用RRAS VPN桥接ICS

Question

有这样的设置：

• 带有2GigabitNIC的Windows 2012 R2，一个通过千兆交换连接到4个工作站，另一个暴露在互联网上
• 服务器是域控制器，工作站通过ActiveDirectory获取组策略
• 使用ICS通过本地网卡共享各自的服务器NIC来提供对工作站的Internet访问
• 在本地网卡上为服务器使用192.168.137.1地址
• 静态地址192.168.137.2-5设置到网关设置为192.168.137.1且没有DNS集的工作站
• 使用服务器上的RRAS为来自互联网的用户提供VPN连接。VPN客户端(使用Microsoft连接)使用静态地址池(设置为使用192.168.137.100+)，他们似乎在192.168.137.100 (通过VPN登录后可以将RDP确定)看到服务器，并获得服务器上的地址。

问题是VPN客户端看不到ICS工作站。

当我对VPN客户端执行ipconfig时，VPN客户端的网关显示为空，这意味着它们在服务器上使用某种VPN网关。

我知道ICS有一个简单的DHCP服务(哪个可以通过注册表关闭)，所以我能告诉RRAS以某种方式将客户端传递给那个DHCP吗？RRAS似乎有一个DHCP代理，如果我将它设置为将DHCP消息传递到192.168.137.1 (如果我从VPN客户端运行高级端口扫描器，服务器也会出现在.100之外)，则不会有任何帮助。不确定这是否是设置VPN客户端要使用的DHCP的正确方式。

顺便说一句，VPN客户端在连接时失去了Internet连接，但是由于工作站可以通过ICS访问Internet，所以如果他们可以通过RDP访问它们(目前他们不能--只能在通过VPN登录后才能看到服务器和RDP )。

已经考虑过各种解决办法，比如不使用ICS，而是设置NAT，但不确定是否可以在DC上设置NAT和VPN (而使用ICS似乎很好)。

还尝试在其他服务器端口公开工作站的RDP端口(ICS有一个高级设置对话框，您可以在其中向internet客户端公开服务，但这很可能仅适用于通过internet直接连接的客户端，而不是通过VPN)

Answer 1

我刚刚找到了解决方案:我最近注意到我可以连接到其中一个工作站，但不能连接到其他工作站，而从服务器上，我不能列出本地网络中的其他计算机，而在像Time Boss Pro这样的软件中使用经典网络对话框时，我无法列出其他计算机。

因此，我打开了从服务器到每个工作站的RDP连接，并从Windows访问了网络位置。在三个有问题的工作站中，它警告我，网络发现被禁用了，在关闭该对话框之后，它提供了启用它的功能(仅用于本地网络-如果您直接连接到internet，最近的Windows client OS显示了对所有公共网络启用或使本地网络专用的选择)

操作完成后，我可以从网络对话框中列出工作站，还可以通过RDP按名称连接到工作站，指定服务器在VPN中的本地地址为RDP网关。

我已经在https://technet.microsoft.com/en-us/library/cc731544(v=ws.11).aspx和https://technet.microsoft.com/en-us/library/cc730630(v=ws.11).aspxhttps://technet.microsoft.com/en-us/library/cc730630(v=ws.11).aspx中分别为连接授权和资源授权定义了RD CAP和RAP策略，并使用服务器上的RDP网关设置了RDP网关。在CAP中，我指定了一组允许远程连接的AD用户，在RAP上，我指定了一组允许访问的工作站。另外，我已经在服务器上设置了一个GPO (组策略对象)，以便通过Active策略传播/强制执行在每个工作站上安装，允许AD用户组远程连接。

顺便说一句，我所做的另一个改变(但这不应该起作用)是，我现在使用一个单独的地址空间(192.168.0.x)来处理带有ICS的本地网络，而对VPN静态地址池使用另一个地址空间(192.137.0.x)。注意，我禁用了RAS中的DHCP中继代理，因为我为VPN使用了RAS的静态池。

希望这能帮助其他面临同样情况的人。