VPN訪問(wèn)外部網(wǎng)絡(luò)不暢的問(wèn)題應(yīng)該如何解決

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在局域網(wǎng)組網(wǎng)規(guī)模相對(duì)較大的單位，單位員工時(shí)常會(huì)選用VPN方式來(lái)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。借助VPN網(wǎng)絡(luò)連接，單位員工可以十分輕松地?cái)[脫地理位置的限制，隨心所欲地在Internet網(wǎng)絡(luò)的任何位置都能訪問(wèn)到單位內(nèi)部網(wǎng)絡(luò)。相比普通撥號(hào)網(wǎng)絡(luò)連接服務(wù)，VPN網(wǎng)絡(luò)連接服務(wù)具有被更多上網(wǎng)用戶認(rèn)可的優(yōu)勢(shì)，目前在使用過(guò)程中正在慢慢取代普通的撥號(hào)網(wǎng)絡(luò)連接服務(wù)。不過(guò)在實(shí)際使用VPN網(wǎng)絡(luò)的時(shí)候，當(dāng)單位員工成功建立VPN連接后，盡管能夠順暢地訪問(wèn)單位的內(nèi)部網(wǎng)絡(luò)資源，不過(guò)此時(shí)員工的本地工作站卻不能訪問(wèn)Internet網(wǎng)絡(luò)了，這是什么原因呢? 現(xiàn)在，本文就對(duì)這種故障現(xiàn)象進(jìn)行詳細(xì)剖析，希望大家能從中獲得收獲!

初探VPN工作站訪問(wèn)外網(wǎng)不暢

眾所周知，VPN工作站是利用Internet網(wǎng)絡(luò)連接單位內(nèi)部網(wǎng)絡(luò)VPN服務(wù)器的，那么為什么上網(wǎng)用戶在成功創(chuàng)建了VPN網(wǎng)絡(luò)連接后，反而不能順暢訪問(wèn)Internet網(wǎng)絡(luò)中的內(nèi)容呢?發(fā)生了這種故障現(xiàn)象時(shí)，很多熟悉網(wǎng)絡(luò)知識(shí)的朋友都知道這種現(xiàn)象可能是由路由參數(shù)設(shè)置不當(dāng)引起的，所以在解決這種故障現(xiàn)象時(shí)，許多人都會(huì)打開(kāi)VPN網(wǎng)絡(luò)連接的屬性設(shè)置界面，進(jìn)入其中的高級(jí)TCP/IP設(shè)置頁(yè)面，再將“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)目取消選中(如圖1所示)，來(lái)實(shí)現(xiàn)訪問(wèn)Internet網(wǎng)絡(luò)的目的。從表面上來(lái)看這種解決故障的方法是切實(shí)可行的，上網(wǎng)用戶會(huì)認(rèn)為解決了一個(gè)路由故障，事實(shí)上簡(jiǎn)單地取消選中“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)目容易造成新的路由故障，甚至還可能威脅到單位內(nèi)部網(wǎng)絡(luò)的運(yùn)行安全性。我們不妨捫心自想一下，當(dāng)初使用VPN網(wǎng)絡(luò)連接訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)的目標(biāo)是為了保障局域網(wǎng)網(wǎng)絡(luò)的安全運(yùn)行，結(jié)果卻可能由于VPN網(wǎng)絡(luò)連接影響了整個(gè)單位網(wǎng)絡(luò)的運(yùn)行安全性，那么這樣就有點(diǎn)得不償失了。

