我想问一下我的方向是否正确。我们有:
- 1 x VPN 服务器 (Windows SBS 2003)
- 5 个 VPN 用户(一个公共 IP)
目前,在我们的远程办公室,一次只有一个用户能够连接 VPN,因为当其他人尝试同时连接时连接失败。
我不是网络专家,但我假设这是因为 VPN 服务器对发送数据包的位置等感到困惑。
我在其他地方看到过pfSense .. 这似乎表明我可以使用它来路由 VPN 连接,而不是 Windows——它会处理来自同一个外部 IP 的多个用户。
这个对吗; pfSense 是解决这个问题的方法吗?(即:放弃 Windows VPN 并改用 pfSense)。
TL;DR:如果您使用 IPsec:尝试在远程办公室的 NAT 路由器上禁用“IPsec passthrough” 。即VPN客户端在后面的盒子,它拥有单个公共IP。
我认为这是你真正的问题。使用完全相同的 VPN 协议切换到 pfsense 无济于事。
您应该说出您目前使用的 VPN 协议(IPsec?)。我假设您正在使用 Windows 内置的所有软件,或者您会提到它...
您将“一个公共 IP”标记为问题是正确的。NAPT (NAT) 需要处理正在使用的每个 IP 协议。如果 VPN 协议直接在 IP 上运行,它将受到远程办公室 NAPT 盒子的限制。任何时候最多只能连接一个连接的限制——我相信我已经在家用路由器中看到了这一点。
在这种情况下,您希望通过 UDP/IP 而不是直接通过 IP 运行 VPN 协议。这通常被标记为 NAT-T,表示“NAT 遍历”。(与 VPN 直通不同,它是一个标准)。
要强制 NAT-T,请尝试将您的 NAPT 框配置为阻止 VPN over IP。换句话说,禁用“VPN passthrough”功能。VPN 客户端将不得不使用 NAT-T。Windows IPsec客户端和服务器 2003应开箱即用地支持此功能。根据上面的客户端链接,您可能需要确保 VPN 服务器有自己的公共 IP 地址。(“在 VPN服务器也在 NAT 设备后面的情况下,默认情况下禁用 NAT-T ... ”)。
或者,将您的 NAT 框替换为支持 VPN 协议的透传,并根据需要使用尽可能多的连接:)。
同样的问题也适用于 PPTP,但更糟糕的是因为您无法通过 UDP 运行它。(请不要使用PPTP,它不安全)。