当前位置 > 首页 > 网站建设学院 > > VPN/VPDN

VPN访问故障之排疑解惑

2005-7-7来源:VPN/VPDN人气:29225

  作者: 逢逢

  为了方便出差在外的“移动”用户直接访问单位网络,不少单位局域网都架设了VPN服务器,以确保“移动”用户通过VPN连接方式直接访问局域网资源。不过,在实际进行VPN访问连接的过程中,常常会遇到不少稀奇古怪的故障;面对这些故障,我们该如何快速下手,迅速排除VPN访问故障,从而提高网络访问效率呢?为此,本文下面特意总结了几则常见VPN访问故障的排除方法,希望这些内容能对各位有所帮助!

  DNS服务设置不当造成Socket错误

  外部有一网络,通过VPN连接方式与单位局域网进行连接通信。现在单位想让该外部网络直接接入到单位内部的Intranet网络,但是该外部网络由于连接在其他子网中,以致于我们在外部网络中的某台工作站上访问内部Intranet服务器主机时,发现Socket错误,并提示我们无法找到内部Intranet服务器主机。这种故障现象多半是外部网络工作站系统中没有正确设置好DNS服务引起的,比方说一旦将远程工作站的DNS服务设置为从Internet上获取的话,那么远程工作站在访问内部Intranet服务器主机时,往往就很难找到对应服务器主机的ip地址,这样就容易出现上面的错误。

  要消除这样的故障现象,其实很简单,只要为单位内部的Intranet主机名称,提供一个属于Intranet自己的DNS服务就可以了。例如,你首先在远程工作站系统中,打开系统运行对话框,并在其中输入字符串命令“winipcfg”,单击“确定”按钮后,再从弹出的对话框中单击“详细信息”按钮,这样你就能从随后打开的如图1所示的界面中,知道当前工作站系统使用的DNS服务器是来自于Internet上的还是Intranet中的了;要是远程工作站系统使用的是Unix系统的话,可以在命令行中输入字符串命令“nslookp”,单击回车键后也能查看到当前工作站系统缺省的DNS服务究竟是否来自Intranet中的了。

VPN访问故障之排疑解惑
图1

  考虑到只要远程工作站系统的VPN路由可以正常工作,那么不论远程工作站位于什么单位网络中的任何一个位置,它都能使用属于本单位内部的DNS服务器;因此一旦你发现远程工作站使用的DNS服务器不是属于本单位内部的DNS服务器时,可以尝试着在远程工作站中通过Intranet服务器的IP地址来替代Intranet服务器主机名称,来进行VPN连接访问,要是发现远程工作站与单位内部的Intranet主机之间,相互可以正常传输信息的话,那就表明远程工作站系统此时需要的仅仅是名称解析服务,那么你可以直接在远程工作站系统中,使用静态主机文件“hosts.sam”,来提供Intranet服务器主机与IP地址的正确映射关系,直到远程工作站系统能够以主机名义并通过VPN隧道来与单位内部的Intranet服务器进行通信。

  无法同时实现Internet和VPN连接共享

  在一台安装有Windows 2000 Server的服务器系统中,通过设置并起用ICS主机功能,实现了Internet连接共享功能,所有局域网内部的工作站都能自动得到IP地址相关信息。不过,一旦在该服务器中设置并开启了VPN连接访问共享功能,以便让内部网络中的所有工作站都可以通过VPN连接共享功能访问外部网络中的VPN服务器时,发现原先内网工作站都可以正常访问Internet,而现在一台内网工作站都不能访问了,这是怎么回事呢,我们又该如何解决这样的故障呢?

