VPN訪問外部網(wǎng)絡(luò)不暢的問題應該如何解決

申請免費試用、咨詢電話：400-8352-114

在局域網(wǎng)組網(wǎng)規(guī)模相對較大的單位，單位員工時常會選用VPN方式來訪問內(nèi)部網(wǎng)絡(luò)。借助VPN網(wǎng)絡(luò)連接，單位員工可以十分輕松地擺脫地理位置的限制，隨心所欲地在Internet網(wǎng)絡(luò)的任何位置都能訪問到單位內(nèi)部網(wǎng)絡(luò)。相比普通撥號網(wǎng)絡(luò)連接服務，VPN網(wǎng)絡(luò)連接服務具有被更多上網(wǎng)用戶認可的優(yōu)勢，目前在使用過程中正在慢慢取代普通的撥號網(wǎng)絡(luò)連接服務。不過在實際使用VPN網(wǎng)絡(luò)的時候，當單位員工成功建立VPN連接后，盡管能夠順暢地訪問單位的內(nèi)部網(wǎng)絡(luò)資源，不過此時員工的本地工作站卻不能訪問Internet網(wǎng)絡(luò)了，這是什么原因呢? 現(xiàn)在，本文就對這種故障現(xiàn)象進行詳細剖析，希望大家能從中獲得收獲!

初探VPN工作站訪問外網(wǎng)不暢

眾所周知，VPN工作站是利用Internet網(wǎng)絡(luò)連接單位內(nèi)部網(wǎng)絡(luò)VPN服務器的，那么為什么上網(wǎng)用戶在成功創(chuàng)建了VPN網(wǎng)絡(luò)連接后，反而不能順暢訪問Internet網(wǎng)絡(luò)中的內(nèi)容呢?發(fā)生了這種故障現(xiàn)象時，很多熟悉網(wǎng)絡(luò)知識的朋友都知道這種現(xiàn)象可能是由路由參數(shù)設(shè)置不當引起的，所以在解決這種故障現(xiàn)象時，許多人都會打開VPN網(wǎng)絡(luò)連接的屬性設(shè)置界面，進入其中的高級TCP/IP設(shè)置頁面，再將“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目取消選中(如圖1所示)，來實現(xiàn)訪問Internet網(wǎng)絡(luò)的目的。從表面上來看這種解決故障的方法是切實可行的，上網(wǎng)用戶會認為解決了一個路由故障，事實上簡單地取消選中“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目容易造成新的路由故障，甚至還可能威脅到單位內(nèi)部網(wǎng)絡(luò)的運行安全性。我們不妨捫心自想一下，當初使用VPN網(wǎng)絡(luò)連接訪問單位內(nèi)部網(wǎng)絡(luò)的目標是為了保障局域網(wǎng)網(wǎng)絡(luò)的安全運行，結(jié)果卻可能由于VPN網(wǎng)絡(luò)連接影響了整個單位網(wǎng)絡(luò)的運行安全性，那么這樣就有點得不償失了。

如此說來難道我們就不能找出更好的辦法，讓VPN工作站既能正常訪問單位內(nèi)部網(wǎng)絡(luò)，又能順暢訪問Internet網(wǎng)絡(luò)了嗎?在回答這個問題之前，我們認為有必要先來探究一下VPN工作站的路由尋徑情況。既然VPN訪問外網(wǎng)不暢的原因是由路由引起的，現(xiàn)在我們不妨仔細檢查一下VPN網(wǎng)絡(luò)連接成功前后，VPN工作站的本地路由表發(fā)生了什么變化，之后根據(jù)具體的變化情況來尋找網(wǎng)絡(luò)故障的原因所在。當VPN工作站沒有建立VPN網(wǎng)絡(luò)連接時，我們可以在本地系統(tǒng)依次單擊“開始”/“運行”命令，在彈出的系統(tǒng)運行文本框中輸入字符串命令“cmd”，單擊回車鍵后，將系統(tǒng)狀態(tài)切換到DOS命令行狀態(tài);在DOS命令行提示符下輸入字符串命令“route print”，單擊回車鍵后，我們將看到如圖2所示的結(jié)果界面。接著，在VPN工作站中建立好VPN網(wǎng)絡(luò)連接后，再次進入到DOS命令行狀態(tài)，并在該狀態(tài)下執(zhí)行字符串命令“route print”，隨后我們又將看到一個與圖2界面不同的結(jié)果;仔細對比這兩個結(jié)果畫面，我們可以非常清楚地看到，在建立VPN網(wǎng)絡(luò)連接后本地工作站的路由表內(nèi)容發(fā)生了明顯變化，變化較大的就是本地VPN工作站訪問Internet網(wǎng)絡(luò)的路徑會優(yōu)先選用VPN的計劃程序端口，之后上網(wǎng)請求信息會通過VPN端口將數(shù)據(jù)信息轉(zhuǎn)發(fā)到遠程VPN服務器中，這個尋找路徑的過程自然不會成功訪問到Internet網(wǎng)絡(luò)中的內(nèi)容，而只能訪問到單位內(nèi)部網(wǎng)絡(luò)的內(nèi)容，這也是前面所說的VPN工作站建立VPN網(wǎng)絡(luò)連接后不能順暢訪問Internet網(wǎng)絡(luò)的原因。