如此說(shuō)來(lái)難道我們就不能找出更好的辦法，讓VPN工作站既能正常訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)，又能順暢訪問(wèn)Internet網(wǎng)絡(luò)了嗎?在回答這個(gè)問(wèn)題之前，我們認(rèn)為有必要先來(lái)探究一下VPN工作站的路由尋徑情況。既然VPN訪問(wèn)外網(wǎng)不暢的原因是由路由引起的，現(xiàn)在我們不妨仔細(xì)檢查一下VPN網(wǎng)絡(luò)連接成功前后，VPN工作站的本地路由表發(fā)生了什么變化，之后根據(jù)具體的變化情況來(lái)尋找網(wǎng)絡(luò)故障的原因所在。當(dāng)VPN工作站沒(méi)有建立VPN網(wǎng)絡(luò)連接時(shí)，我們可以在本地系統(tǒng)依次單擊“開(kāi)始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中輸入字符串命令“cmd”，單擊回車鍵后，將系統(tǒng)狀態(tài)切換到DOS命令行狀態(tài);在DOS命令行提示符下輸入字符串命令“route print”，單擊回車鍵后，我們將看到如圖2所示的結(jié)果界面。接著，在VPN工作站中建立好VPN網(wǎng)絡(luò)連接后，再次進(jìn)入到DOS命令行狀態(tài)，并在該狀態(tài)下執(zhí)行字符串命令“route print”，隨后我們又將看到一個(gè)與圖2界面不同的結(jié)果;仔細(xì)對(duì)比這兩個(gè)結(jié)果畫(huà)面，我們可以非常清楚地看到，在建立VPN網(wǎng)絡(luò)連接后本地工作站的路由表內(nèi)容發(fā)生了明顯變化，變化較大的就是本地VPN工作站訪問(wèn)Internet網(wǎng)絡(luò)的路徑會(huì)優(yōu)先選用VPN的計(jì)劃程序端口，之后上網(wǎng)請(qǐng)求信息會(huì)通過(guò)VPN端口將數(shù)據(jù)信息轉(zhuǎn)發(fā)到遠(yuǎn)程VPN服務(wù)器中，這個(gè)尋找路徑的過(guò)程自然不會(huì)成功訪問(wèn)到Internet網(wǎng)絡(luò)中的內(nèi)容，而只能訪問(wèn)到單位內(nèi)部網(wǎng)絡(luò)的內(nèi)容，這也是前面所說(shuō)的VPN工作站建立VPN網(wǎng)絡(luò)連接后不能順暢訪問(wèn)Internet網(wǎng)絡(luò)的原因。

揭密數(shù)據(jù)在VPN通道傳輸過(guò)程

為了更好地解決VPN訪問(wèn)外網(wǎng)不暢的故障現(xiàn)象，我們還有必要來(lái)了解一下上網(wǎng)數(shù)據(jù)信息在VPN網(wǎng)絡(luò)連接通道中的傳輸過(guò)程。我們知道，VPN網(wǎng)絡(luò)連接接口其實(shí)就是一個(gè)點(diǎn)對(duì)點(diǎn)方式的虛擬鏈路接口，當(dāng)VPN網(wǎng)絡(luò)連接接口收到網(wǎng)絡(luò)訪問(wèn)包時(shí)，該連接接口就會(huì)把從網(wǎng)絡(luò)層獲取得來(lái)的數(shù)據(jù)信息包封裝成PPP點(diǎn)對(duì)點(diǎn)格式的數(shù)據(jù)幀，同時(shí)對(duì)該數(shù)據(jù)幀進(jìn)行安全加密操作，之后再把安全封裝好的數(shù)據(jù)幀信息傳輸?shù)街付ǖ木W(wǎng)關(guān)那里，這里所提到的網(wǎng)關(guān)其實(shí)就是VPN工作站自己，因此這個(gè)被安全封裝的上網(wǎng)數(shù)據(jù)信息幀又被重新返回給本地工作站再次進(jìn)行處理，這次處理操作實(shí)際上就是再次對(duì)上網(wǎng)數(shù)據(jù)信息幀進(jìn)行封裝的過(guò)程。

那么VPN工作站為什么需要重復(fù)對(duì)上網(wǎng)數(shù)據(jù)信息幀進(jìn)行封裝呢?這是因?yàn)榈谝淮芜M(jìn)行安全封裝的數(shù)據(jù)幀往往只能通過(guò)虛擬的VPN網(wǎng)絡(luò)連接接口進(jìn)行傳輸，要想將上網(wǎng)數(shù)據(jù)信息通過(guò)實(shí)際的網(wǎng)絡(luò)連接接口進(jìn)行傳輸，還需要在實(shí)際的網(wǎng)絡(luò)鏈路層中重新進(jìn)行一次安全封裝操作才行。而在最終封裝成符合網(wǎng)絡(luò)鏈路層傳輸要求的數(shù)據(jù)幀之前，往往要對(duì)第一次封裝過(guò)的上網(wǎng)數(shù)據(jù)信息幀進(jìn)行其他的多級(jí)封裝，這是由于按照規(guī)定是無(wú)法直接把PPP點(diǎn)對(duì)點(diǎn)格式的數(shù)據(jù)幀封裝在另一個(gè)鏈路層數(shù)據(jù)幀中的，這需要在PPP點(diǎn)對(duì)點(diǎn)格式的數(shù)據(jù)幀之前添加一些報(bào)頭，例如最簡(jiǎn)單的是添加一個(gè)GRE報(bào)頭和IP報(bào)頭。

