VPN dentro de una sesión de escritorio remoto

13

Me conecto a un servidor en mi red local a través de Escritorio remoto. Luego necesito establecer una conexión VPN a Internet desde esa sesión de Escritorio remoto. Sin embargo, eso desconecta inmediatamente mi sesión de escritorio remoto.

¿Qué está pasando aquí y hay alguna manera de que pueda solucionarlo?

Información extra:

Computadora local # 1:

  • Inicia sesión de RDP en # 2
  • Windows 7
  • 10.1.1.140/24

Computadora local # 2:

  • Windows Vista
  • 10.1.1.132/24
  • Inicia la conexión VPN a IP pública
  • VPN es PPTP
  • Configurado para obtener IP y DNS automáticamente
  • 'Usar puerta de enlace predeterminada en red remota' no está seleccionado
  • 'Habilitar LMHosts' está seleccionado
  • 'Activar Netbios' sobre TCP / IP está seleccionado
  • Tiene la capacidad de ser multi-homed (es decir, tiene 2 nic)

Enrutador ADSL de cara al público:

  • Servidor VPN
  • recibe conexión del # 2 a través de IP externa
  • La red interna es 192.168.0.0/24

Puedo hacer una conexión VPN desde mi PC sin problemas (sin RDP involucrado).

Tom sugirió usar NIC duales en un comentario a continuación. Tengo dos NIC en el cuadro (# 2 arriba) pero no estoy seguro de cómo configurarlas correctamente, o cómo asignar la VPN para usar una sobre la otra.

Traté de configurar la NIC adicional para que esté en la misma red privada (10.1.1.200/24), inicié la VPN y luego intenté RDP en cualquiera de las NIC, 10.1.1.132 o 10.1.1.200, pero no tuve suerte. ¿Hay alguna forma de decirle a la VPN que use una NIC sobre la otra?

Según lo solicitado, aquí están mis tablas de enrutamiento de la PC # 2:

Antes de conectar VPN:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     20
         10.1.1.0    255.255.255.0         On-link        10.1.1.132    276
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.255  255.255.255.255         On-link        10.1.1.132    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
===========================================================================

y después de que la VPN esté conectada:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     20
         10.1.1.0    255.255.255.0         On-link        10.1.1.132    276
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.255  255.255.255.255         On-link        10.1.1.132    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
      192.168.0.0    255.255.255.0    192.168.0.254    192.168.0.234    267
    192.168.0.234  255.255.255.255         On-link     192.168.0.234    522
    remote-vpn-ip  255.255.255.255       10.1.1.254       10.1.1.132     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link     192.168.0.234    522
===========================================================================

Incluso intenté conectar la segunda interfaz (10.1.1.232) y jugar con las rutas predeterminadas:

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0       10.1.1.254       10.1.1.132     21
         10.1.1.0    255.255.255.0       10.1.1.254       10.1.1.232     11
       10.1.1.132  255.255.255.255         On-link        10.1.1.132    276
       10.1.1.232  255.255.255.255         On-link        10.1.1.232    266
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link        10.1.1.132    296
  169.254.255.255  255.255.255.255         On-link        10.1.1.132    276
      192.168.0.0    255.255.255.0    192.168.0.254    192.168.0.235    267
    192.168.0.235  255.255.255.255         On-link     192.168.0.235    522
    remote-vpn-ip  255.255.255.255       10.1.1.254       10.1.1.132     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link        10.1.1.132    276
        224.0.0.0        240.0.0.0         On-link        10.1.1.232    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link        10.1.1.132    276
  255.255.255.255  255.255.255.255         On-link        10.1.1.232    266
  255.255.255.255  255.255.255.255         On-link     192.168.0.235    522
vpn remote-desktop Dan
fuente
Proporcione más información sobre su configuración. En particular, ¿qué tecnología VPN (IPsec, SSL VPN, ...), qué cliente VPN y qué tipo de enrutamiento en la LAN?
sleske
¿Tiene la configuración de VPN para no enrutar todo el tráfico a través de VPN? si su configuración es así, te interrumpirá.
Sirex
He agregado más información. Además, he intentado tener 'Usar puerta de enlace predeterminada en la red remota' tanto seleccionado como no seleccionado. Sin suerte. Gracias por tu aportación hasta ahora.
Dan
¿Todo el tráfico de otros hosts en la red 10.1.1.0/24 es rechazado por la PC # 2 cuando la VPN está activa? ICMP (Ping), etc.
Goyuix
Sí Goyuix, eso es correcto. Los pings a la PC # 2 solo tienen éxito cuando la VPN está inactiva.
Dan

Respuestas:

10

Lo que sucede es que efectivamente está cortando la ruta IP del servidor a usted mismo, de ahí la pérdida de sesión RDP. Puede solucionarlo configurando la VPN de manera que esté vinculada a una segunda interfaz (física o virtual) para que tanto el enlace VPN como el RDP puedan coexistir. La forma en que lo haga depende en gran medida de una gama de configuraciones muy detalladas que no conocemos en este momento, por lo que si necesita ayuda con esto, tendrá que volver a nosotros con MUCHA información, tanto como pueda. Por favor.

