机器无法启动路由与远程访问.txt

奥斯丁分请一定要上载质量高而且本站没有的源码

问题八: 有无办法纪录VPN连接的日志?

答: 有的,一般可以通过设置radius服务器来实现外,还有如下方法:

通过命令行下操作实现PPP等日志文件
netsh ras set tracing * enable
这时候目录C:\WinNT\tracing下将会有一堆log文件.

另外,运行regedit.exe,打开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\
Parameters在右窗口将DWORD"值LoggingFlags"改为"3"
然后就可以在eventvwr.msc的"系统日志"下看到关于"remoteaccess"的信息.

其中DWORD值"LoggingFlags"对应的数字含义如下:
0:禁用事件日志
1:只纪录错误
2:记录错误及警告(这是默认值)
3:记录最多信息

问题九: 如何使用Radius服务器实现对VPN的记账功能?

答:可参照如下步骤
1.安装并运行IAS服务
 运行sysocmgr -i:sysoc.inf,
 选中"网络服务--Internet验证服务",然后安装.
 安装完毕运行IAS服务,net start ias

2.安装并运行VPN服务
  具体不再详述.

3.运行netsh.exe
E:\WINNT\system32>netsh
netsh>ras aaaa
ras aaaa>set accounting radius
要使改动生效，必须重启动远程访问服务。

ras aaaa>add acctserver name = "本机器名称" init-score = 5 port = 1813 timeo
ut = 30 messages = disabled
要使改动生效，必须重启动远程访问服务。

4.运行ias.msc(要保证remoteregistry服务正处于运行状态)
"客户端"有窗口新建一"客户端",名称为VPN,客户端地址为"本机器的IP",都按照
默认的设定.
"远程访问记录"右窗口记录着日志记录的地方,以及日志记录的内容设置.设置里
最好三个选项都打上勾.
"远程访问策略"一般是验证用户时候用的,如果用的是windows自带的用户验证,可
以不必设置.为了使iaslog.log看着舒服,可以把"如果启用拨入许可，就允许访问"
改成"authen".

补充:Win2000 ResourceKit中的iasparse.exe可以对iaslog.log进行分析.


问题十: 默认情况下,拨到VPN服务器后,所有的网络数据都是要经过VPN服务
器的(本地网络除外),对于一些站点,我们更希望直接访问而不通过VPN,那该
怎么办呢?

答: 可以通过route add命令来为那些站点设定特定路由.
比如说,本地网络是192.168.0.5/24,网关是192.168.0.1
现在正连接到一个VPN服务器,这时候对于202.117.1.8的访问想通过原有的线
路,那么可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.0.1
来实现,这时候访问202.117.1.8将不再通过VPN服务器了.


问题十一: 默认情况下,拨到VPN服务器后,所有的网络数据都是要经过VPN服务
器的(本地网络除外),然而,有时候我们只希望对一些特定的站点的访问从VPN
服务器经过,其他都还是和原来一样,应该怎么做呢?

答:可以通过修改VPN连接的属性来实现,右键"网上邻居"属性,打开"网络和拨
号连接",找到拨出VPN名称(默认名字是"虚拟专用连接"),右键"VPN名称"的属
性,选择"网络--'Internet协议(TCP/IP)'--高级--常规",把"在远程网络上使
用默认网关"那一项的勾去掉即可.这样所有的网络访问都将不再通过VPN服务
器了.当然可以通过route add命令来为一些站点设定特定路由.

比如说,本地网络是192.168.0.5/24,网关是192.168.0.1,拨到一VPN服务器,
得到新的IP为192.168.3.3/32
经过先前的设置,所有的网络数据都将不再经过VPN服务器了,但对于202.117.1.8
的访问想通过VPN服务器实现,可以用
route add 202.117.1.8 mask 255.255.255.255 192.168.3.3
来实现,这时候访问202.117.1.8将通过VPN服务器.

问题九: VPN可不可以穿透内网以及串联？

答: 所谓穿透内网,就是说VPN Client可以位于一个使用内部地址的网络内,而
VPN服务器位于公网上一个合法的IP地址;
    所谓串联,是先拨一个VPN服务器,然后再拨第二个VPN服务器.(本来第二个
VPN服务器是你不知能直接访问的,但是通过第一个VPN就可以使用第二个VPN服
务器).
   对于PPTP方式的VPN来说,是可以穿透内网的,也是可以串联的.
   原来L2TP/IPsec模式的VPN是无法穿越内网的,但是经过Microsoft公司的
努力(Microsoft Knowledge Base Article - 818043),使用了NAT-T技术,可
以让L2TP/IPsec方式的VPN可以穿越内网,当然也可以串联.