  其实在同一台服务器中,最好不要同时启用Internet连接共享功能和VPN连接共享功能,一旦在服务器中启用了VPN连接共享功能,那么服务器原先启用的Internet连接共享功能就会自动被屏蔽掉,这样一来局域网内部的所有工作站自然就不能访问Internet了。

  要想在同一服务器中同时实现Internet和VPN连接共享,你可以先在Windows 2000 Server服务器系统中安装并设置好代理服务器软件,例如你可以使用Wingate,而不要直接使用系统内置的Internet连接共享功能;此外在创建VPN共享连接时,请务必要将向导窗口中的“启用此连接的Internet连接共享和启用请求拨号功能”,并且要把用于VPN共享连接的局域网网卡选正确;

  下面需要对远程工作站的IE浏览器进行一下设置。在设置时,可以依次单击IE菜单栏中的“工具”/“Internet选项”命令,打开Internet属性设置窗口;在该窗口中,单击“连接”标签,并在对应的标签页面中单击“局域网设置”按钮,在其后界面的“代理服务器”设置项处(如图2所示),输入Windows 2000服务器的IP地址以及Wingate使用的缺省代理端口号“80”; 现在再返回到Windows 2000服务器所在的计算机系统中,来对Wingate进行一下正确设置,以确保远程工作站都能通过代理服务器访问到Internet中的内容。在设置代理参数时,可以依次单击“开始”/“程序”/“Wingate”/“Gatekeeper”命令,在其后出现的帐号登录窗口中,输入超级管理员的管理密码并登录进管理系统界面;接着点击“Users”标签,并用鼠标双击其中的“Assumed users”,再在随后的窗口中单击“By IP Address”标签,然后在“By IP Address”标签页面中单击一下“Add”按钮,这样你就能看到一个标题为“Location”的设置窗口,在该窗口中正确输入远程工作站的IP地址,同时选中“Guest”选项,再点击一下“OK”按钮,如此一来远程工作站就能顺利通过代理服务器来访问Internet了。

VPN访问故障之排疑解惑(2)
图2

  可以登录但无法访问本地局域网

  有时远程工作站可以登录进本地局域网的指定域中,但就是不能访问该域中的任意一台计算机。遇到这种现象时,大家可以按照如下步骤来排查:

  首先打开远程工作站的网络参数设置窗口,检查该窗口是否安装了NetBEUI协议,要是还没有安装的话,可以单击“安装”按钮,在弹出的如图3所示的“选择网络组件类型”对话框中,选中“协议”按钮,再单击“添加”按钮,然后再将NetBEUI协议选中,并按照向导提示来完成安装任务;

VPN访问故障之排疑解惑(3)
图3

  其次在网络参数设置窗口中,检查一下远程工作站的TCP/IP设置,是否和面向本地局域网连接的TCP/IP设置方式相同,要是不相同的话必须将其修改过来。例如,要是本地局域网使用DHCP方式来为工作站分配IP地址时,那么在远程工作站的TCP/IP设置窗口中,也尽可能地启用DHCP服务来从VPN服务器中获得IP地址;

  接着返回到远程工作站的系统桌面中,用鼠标右键单击“我的电脑”图标,并从弹出的右键菜单中执行“属性”命令,在打开的属性设置窗口中,检查一下当前工作站的域是否为本地局域网指定的域名;倘若不一致的话,可以单击“计算机”标签,再在对应的标签页面中单击“更改”按钮,然后在如图4所示的设置窗口中,选中“域”选项,同时在对应的文本设置框中输入特定的域名称,最后单击“确定”按钮;

VPN访问故障之排疑解惑(3)
图4

  倘若上面的步骤都不能解决问题的话,那么你可以在远程工作站系统桌面中,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“cmd”,单击“确定”按钮后,将系统工作状态切换到DOS命令行。然后在DOS命令提示符下,输入“route add aaa.aaa.aaa.aaa mask bbb.bbb.bbb.bbb ccc.ccc.ccc.ccc”字符串命令(其中aaa.aaa.aaa.aaa表示本地局域网的网段起始IP地址,bbb.bbb.bbb.bbb表示本地局域网对应网段的掩码地址,ccc.ccc.ccc.ccc表示VPN网关IP地址),单击回车键后,就能在本地的路由记录表中添加了一条连接到本地局域网的路由记录;保存好该路由记录后,重新启动一下远程工作站系统,相信这样就能消除可以登录但无法访问本地局域网的故障了。

  此外,一旦上述招法全部失灵的话,不妨再尝试一下关闭系统的PPTP过滤功能;在关闭该功能时,只要在打开的系统运行框中输入字符串命令“net stop raspptpf”,单击“确定”按钮后就可以了。

  VPN连接无法创建

  近日在为一台安装有Windows 2000操作系统的工作站,创建新的VPN网络连接时,发现创建连接向导窗口中的“拨号到专用网络”和“VPN连接”这两个选项都失效了,如此一来新的VPN网络连接就无法创建成功了。面对这种现象,我们该如何快速排除呢?