揭密數(shù)據(jù)在VPN通道傳輸過程

為了更好地解決VPN訪問外網(wǎng)不暢的故障現(xiàn)象，我們還有必要來了解一下上網(wǎng)數(shù)據(jù)信息在VPN網(wǎng)絡(luò)連接通道中的傳輸過程。我們知道，VPN網(wǎng)絡(luò)連接接口其實就是一個點對點方式的虛擬鏈路接口，當VPN網(wǎng)絡(luò)連接接口收到網(wǎng)絡(luò)訪問包時，該連接接口就會把從網(wǎng)絡(luò)層獲取得來的數(shù)據(jù)信息包封裝成PPP點對點格式的數(shù)據(jù)幀，同時對該數(shù)據(jù)幀進行安全加密操作，之后再把安全封裝好的數(shù)據(jù)幀信息傳輸?shù)街付ǖ木W(wǎng)關(guān)那里，這里所提到的網(wǎng)關(guān)其實就是VPN工作站自己，因此這個被安全封裝的上網(wǎng)數(shù)據(jù)信息幀又被重新返回給本地工作站再次進行處理，這次處理操作實際上就是再次對上網(wǎng)數(shù)據(jù)信息幀進行封裝的過程。

那么VPN工作站為什么需要重復對上網(wǎng)數(shù)據(jù)信息幀進行封裝呢?這是因為第一次進行安全封裝的數(shù)據(jù)幀往往只能通過虛擬的VPN網(wǎng)絡(luò)連接接口進行傳輸，要想將上網(wǎng)數(shù)據(jù)信息通過實際的網(wǎng)絡(luò)連接接口進行傳輸，還需要在實際的網(wǎng)絡(luò)鏈路層中重新進行一次安全封裝操作才行。而在最終封裝成符合網(wǎng)絡(luò)鏈路層傳輸要求的數(shù)據(jù)幀之前，往往要對第一次封裝過的上網(wǎng)數(shù)據(jù)信息幀進行其他的多級封裝，這是由于按照規(guī)定是無法直接把PPP點對點格式的數(shù)據(jù)幀封裝在另一個鏈路層數(shù)據(jù)幀中的，這需要在PPP點對點格式的數(shù)據(jù)幀之前添加一些報頭，例如最簡單的是添加一個GRE報頭和IP報頭。

當上網(wǎng)數(shù)據(jù)信息幀被封裝到符合網(wǎng)絡(luò)層傳輸要求時，比方說在封裝到IP報頭的時候，還需要在這個過程中進行一次路由指定，這是因為上網(wǎng)數(shù)據(jù)信息包必須要明確地發(fā)送到目標遠程VPN服務器那里，上網(wǎng)數(shù)據(jù)信息包需要在這里尋找到一條能夠到達目標遠程VPN服務器的路由，之后上網(wǎng)數(shù)據(jù)信息就在目標路由的指定下將數(shù)據(jù)送到特定的網(wǎng)絡(luò)接口進行處理。