问题十二: 单网卡VPN服务器能否将给拨入的客户一个虚拟的内部地址然后通过
VPN服务器进行地址转换再出去?

答: 是可以的.在Windows2000下只有通过netsh.exe来实现
netsh ras ip set addrassign method = pool
#使用地址池的方式分配IP
netsh ras ip add range from = 192.168.3.1 to = 192.168.3.254
#地址池的范围是从192.168.3.1到192.168.3.254,这里用的是一个虚拟的内部
地址池.
netsh routing ip nat install #安装NAT协议
netsh routing ip nat add interface= 本地连接 mode =full
#设置"本地连接"这块网卡为对外网卡(进行地址和端口转换),注意此时
remoteregistry服务必须处于启动状态
netsh routing ip nat add interface=内部 mode=private
#设置"内部"这块虚拟网卡为内部地址,这块网卡是操作系统虚拟的一块不可见
网卡


问题十三: 能否对虚拟的VPN网卡进行sniff?

答: 曾经用了三种软件在服务器和客户端进行了测试:
Sniffer pro4.6, tcpdump, netmon.exe(MS自带的网络监视器)

结果发现:
1.Sniffer pro4.6无法找到虚拟的VPN网卡,因此不能对虚拟的VPN网卡进行监测

2.tcpdump倒是可以对虚拟的VPN网卡监测(tcpdump -i \device\packet_NdisWanIP)
可以无论在服务器端还是客户端,一旦监测这块虚拟的VPN网卡,那么VPN将不再
能够使用.(尽管显示VPN还处于连接状态,但已经无法工作了)

3.只有netmon.exe(网络监视器)可以正常工作,不影响VPN的使用,同样还可以监测
该虚拟的VPN网卡上流经的数据

问题十四: 使用VPN这块虚拟的网卡有什么特性?

答:首先看一下官方的说法:
当建立RAS或VPN连接时,为了能与RAS/VPN客户实现通信,RAS服务器从RAS静态
IP地址池或DHCP中提取一个IP地址,然后为每个连接至服务器的客户分配一个
IP地址.RAS/RRAS必须使这些IP地址绑定到一个适配器上.由于不存在物理适配
器,将创建一个虚拟的适配器,称为NDISWAN.

WindowsNT客户端将为每个拔出的连接创建一个NDISWAN适配器,为拔入/拔出连
接配置的Windows NT RAS服务器将创建一个NDISWAN适配器用于与RAS/VPN客户
的通信,为每个拔出的连接创建一个NDISWAN 适配器.

只有当第一个RAS/VPN客户建立连接后,RAS服务器才为拔入的连接创建一个
NDISWAN适配器.IP地址被绑定到NDISWAN适配器上,直到RAS服务停止.

这个NDISWAN适配器仅对RAS/VPN客户的请求作出响应.局域网客户无法PING通
这个NDISWAN接口。

NDISWAN在RAS/RRAS中是有连接才创建.对于PPTP,创建的NDISWAN适配器数与所
配置的 PPTP 端口数相同。

查看 NDISWAN 适配器信息。

可以通过在命令行键入 ipconfig/all 来查看 NDISWAN 适配器,也可以在注册
表的下列位置查看 NDISWAN 适配器：
HKLM\SOFTWARE\Microsoft\NdisWan
HKLM\SYSTEM\CCS\Services\NdisWan(x)
HKLM\SYSTEM\CCS\Services\NetBT\Adapters\NdisWan(x)
HKLM\SYSTEM\CCS\Services\NwlnkIpx\NetConfig\NdisWan(x)

我的几个经验是:
1.VPN Client拨入VPN服务器后,VPN client获得的IP地址以及VPN服务器自己
保留的IP地址在VPN服务器网段里将不再可用,否则双方将出现地址冲突;

2.VPN服务器在NDISWAN适配器尚未启用之前,其地址池中第一个地址(将被VPN
服务器自己使用)可以存在于VPN服务器所在网段,并且在VPN Client拨入VPN服
务其后也不影响VPN正常使用(不冲突);

3.VPN Client拨入VPN服务器后,如果VPN client获得的IP地址已经被VPN服务
器网段的机器使用,那么双方将不会出现冲突.表面上看VPN是正常的,实际上
VPN Client将不再能够通过VPN服务器出去.