  遇到这种现象时,首先需要对系统的相关文件进行恢复,因为一旦与VPN网络连接有关的系统文件受到意外损坏时,就常常会出现上面的故障现象。在恢复系统文件时,可以依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“sfc /scannow”,单击“确定”按钮后,Windows 2000操作系统就会自动对受损的系统文件进行恢复。等到系统文件恢复操作完毕后,再将计算机系统重新启动一下,然后再尝试打开VPN连接创建向导窗口,并检查该窗口中的“拨号到专用网络”和“VPN连接”这两个选项是否已经生效。

  要是上面两个选项还没有生效的话,那就表明当前故障不是由系统文件受损引起的,此时你不妨检查一下与VPN网络连接有关的远程服务是否被意外停止了,例如一旦Remote access Connection Manager服务被暂时停止的话,就会导致VPN连接无法创建。在检查Remote Access Connection Manager服务是否关闭时,可以依次单击“开始”/“程序”/“管理工具”/“服务”命令,在弹出的系统服务列表界面中,找到并选中Remote Access Connection Manager服务选项,并用鼠标右键单击之,从弹出的右键菜单中执行“属性”命令,在其后出现的属性设置窗口中(如图5所示),检查该服务的状态是否为已启动,要是还没有启动的话,那你可以单击“启动”按钮将它启用起来,同时将启动类型设置为“自动”,最后单击“确定”按钮。

VPN访问故障之排疑解惑(4)
图5

  等到Remote Access Connection Manager服务成功启动后,你不妨再次打开VPN连接创建向导窗口,相信此时的“拨号到专用网络”和“VPN连接”这两个选项多半是已经生效了,这样的话你就能按照向导提示来完成VPN连接创建任务了。

  VPN网络无法成功连接

  当你费了九牛二虎之力,创建并设置好了VPN网络连接,并打开连接对话框,单击其中的“连接”按钮时,你或许会发现VPN网络连接并没有自己预想的那样顺利,反而等来的是VPN网络无法成功连接。在确保VPN网络设置正确的情况下,如果还会出现VPN网络无法成功连接的故障时,那你就要进行以下几方面的检查工作:

  首先检查一下“在远程网络上使用默认网关”选项是否已经屏蔽;在检查该选项时,可以先打开网络连接列表窗口,选中VPN网络连接图标,并用鼠标右键单击该图标,从弹出的右键菜单中执行“属性”命令,打开“虚拟专用网络连接”属性对话框;

  单击该对话框中的“网络”标签,并选中对应标签页面中的“Internet协议(TCP/IP)”选项,再单击“属性”按钮;

  在随后弹出的属性设置窗口中,单击一下“高级”按钮,然后在打开的高级设置框中,你就能看到“在远程网络上使用默认网关”选项是否已经被屏蔽了;如果还没有屏蔽的话,必须将该选项取消选中,最后单击“确定”按钮,并重新启动一下计算机系统就可以了。

  接着检查一下计算机系统缺省的路由功能是否打开;在检查该功能时,可以依次单击“开始”/“运行”命令,在弹出的系统运行框中输入字符串命令“regedit”,单击“确定”按钮,打开系统注册表编辑窗口;

  依次展开其中的注册表分支HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP\Paramters,在对应Paramters分支右边的子窗口中(如图6所示),检查一下“IPEnableRouter”键值的数值是否“1”,要是为“1”的话,那就表明系统的路由功能已经被禁止掉了,此时你必须将其修改为“0”,最后单击“确定”按钮,并重新启动一下计算机系统就可以了。

VPN访问故障之排疑解惑(5)
图6

  倘若上面的操作还无法让VPN网络连接成功的话,那你就要检查一下当前使用的宽带路由器是否支持VPN连接功能,或者该路由器的VPN连接功能是否已经打开了。只有在宽带路由器支持并已经打开VPN连接功能,才能确保VPN网络顺利连接成功。