 172.16.3.10 |
| IP-адрес нового сервера SSTP (локальный интерфейс) | 172.16.3.180 (выдан DHCP) |
| Диапазон DHCP для локальных клиентов | 172.16.3.100 – 172.16.3.199 |
| IP-адрес нового сервера SSTP (RAS интерфейс) | 172.16.5.100 |
| Диапазон адресов для клиентов SSTP | 172.16.5.100 – 172.16.5.199 |
RAS интерфейс сервера имеет IP-адрес 172.16.5.100, и когда я подключаю клиента SSTP, он получает 172.16.5.101 (или выше). Проблема: клиент SSTP не может даже пинговать 172.16.5.100, не говоря уже о любом другом адресе в моей сети. Если я отключаю брандмауэр сервера, я могу хотя бы пинговать адреса сервера, но все равно не могу получить доступ к другим устройствам в моей сети.
Единственное очевидное отличие между двумя серверами в том, что у старого сервера статический IP-адрес (он выполнял функции DHCP-сервера), в то время как новый получает свой адрес от другого DHCP-сервера. Однако на старом сервере услуги DNS и DHCP на данный момент отключены.
Сначала я думал, что это может быть проблема с брандмауэром, но, как я написал выше, полное отключение брандмауэра позволило мне только пинговать сам сервер, и все равно никакого доступа к другим устройствам. Моя следующая догадка также была тупиковой: пересылка IPv4 уже включена на обоих интерфейсах, локальном и RAS.
Есть ли у вас какие-либо идеи, что я мог упустить? Нужна ли еще какая-либо конфигурация, чтобы снова заставить работать SSTP? Возможно, это проблема маршрутизации, но я не знаю, что я сделал не так. Или, может быть, произошли изменения в конфигурации VPN по умолчанию между WS2019 и WS2022, о которых я не знаю?
Спасибо заранее!
Ответ или решение
Проблема с доступом при подключении SSTP на Windows Server 2022: Возможные причины и решения
При миграции сервера с Windows Server 2019 на Windows Server 2022 может возникнуть множество проблем, связанных с настройкой и доступом, особенно в контексте SSTP (Secure Socket Tunneling Protocol). Давайте разберёмся, с чем вы можете столкнуться, и какие шаги помогут устранить проблему.
1. Обзор ситуации
Вы описали ситуацию, где SSTP-клиенты могут успешно подключаться к новому серверу, но не имеют доступа к ресурсам вашей локальной сети. При этом предыдущий сервер работает без проблем. Несмотря на одинаковую конфигурацию RRAS (Routing and Remote Access Service) на обоих серверах, существует вероятность, что некоторые аспекты конфигурации были упущены или изменены.
2. Анализ сетевой конфигурации
Ваши настройки могут потенциально вызывать проблемы с маршрутизацией. Ваша локальная сеть имеет подсоединение с разными подсетями (172.16.0.0/16 для локальных клиентов и 172.16.5.0/24 для SSTP-клиентов). Убедитесь, что устройства в вашей локальной сети правильно маршрутизируют трафик для SSTP-клиентов.
Рекомендации:
- Убедитесь, что маршруты настроены корректно. Если у вас есть статические маршруты на устройствах вашей сети, проверьте, чтобы они включали путь к подсети 172.16.5.0.
- Проверьте настройки шлюза по умолчанию для SSTP-клиентов. Он должен направлять трафик в локальную сеть через вашего роутера (172.16.3.10).
3. Настройки брандмауэра
Вы уже упомянули, что брандмауэр сервера не препятствует pingu, однако это не обязательно исключает возможность, что правила брандмауэра блокируют другой трафик.
Проверка брандмауэра:
- Убедитесь, что у вас есть меры безопасности, разрешающие трафик от SSTP-клиентов к локальным ресурсам. Можно создать правила брандмауэра для разрешения трафика от всех устройств в диапазоне 172.16.5.0/24.
- Не забывайте проверять правила как в Windows Firewall, так и в любом другом программном обеспечении для обеспечения безопасности.
4. DHCP и IP-адресация
Другая потенциальная проблема может заключаться в механизме динамического получения IP-адресов. Вы упомянули, что новый сервер получает IP-адрес через DHCP.
Убедитесь в следующем:
- Проверьте, что DHCP-сервер, который вы используете, не конфликтует с адресами, выдаваемыми RRAS.
- Убедитесь, что у вас нет конфликтов с IP-адресами, выдается ли SSTP-клиентам IP-адреса в пределах указанного диапазона (172.16.5.100 – 172.16.5.199).
5. Конфигурация RRAS
Несмотря на схожую конфигурацию RRAS, проверьте следующие моменты на новом сервере:
- Убедитесь, что включены необходимые протоколы (например, IPv4) на всех интерфейсах.
- Проверьте, что настройки IP-адресации и диапазонов для SSTP-клиентов идентичны предыдущему серверу.
6. Логи и диагностика
Для глубокой диагностики в Windows Server 2022 вы можете использовать средства мониторинга и журналирования:
- Используйте Event Viewer для проверки журналов безопасности и системных журналов, чтобы выявить ошибки, ошибочные подключения или блокировки.
- Задействуйте инструменты для диагностики сети, такие как
tracertилиping, чтобы определить, на каком этапе теряется связь с вашими локальными ресурсами.
Заключение
Если вышеописанные шаги не помогут устранить проблему с доступом для SSTP-клиентов, возможно, стоит рассмотреть пакеты обновлений или патчи для Windows Server 2022. Иногда с обновлениями операционной системы могут приходить изменения в конфигурациях, которые могут повлиять на поведение RRAS.
Если проблема сохраняется, не стесняйтесь обратиться к сообществу Microsoft или профессиональному консультанту для получения более детальной помощи.