應對VPN訪問外網(wǎng)不暢的方案

通過上面的分析，我們不難看出，使用VPN網(wǎng)絡(luò)連接訪問單位內(nèi)部網(wǎng)絡(luò)時，一定要讓通過VPN網(wǎng)絡(luò)連接傳輸?shù)臄?shù)據(jù)信息包先到達VPN網(wǎng)絡(luò)虛擬連接接口進行處理，倘若沒有經(jīng)過虛擬VPN網(wǎng)絡(luò)連接接口處理的話，那么通過VPN網(wǎng)絡(luò)連接出去的數(shù)據(jù)信息包就沒有經(jīng)過安全加密環(huán)節(jié)，這些的數(shù)據(jù)信息在Internet通道中傳輸時，自然就會影響到單位內(nèi)部網(wǎng)絡(luò)的安全性。

當我們在VPN網(wǎng)絡(luò)連接屬性設(shè)置界面中將“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目取消選中時，盡管遠程局域網(wǎng)網(wǎng)絡(luò)能通過Internet通道到達目標網(wǎng)站內(nèi)容，可是這個訪問過程沒有通過虛擬VPN網(wǎng)絡(luò)連接端口進行傳輸，那樣一來上網(wǎng)信息就沒有經(jīng)過安全加密處理，這樣的話上網(wǎng)信息的安全性就無法得到保證，很顯然這并不是VPN網(wǎng)絡(luò)訪問真正想要實現(xiàn)的目的，所以簡單地將“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目取消選中顯然是不可取的。退一步來說，即使我們將遠程局域網(wǎng)的內(nèi)網(wǎng)IP地址分配給VPN工作站，一旦將“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目的選中狀態(tài)取消，同樣也會出現(xiàn)路由尋徑問題，因為此時所有發(fā)送到本地工作子網(wǎng)中的數(shù)據(jù)信息包都將被自動路由到遠程局域網(wǎng)網(wǎng)絡(luò)中。為了有效防止VPN工作站出現(xiàn)這種路由尋徑錯誤，我們可以嘗試為VPN工作站分配一個特殊的IP地址，確保該地址不能與VPN工作站所處的本地工作子網(wǎng)地址范圍相同，不過要與遠程局域網(wǎng)工作子網(wǎng)地址范圍相同。

但是，如果將VPN網(wǎng)絡(luò)連接屬性設(shè)置界面中的“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”選項保持選中，我們就不能實現(xiàn)同時訪問遠程局域網(wǎng)和Internet網(wǎng)絡(luò)的目的，這顯然是一個兩難問題，針對這種問題我們目前還沒有找到一個合適的設(shè)置方法，只能在不同的工作環(huán)境中使用不同的網(wǎng)絡(luò)設(shè)置來解決網(wǎng)絡(luò)連接問題。由于將VPN網(wǎng)絡(luò)連接屬性設(shè)置界面中的“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目取消選中，一定會影響遠程局域網(wǎng)的安全運行。為此，在遠程局域網(wǎng)對安全要求較高的情況下，我們肯定要選中“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”選項;對于那些既想訪問Internet網(wǎng)絡(luò)又想訪問遠程局域網(wǎng)的的朋友來說，我們不妨嘗試使用HTTP代理實現(xiàn)訪問Internet網(wǎng)絡(luò)的目的，該功能大部分代理服務器往往是支持的。例如，要是我們希望VPN工作站能夠同時訪問Internet網(wǎng)絡(luò)和遠程局域網(wǎng)時，可以考慮在VPN服務器中安裝專業(yè)的代理服務器程序，例如可以安裝專業(yè)的Wingate工具程序;之后從系統(tǒng)的“開始”菜單中啟動運行Wingate程序，打開“Users”選項設(shè)置頁面，再雙擊“Assumed users”選項，然后單擊其后界面中的“By IP Address”選項卡，在對應的選項設(shè)置頁面中單擊“Add”按鈕，如此一來我們就能看到Location設(shè)置對話框了，在這里輸入需要訪問代理服務器的VPN工作站IP地址，同時將對應界面中的“Guest”項目選中，最后單擊“OK”按鈕，那樣一來指定的VPN工作站就能通過代理服務器來訪問Internet網(wǎng)絡(luò)中的內(nèi)容了。在對代理服務器系統(tǒng)的相關(guān)參數(shù)進行合適設(shè)置后，我們還需要對VPN工作站的IE瀏覽器進行設(shè)置。在設(shè)置IE瀏覽器的代理參數(shù)時，我們可以先運行IE瀏覽器程序進入IE瀏覽器窗口，單擊該窗口菜單欄中的“工具”選項，從下拉菜單中點選“Internet選項”菜單命令，從其后的Internet屬性界面中單擊“連接”標簽，打開如圖3所示的標簽設(shè)置頁面;在該標簽設(shè)置頁面的“局域網(wǎng)設(shè)置”處單擊“局域網(wǎng)設(shè)置”按鈕，進入如圖4所示的代理服務器參數(shù)設(shè)置界面，之后在該頁面中正確輸入代理服務器的IP地址以及代理服務端口號碼，通常來說默認的代理服務端口號碼為“80”，最后單擊“確定”按鈕結(jié)束代理服務器客戶端參數(shù)設(shè)置操作，如此一來VPN工作站通過VPN網(wǎng)絡(luò)連接與遠程局域網(wǎng)中的VPN服務器建立連接后，再通過架設(shè)在VPN服務器中的代理服務器就能實現(xiàn)訪問Internet網(wǎng)絡(luò)的目的了。