當(dāng)上網(wǎng)數(shù)據(jù)信息幀被封裝到符合網(wǎng)絡(luò)層傳輸要求時(shí)，比方說(shuō)在封裝到IP報(bào)頭的時(shí)候，還需要在這個(gè)過(guò)程中進(jìn)行一次路由指定，這是因?yàn)樯暇W(wǎng)數(shù)據(jù)信息包必須要明確地發(fā)送到目標(biāo)遠(yuǎn)程VPN服務(wù)器那里，上網(wǎng)數(shù)據(jù)信息包需要在這里尋找到一條能夠到達(dá)目標(biāo)遠(yuǎn)程VPN服務(wù)器的路由，之后上網(wǎng)數(shù)據(jù)信息就在目標(biāo)路由的指定下將數(shù)據(jù)送到特定的網(wǎng)絡(luò)接口進(jìn)行處理。

應(yīng)對(duì)VPN訪問(wèn)外網(wǎng)不暢的方案

通過(guò)上面的分析，我們不難看出，使用VPN網(wǎng)絡(luò)連接訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)時(shí)，一定要讓通過(guò)VPN網(wǎng)絡(luò)連接傳輸?shù)臄?shù)據(jù)信息包先到達(dá)VPN網(wǎng)絡(luò)虛擬連接接口進(jìn)行處理，倘若沒(méi)有經(jīng)過(guò)虛擬VPN網(wǎng)絡(luò)連接接口處理的話，那么通過(guò)VPN網(wǎng)絡(luò)連接出去的數(shù)據(jù)信息包就沒(méi)有經(jīng)過(guò)安全加密環(huán)節(jié)，這些的數(shù)據(jù)信息在Internet通道中傳輸時(shí)，自然就會(huì)影響到單位內(nèi)部網(wǎng)絡(luò)的安全性。

當(dāng)我們?cè)赩PN網(wǎng)絡(luò)連接屬性設(shè)置界面中將“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)目取消選中時(shí)，盡管遠(yuǎn)程局域網(wǎng)網(wǎng)絡(luò)能通過(guò)Internet通道到達(dá)目標(biāo)網(wǎng)站內(nèi)容，可是這個(gè)訪問(wèn)過(guò)程沒(méi)有通過(guò)虛擬VPN網(wǎng)絡(luò)連接端口進(jìn)行傳輸，那樣一來(lái)上網(wǎng)信息就沒(méi)有經(jīng)過(guò)安全加密處理，這樣的話上網(wǎng)信息的安全性就無(wú)法得到保證，很顯然這并不是VPN網(wǎng)絡(luò)訪問(wèn)真正想要實(shí)現(xiàn)的目的，所以簡(jiǎn)單地將“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)目取消選中顯然是不可取的。退一步來(lái)說(shuō)，即使我們將遠(yuǎn)程局域網(wǎng)的內(nèi)網(wǎng)IP地址分配給VPN工作站，一旦將“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)目的選中狀態(tài)取消，同樣也會(huì)出現(xiàn)路由尋徑問(wèn)題，因?yàn)榇藭r(shí)所有發(fā)送到本地工作子網(wǎng)中的數(shù)據(jù)信息包都將被自動(dòng)路由到遠(yuǎn)程局域網(wǎng)網(wǎng)絡(luò)中。為了有效防止VPN工作站出現(xiàn)這種路由尋徑錯(cuò)誤，我們可以嘗試為VPN工作站分配一個(gè)特殊的IP地址，確保該地址不能與VPN工作站所處的本地工作子網(wǎng)地址范圍相同，不過(guò)要與遠(yuǎn)程局域網(wǎng)工作子網(wǎng)地址范圍相同。