Chopper3
fuente
3
+1. Esa sería mi suposición también. Me pregunto si algo como LogMeIn podría ser una solución más fácil que tratar de encontrar una solución para que la sesión RDP funcione.
joeqwerty
Coloque una segunda NIC en el cuadro y haga que el cliente VPN se origine del que tiene asignada la ruta predeterminada.
SpacemanSpiff
Puede que tengas algo aquí, Tom. Ver edición en cuestión.
Dan
¿Cómo sucedería eso si la configuración de la puerta de enlace remota está deshabilitada y él se conecta a través de la ruta local (misma subred)?
Joris
5

Esto puede ser una práctica habitual: de manera predeterminada, en un cuadro de Windows (esto puede haber cambiado), todo el tráfico se ve forzado a bajar por el túnel VPN, por lo que sí, su RDP se caerá.

Sugiero que vaya a la configuración avanzada de su VPN en su servidor y asegúrese de que no envíe todo el tráfico a través de la VPN.

Además, verifique que la red de destino no use la misma configuración de subred que usted, de lo contrario, volverá a experimentar los síntomas que describe.

Señor IT Guru
fuente
Solo para verificar, en realidad estás físicamente sentado en la computadora local # 1, ¿verdad?
Mister IT Guru
Sí es cierto. Intenté configurar 'Usar puerta de enlace predeterminada en la red remota' como no seleccionado. Sin suerte.
Dan
También - se trata de una subred diferente,
Dan
1

Tuve el mismo problema. Verifique si el proveedor de VPN puede agregarlo a un grupo que tiene una política establecida para 'túnel dividido': esto se hace en el lado del host VPN y si el servidor no tiene esto habilitado, no podrá hacer lo que usted quiere. están tratando de

Al ver que su VPN tiene la dirección 192. * cuando la conecte, destruirá la interfaz a la que se está conectando (lo que lo interrumpirá).

Si el túnel dividido no está habilitado en el servidor VPN (¡comuníquese con el administrador del servidor VPN sobre esto!), No podrá conectarse.

Todo esto supone que está configurando sus conexiones vpn locales correctamente (parece que sí).

Marm0t
fuente
Gracias. No puedo ver ninguna opción para 'Tunneling dividido' en el servidor VPN. Para ser claros, solo estoy usando un enrutador ADSL (Draytek) con funcionalidad de servidor VPN incorporada. Puede que no tenga algunas opciones avanzadas ...
Dan
¿Este enrutador tiene un demonio pptp ejecutándose? Si lo hace, deberá apagarlo. Podría estar interfiriendo con los paquetes GRE.
Mister IT Guru
1

Tuve este problema antes, y la solución es "túnel dividido", esto significa, enviar el tráfico de Internet a la puerta de enlace predeterminada y el tráfico a la red VPN utilizando el túnel.

Lo que debe hacer es configurar una ruta estática a su máquina en la Computadora # 2. Y establecer la prioridad para esta ruta en 0

Por lo tanto, el resultado final será una ruta predeterminada 0.0.0.0/0 a la dirección IP de la puerta de enlace VPN, y una ruta estática a su máquina utilizando la puerta de enlace predeterminada.

En Windows, lo que harías es algo como esto:

 route add 10.1.1.140 netmask 255.255.255.255 <defaultGW> -P

donde defaultGW es la dirección IP de su enrutador.

Esto asegurará que el tráfico que va a 10.1.1.140 no se enrutará al túnel.

Si tiene acceso físico a la computadora # 2, conéctese a la VPN y háganos saber la tabla de enrutamiento de la máquina:

route print

uno antes de conectarse a la vpn y uno después.

Con esta información, podemos ayudarlo a configurar el "túnel dividido"

Espero ser de ayuda

Hugo García
fuente
Agregué tablas de enrutamiento a la pregunta anterior. Gracias por tu contribución.
Dan
Cuando te conectas a la VPN en la PC # 2, ¿aún puedes navegar por la WEB? y si puedes, ¿puedes comprobar que estás saliendo con la misma IP pública? whatismyip.net debería darle la dirección IP que está utilizando para salir al mundo. otra pregunta, ¿está utilizando la interfaz de acceso telefónico de Windows para conectarse a la VPN o algún otro cliente VPN?
Hugo García
1

Descubrí que el uso de la dirección IPv6 para conectarse no da como resultado que la VPN rompa la sesión RDP.

En mi configuración, tengo un huésped y host de Windows VirtualBox y mi VPN en el invitado fuerza TODO el tráfico a través de la VPN (esto está configurado en el servidor, no puedo cambiar esto)

Si me conecto desde mi host al invitado a través de la dirección ipv4 (por ejemplo, 192.168.1.x), tan pronto como inicie la conexión VPN en el invitado, la sesión RDP se interrumpe. Sin embargo, si conecto RDP a través del nombre de host invitado (que se resuelve en la dirección IPv6), la conexión VPN no interrumpe la sesión RDP.

wal
fuente
0

Es difícil saberlo sin más información, pero muchos clientes VPN tienen el desagradable hábito de desconectar (lógicamente) su computadora host de la LAN mientras configuran la conexión VPN. Es decir, puede estar conectado a su LAN o a la VPN, pero no a ambos.