當然，需要提醒各位注意的是，要是VPN工作站只想訪問遠程局域網(wǎng)網(wǎng)絡(luò)，而不訪問本地工作子網(wǎng)時，可以直接將VPN工作站的IP地址設(shè)置成與VPN服務器的IP地址位于相同的邏輯子網(wǎng)，此時我們就能將“在遠程網(wǎng)絡(luò)上使用默認網(wǎng)關(guān)”項目取消選中了。

小提示

在普通工作站中創(chuàng)建VPN連接時，我們有時會看到網(wǎng)絡(luò)連接創(chuàng)建向?qū)Т翱谥小笆褂脫芴柣騐PN連接”選項處于灰色不可選狀態(tài)，那樣的話我們就無法在普通工作站中成功創(chuàng)建VPN網(wǎng)絡(luò)連接了，那為什么會出現(xiàn)這種現(xiàn)象呢，我們又該如何解決這樣的故障現(xiàn)象呢?其實，引起這種網(wǎng)絡(luò)故障的因素有很多，我們必須對此進行依次排查。首先應該檢查本地工作站的系統(tǒng)文件有沒有受到受損，倘若與VPN網(wǎng)絡(luò)連接有關(guān)的系統(tǒng)文件意外受到損壞時，那就很容易出現(xiàn)上面的故障現(xiàn)象。在判斷本地工作站的系統(tǒng)文件有沒有受到損壞時，我們不妨先依次單擊本地系統(tǒng)桌面中的“開始”、“運行”命令，在其后彈出的系統(tǒng)運行框中輸入字符串命令“sfc /scannow”，單擊“確定”按鈕后，Windows系統(tǒng)就會自動掃描本地工作站系統(tǒng)文件，遇到有系統(tǒng)文件被破壞時屏幕就會自動彈出提示要求我們進行恢復。要是受損的系統(tǒng)文件被恢復正常后，我們再將本地工作站系統(tǒng)重新啟動一下，之后重新創(chuàng)建網(wǎng)絡(luò)連接，相信此時“使用撥號或VPN連接”選項就有可能處于可選狀態(tài)了。

如果通過上面的操作無法讓“使用撥號或VPN連接”選項的顯示狀態(tài)恢復正常的話，那就說明這種故障現(xiàn)象與系統(tǒng)文件無關(guān)，此時我們就需要認真檢查與VPN網(wǎng)絡(luò)連接創(chuàng)建操作相關(guān)的系統(tǒng)服務是否運行正常了，例如一旦系統(tǒng)服務Remote Access Connection Manager工作狀態(tài)不正常時，那就有可能出現(xiàn)“使用撥號或VPN連接”選項顯示不正常的現(xiàn)象了。在檢查Remote Access Connection Manager系統(tǒng)服務工作狀態(tài)是否運行正常時，可以依次單擊“開始”/“程序”/“管理工具”/“服務”命令，在彈出的系統(tǒng)服務列表界面中雙擊Remote Access Connection Manager服務選項，進入目標系統(tǒng)服務的屬性設(shè)置界面，在該屬性界面的常規(guī)標簽頁面中，我們就能非常直觀地看到該服務的工作狀態(tài)是否正常了。相信經(jīng)過上面的設(shè)置，多半就能解決VPN網(wǎng)絡(luò)連接無法創(chuàng)建的故障現(xiàn)象了。（IT專家網(wǎng)）