但是，如果將VPN網(wǎng)絡(luò)連接屬性設(shè)置界面中的“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”選項(xiàng)保持選中，我們就不能實(shí)現(xiàn)同時(shí)訪問(wèn)遠(yuǎn)程局域網(wǎng)和Internet網(wǎng)絡(luò)的目的，這顯然是一個(gè)兩難問(wèn)題，針對(duì)這種問(wèn)題我們目前還沒(méi)有找到一個(gè)合適的設(shè)置方法，只能在不同的工作環(huán)境中使用不同的網(wǎng)絡(luò)設(shè)置來(lái)解決網(wǎng)絡(luò)連接問(wèn)題。由于將VPN網(wǎng)絡(luò)連接屬性設(shè)置界面中的“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)目取消選中，一定會(huì)影響遠(yuǎn)程局域網(wǎng)的安全運(yùn)行。為此，在遠(yuǎn)程局域網(wǎng)對(duì)安全要求較高的情況下，我們肯定要選中“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”選項(xiàng);對(duì)于那些既想訪問(wèn)Internet網(wǎng)絡(luò)又想訪問(wèn)遠(yuǎn)程局域網(wǎng)的的朋友來(lái)說(shuō)，我們不妨嘗試使用HTTP代理實(shí)現(xiàn)訪問(wèn)Internet網(wǎng)絡(luò)的目的，該功能大部分代理服務(wù)器往往是支持的。例如，要是我們希望VPN工作站能夠同時(shí)訪問(wèn)Internet網(wǎng)絡(luò)和遠(yuǎn)程局域網(wǎng)時(shí)，可以考慮在VPN服務(wù)器中安裝專業(yè)的代理服務(wù)器程序，例如可以安裝專業(yè)的Wingate工具程序;之后從系統(tǒng)的“開(kāi)始”菜單中啟動(dòng)運(yùn)行Wingate程序，打開(kāi)“Users”選項(xiàng)設(shè)置頁(yè)面，再雙擊“Assumed users”選項(xiàng)，然后單擊其后界面中的“By IP Address”選項(xiàng)卡，在對(duì)應(yīng)的選項(xiàng)設(shè)置頁(yè)面中單擊“Add”按鈕，如此一來(lái)我們就能看到Location設(shè)置對(duì)話框了，在這里輸入需要訪問(wèn)代理服務(wù)器的VPN工作站IP地址，同時(shí)將對(duì)應(yīng)界面中的“Guest”項(xiàng)目選中，最后單擊“OK”按鈕，那樣一來(lái)指定的VPN工作站就能通過(guò)代理服務(wù)器來(lái)訪問(wèn)Internet網(wǎng)絡(luò)中的內(nèi)容了。在對(duì)代理服務(wù)器系統(tǒng)的相關(guān)參數(shù)進(jìn)行合適設(shè)置后，我們還需要對(duì)VPN工作站的IE瀏覽器進(jìn)行設(shè)置。在設(shè)置IE瀏覽器的代理參數(shù)時(shí)，我們可以先運(yùn)行IE瀏覽器程序進(jìn)入IE瀏覽器窗口，單擊該窗口菜單欄中的“工具”選項(xiàng)，從下拉菜單中點(diǎn)選“Internet選項(xiàng)”菜單命令，從其后的Internet屬性界面中單擊“連接”標(biāo)簽，打開(kāi)如圖3所示的標(biāo)簽設(shè)置頁(yè)面;在該標(biāo)簽設(shè)置頁(yè)面的“局域網(wǎng)設(shè)置”處單擊“局域網(wǎng)設(shè)置”按鈕，進(jìn)入如圖4所示的代理服務(wù)器參數(shù)設(shè)置界面，之后在該頁(yè)面中正確輸入代理服務(wù)器的IP地址以及代理服務(wù)端口號(hào)碼，通常來(lái)說(shuō)默認(rèn)的代理服務(wù)端口號(hào)碼為“80”，最后單擊“確定”按鈕結(jié)束代理服務(wù)器客戶端參數(shù)設(shè)置操作，如此一來(lái)VPN工作站通過(guò)VPN網(wǎng)絡(luò)連接與遠(yuǎn)程局域網(wǎng)中的VPN服務(wù)器建立連接后，再通過(guò)架設(shè)在VPN服務(wù)器中的代理服務(wù)器就能實(shí)現(xiàn)訪問(wèn)Internet網(wǎng)絡(luò)的目的了。

