- Вопрос или проблема
- Ответ или решение
- Решение проблемы с SSTP на Windows Server 2022: подключение, но отсутствие доступа
- 1. Правильная настройка маршрутизации и шлюза
- 2. Настройки брандмауэра
- 3. Конфигурация маршрутов на клиентских устройствах
- 4. Проверка конфигурации RRAS
- 5. Проверка сетевых подключений
- 6. Логи и диагностика
- Заключение
Вопрос или проблема
У меня есть физический сервер в сети, работающий на Windows Server 2019. Этот сервер раньше выполнял функции DHCP, DNS, веб-сервера и SSTP-сервера, а также действовал как обратный прокси для некоторых публичных веб-приложений. Теперь я мигрирую на виртуальную машину Windows Server 2022 в той же сети. DNS и DHCP теперь обрабатываются другим сервером, но веб, обратный прокси и SSTP работают на новом сервере. Мой маршрутизатор (предоставленный моим провайдером интернета) перенаправляет порты 80 и 443 на новый сервер, чтобы разрешить входящие HTTP(S) соединения и автоматическое получение сертификатов TLS от Let’s Encrypt.
Проблема в том, что клиенты SSTP могут успешно подключаться к новому серверу, но не могут получить доступ ни к одному устройству в моей сети. Думаю, я что-то упустил, потому что для меня старый сервер и новый сервер настроены абсолютно идентично. Конфигурация RRAS в MMC совершенно идентична на обоих серверах. Когда я меняю перенаправление портов обратно на старый сервер, SSTP снова работает отлично.
(Конфигурация клиента SSTP не затрагивается, так как публичное имя хоста и учетная запись пользователя остаются прежними.)
| Моя домашняя сеть | 172.16.0.0/16 |
| Сервер DNS/DHCP | 172.16.3.3 |
| Шлюз | 172.16.3.10 |
| IP-адрес нового SSTP-сервера | 172.16.3.180 (выдан DHCP) |
| DHCP-диапазон для локальных клиентов | 172.16.3.100 – 172.16.3.199 |
| Диапазон адресов для клиентов SSTP | 172.16.5.100 – 172.16.5.199 |
Интерфейс RAS сервера имеет IP-адрес 172.16.5.100, и когда я подключаю клиента SSTP, он получает 172.16.5.101 (или выше). Проблема: клиент SSTP даже не может пинговать 172.16.5.100, не говоря уже о каком-либо другом адресе в моей сети. Однако я могу пинговать оба интерфейса сервера из локальных клиентов.
Единственное очевидное различие между двумя серверами заключается в том, что старый сервер имеет статический IP-адрес (он выступал в качестве DHCP-сервера), в то время как новый получает свой адрес от другого DHCP-сервера. Тем не менее, службы DNS и DHCP на старом сервере сейчас отключены.
У вас есть идеи, что я мог упустить? Нужно ли мне настраивать что-либо еще, чтобы SSTP снова заработал? Кажется, это проблема маршрутизации, но я не знаю, что я сделал не так.
Спасибо заранее!
Ответ или решение
Решение проблемы с SSTP на Windows Server 2022: подключение, но отсутствие доступа
Ваша ситуация с изображением архитектуры сети и проблемой SSTP очень интересна и может указывать на несколько потенциальных направлений для решения. Давайте подробно проанализируем возможные причины и шаги для решения проблемы.
1. Правильная настройка маршрутизации и шлюза
Первое, на что стоит обратить внимание — это маршрутизация. Убедитесь, что маршрутизатор правильно настроен для перенаправления трафика на новый сервер. Поскольку старый сервер имел статический IP, а новый использует динамически назначаемый адрес от DHCP, это может порождать неясности в маршрутизации. Убедитесь, что:
- Настройки маршрутизатора указывают на текущий IP-адрес нового сервера (172.16.3.180).
- Убедитесь, что все маршруты настроены правильно и что пакетам, отправляемым на IP интерфейс RAS (172.16.5.100), можно будет пройти через маршрутизатор.
2. Настройки брандмауэра
Брандмауэр Windows может блокировать входящие или исходящие соединения для новых сетевых интерфейсов. Настройте правила брандмауэра следующим образом:
- Проверьте, чтобы порты 443 и 80 были открыты для SSTP.
- Убедитесь, что входящие правила позволяют трафик от адресов SSTP-клиентов (172.16.5.100 – 172.16.5.199) к локальной сети (172.16.0.0/16).
Вы можете запустить PowerShell с правами администратора и использовать следующую команду для проверки правил брандмауэра:
Get-NetFirewallRule | Where-Object { $_.Enabled -eq 'True' }3. Конфигурация маршрутов на клиентских устройствах
Если ваши клиентские устройства пытаются пинговать адреса 172.16.5.100 и выше, убедитесь, что они правильно настроены на использование этого диапазона IP-адресов. Вам может потребоваться вручную добавить маршрут на клиентских устройствах:
route add 172.16.0.0 MASK 255.255.0.0 172.16.5.100Это позволит клиентам направлять трафик в вашу внутреннюю сеть через IP-адрес RAS.
4. Проверка конфигурации RRAS
Убедитесь, что RRAS (Routing and Remote Access Service) на новом сервере правильно настроен:
- Откройте
Routing and Remote AccessMMC, перейдите кIP Routing→Static Routesи проверьте, чтобы видел все необходимые сети. - Обратите внимание на настройки VPN и убедитесь, что активирована опция
Routing for Local Area Network (LAN) clientsи что маршруты правильно определены.
5. Проверка сетевых подключений
Если все вышеуказанные настройки верны, выполните некоторые базовые сетевые проверки:
- Из команды на SSTP-клиенте выполните
tracert 172.16.5.100иtracert 172.16.3.3. Это поможет выяснить, где трафик останавливается. - Попробуйте временно отключить брандмауэр Windows и проверьте, будет ли подключение успешным. Если это решит проблему, следует вернуться к настройкам брандмауэра и тщательно проверить шторки.
6. Логи и диагностика
Если проблема все еще сохраняется, проверьте логи на сервере SSTP:
- Откройте журналы событий (Event Viewer) и ознакомьтесь с подкаталогом
Applications and Services Logs→Microsoft→Windows→RoutingAndRemoteAccess. - Логи могут предоставить дополнительную информацию о любых ошибках или отказах в подключении.
Заключение
Подводя итог, настройка SSTP на новом сервере Windows Server 2022 требует внимания к деталям в конфигурации сети, маршрутизации и политике брандмауэра. Следуя данным шагам, вы должны быть в состоянии устранить проблему с отсутствием доступа. Проводите тестирование после каждой внесенной корректировки, чтобы определить причины возникновения неполадок. Если у вас есть дополнительные вопросы, не стесняйтесь обратиться за помощью.