Si su cliente VPN hace esto, obviamente su sesión RDP sería eliminada como un efecto secundario de desconectarlo de la LAN.

No estoy seguro de por qué los clientes VPN hacen esto, ya sea una medida intencional (¿seguridad?) O simplemente un efecto secundario de la reconfiguración de la red, pero a menudo lo he encontrado.

Consulte el manual para obtener detalles y cómo solucionarlo.

sleske
fuente
1
Los clientes VPN hacen esto para evitar que las personas vinculen dos redes, (mediante el enrutamiento) y roben todos sus datos de sus sistemas expuestos (o incluso se vean comprometidos con malware), un ataque de esta manera se originará en el sistema que realiza la vinculación, dejando casi ninguna evidencia
Mister IT Guru
0

Normalmente he usado sesiones RDP "anidadas" a través de VPN sin ningún problema especial (aparte de una ligera desaceleración). El esquema subyacente era Cliente-> VPN-> Primer servidor RDP-> Internet-> Segundo servidor RDP. Creo que el único problema que podría tener es que el primer servidor puede tener un firewall que bloquea la llamada saliente del protocolo RDP. Al usar una VPN puede "ingresar" a la red del servidor, pero esto no es una garantía de que el mismo servidor u otras máquinas LAN puedan establecer una sesión RDP con un servidor LAN externo. Si su segundo servidor está en la LAN del primero, verifique que se pueda alcanzar mediante una sesión RDP (por ejemplo: puede tener un firewall local que bloquee el puerto RDP) y Windows permite usarlo. Corte inmediato de la segunda sesión RDP significa que hay un "problema" de red (firewalls, auth y así sucesivamente) en la ruta al segundo servidor, por lo que se requiere una verificación precisa de las llamadas externas del primer servidor. Según yo, la solución es más simple de lo que piensas también si el primer servidor tiene solo una tarjeta de red. Durante mucho tiempo he operado con sesiones rdp anidadas con servidores que montan Windows 2000, Windows 2003 y 2008 utilizando un servidor VPN en el servidor Windows 2003 y luego anidando sesiones RDP para las otras dos, a veces juntas, desde la primera. Por lo tanto, verifique las condiciones de red del primer servidor. Windows 2003 y 2008 utilizando un servidor VPN en el servidor Windows 2003 y luego anidando sesiones RDP para las otras dos, a veces juntas, desde la primera. Por lo tanto, verifique las condiciones de red del primer servidor. Windows 2003 y 2008 utilizando un servidor VPN en el servidor Windows 2003 y luego anidando sesiones RDP para las otras dos, a veces juntas, desde la primera. Por lo tanto, verifique las condiciones de red del primer servidor.


fuente
0

Usted mencionó que "Usar puerta de enlace predeterminada" no está marcado, lo que si eso es aceptable (no se requiere enrutamiento fuera de la subred 192.168.0.0/24) debería haber resuelto su problema.

Lo que te queda suena como que potencialmente el firewall se interpone en el camino? ¿Puede deshabilitar por completo el Firewall de Windows (o cualquier producto que esté usando) y verificar que el síntoma aún exista?

¿Puede volver a conectar la sesión eliminada después de que se haya establecido el enlace VPN y permanezca activo?

Goyuix
fuente
He intentado con todos los firewalls desactivados y no puedo volver a conectar el RDP mientras la VPN está activa.
Dan
0

Editar : Me perdí la respuesta de Sleskes explicando lo mismo.

¿Quizás algún producto de seguridad instalado (firewall, "seguridad de Internet", antivirus, ...) detecta la conexión PPTP y tiene la misma funcionalidad?

Tenga en cuenta que algunos de estos productos tienen opciones que están profundamente ocultas en la GUI detrás de las casillas de verificación sin pretensiones.

Joris
fuente
0

Es probable que el cliente VPN esté configurado para enrutar TODO el tráfico por el túnel, no solo el tráfico a las redes a las que se enruta la VPN. Esto elimina las conexiones abiertas actualmente y cambia el comportamiento de enrutamiento en el servidor, por lo tanto, se interrumpe su conexión.

tomstephens89
fuente
0

Esto no resuelve el problema específico mencionado, pero esto es lo que usé para resolver el mismo tipo de problema al admitir una variedad de clientes que usan una variedad de clientes vpn que no son todos compatibles y algunos que crean una conexión vpn de túnel cerrado. Tengo un servidor vmware que aloja varias máquinas virtuales y utilizo el cliente vSphere para conectarme a la sesión de Windows y puedo abrir una conexión vpn de túnel cerrado y no perder el acceso a la sesión de Windows.

Jeff Haskett
fuente