當(dāng)然，需要提醒各位注意的是，要是VPN工作站只想訪問(wèn)遠(yuǎn)程局域網(wǎng)網(wǎng)絡(luò)，而不訪問(wèn)本地工作子網(wǎng)時(shí)，可以直接將VPN工作站的IP地址設(shè)置成與VPN服務(wù)器的IP地址位于相同的邏輯子網(wǎng)，此時(shí)我們就能將“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”項(xiàng)目取消選中了。

小提示

在普通工作站中創(chuàng)建VPN連接時(shí)，我們有時(shí)會(huì)看到網(wǎng)絡(luò)連接創(chuàng)建向?qū)Т翱谥小笆褂脫芴?hào)或VPN連接”選項(xiàng)處于灰色不可選狀態(tài)，那樣的話我們就無(wú)法在普通工作站中成功創(chuàng)建VPN網(wǎng)絡(luò)連接了，那為什么會(huì)出現(xiàn)這種現(xiàn)象呢，我們又該如何解決這樣的故障現(xiàn)象呢?其實(shí)，引起這種網(wǎng)絡(luò)故障的因素有很多，我們必須對(duì)此進(jìn)行依次排查。首先應(yīng)該檢查本地工作站的系統(tǒng)文件有沒(méi)有受到受損，倘若與VPN網(wǎng)絡(luò)連接有關(guān)的系統(tǒng)文件意外受到損壞時(shí)，那就很容易出現(xiàn)上面的故障現(xiàn)象。在判斷本地工作站的系統(tǒng)文件有沒(méi)有受到損壞時(shí)，我們不妨先依次單擊本地系統(tǒng)桌面中的“開(kāi)始”、“運(yùn)行”命令，在其后彈出的系統(tǒng)運(yùn)行框中輸入字符串命令“sfc /scannow”，單擊“確定”按鈕后，Windows系統(tǒng)就會(huì)自動(dòng)掃描本地工作站系統(tǒng)文件，遇到有系統(tǒng)文件被破壞時(shí)屏幕就會(huì)自動(dòng)彈出提示要求我們進(jìn)行恢復(fù)。要是受損的系統(tǒng)文件被恢復(fù)正常后，我們?cè)賹⒈镜毓ぷ髡鞠到y(tǒng)重新啟動(dòng)一下，之后重新創(chuàng)建網(wǎng)絡(luò)連接，相信此時(shí)“使用撥號(hào)或VPN連接”選項(xiàng)就有可能處于可選狀態(tài)了。

如果通過(guò)上面的操作無(wú)法讓“使用撥號(hào)或VPN連接”選項(xiàng)的顯示狀態(tài)恢復(fù)正常的話，那就說(shuō)明這種故障現(xiàn)象與系統(tǒng)文件無(wú)關(guān)，此時(shí)我們就需要認(rèn)真檢查與VPN網(wǎng)絡(luò)連接創(chuàng)建操作相關(guān)的系統(tǒng)服務(wù)是否運(yùn)行正常了，例如一旦系統(tǒng)服務(wù)Remote Access Connection Manager工作狀態(tài)不正常時(shí)，那就有可能出現(xiàn)“使用撥號(hào)或VPN連接”選項(xiàng)顯示不正常的現(xiàn)象了。在檢查Remote Access Connection Manager系統(tǒng)服務(wù)工作狀態(tài)是否運(yùn)行正常時(shí)，可以依次單擊“開(kāi)始”/“程序”/“管理工具”/“服務(wù)”命令，在彈出的系統(tǒng)服務(wù)列表界面中雙擊Remote Access Connection Manager服務(wù)選項(xiàng)，進(jìn)入目標(biāo)系統(tǒng)服務(wù)的屬性設(shè)置界面，在該屬性界面的常規(guī)標(biāo)簽頁(yè)面中，我們就能非常直觀地看到該服務(wù)的工作狀態(tài)是否正常了。相信經(jīng)過(guò)上面的設(shè)置，多半就能解決VPN網(wǎng)絡(luò)連接無(wú)法創(chuàng)建的故障現(xiàn)象了。（IT專家網(wǎng)）