Десять советов по диагностике проблем в виртуальных частных сетях (VPN)
Устранение неполадок в виртуальных частных сетях (VPN) требует систематической диагностики. Брайен Пози (Brien Posey) объясняет, как выяснить причину проблемы.
Работа виртуальной частной сети, как правило, зависит сразу от нескольких систем, поэтому обнаружить источник проблем бывает нелегко. В таком случае легче всего найти причину методом исключения. В этой статье я перечислю десять аспектов, на которые стоит обратить внимание при диагностике проблем VPN. Это, конечно, не исчерпывающее руководство, но для начала наверняка пригодится.
1. Определите круг пострадавших пользователей
При возникновении неполадок в виртуальной частной сети нужно первым делом определить, кого эти неполадки затрагивают. Это поможет понять, где искать их источник. Например, если с проблемой сталкиваются все сотрудники компании, скорее всего, виновато аппаратное обеспечение VPN-сервера, неправильная серверная конфигурация или некорректные настройки межсетевого экрана.
С другой стороны, если трудности испытывает, допустим, только сотрудник из отдела маркетинга, который вечно забывает свой пароль, или дама из бухгалтерии, которая предпочитает подключаться к сети с домашнего компьютера, причину проблемы нужно искать совсем в другом месте.
2. Убедитесь, что пользователи могут подключиться к VPN-сети
Приступая к диагностике, стоит в первую очередь выяснить, могут ли пострадавшие пользователи подключиться к сети. Далеко не всегда неполадки в VPN вызваны проблемами с сетевым подключением. Иной раз соединение установить удается, а вот доступ к сетевым ресурсам пользователи получить не могут. Определив состояние подключения, будет легче понять, где искать причину неполадок.
3. Проверьте, не препятствуют ли подключению настройки политики
Если некоторым пользователям не удается подключиться к сети, стоит проверить, могут ли они установить соединение с другого компьютера, который совершенно точно исправен. Если и в этом случае соединиться не получится, возможно, подключению препятствуют определенные настройки политики. Если сеть развернута в среде Windows Server, стоит проверить в консоли Active Directory «Пользователи и компьютеры» (Active Directory Users And Computers), разрешен ли пользователям удаленный вход в систему. Кроме того, следует учитывать, что конфигурация некоторых VPN-сетей допускает подключение только в определенное время суток.
4. Убедитесь, что клиентское ПО работает корректно
Если трудности испытывает только один пользователь, и с другого компьютера он подключается к сети без проблем, скорее всего, источником неполадок является система, в которой он работает.
Как-то раз один из пользователей, которых я обслуживаю, не смог подключиться к VPN с домашнего компьютера. В попытке определить причину я попросил его проделать определенные действия в своей клиентской программе, но он в ответ заявил, что не видит тех опций и кнопок, о которых я говорю. Выяснилось, что незадолго до этого он, по совету друга, установил бесплатный VPN-клиент, который якобы гораздо удобнее стандартного.
В другой раз один из моих клиентов не мог подключиться к VPN, поскольку вирус уничтожил стек протоколов TCP/IP на его компьютере. Короче говоря, если пользователи подключаются со своих собственных ПК, нельзя исключать, что источник проблемы находится на их стороне.
5. Проверьте, могут ли пользователи осуществить локальный вход в систему
Это может показаться глупостью, но когда пользователи жалуются мне на проблемы с подключением к виртуальной частной сети, я первым делом проверяю, могут ли они войти в систему локально.
Был у меня один пользователь, который никак не мог подключиться к VPN. Я долго пытался решить проблему, перепробовал все доступные способы и под конец решил еще раз проверить учетную запись пользователя на случай некорректной настройки прав доступа. Обнаружилось, что учетная запись заблокирована. Я разблокировал ее и попробовал войти в систему снова, но через некоторое время аккаунт вновь оказался заблокирован.
Тогда я сменил пароль, и после этого смог войти в систему без проблем. Когда я сообщил об этом пользователю, тот признался, что вообще ни разу не смог воспользоваться этой учетной записью, а работал всегда с аккаунта одного из своих коллег (такое и захочешь, а не выдумаешь). С тех пор я всегда первым делом проверяю, все ли в порядке с учетной записью пользователя.
6. Выясните, не препятствует ли подключению пользователей межсетевой экран NAT
При диагностике проблем в виртуальной частной сети я всегда проверяю, не защищены ли компьютеры пользователей межсетевым экраном NAT. Как правило, это не должно создавать никаких затруднений, но некоторые устаревшие межсетевые экраны работают с VPN-подключениями некорректно.
7. Проверьте, не вызваны ли проблемы системой защиты доступа к сети (NAP)
По замыслу Microsoft, технология защиты доступа к сети (Network Access Protection, NAP) помогает администратору обезопасить системные ресурсы от подключений с незащищенных компьютеров. В целом, механизм работает исправно, но иногда создает трудности для конечных пользователей.
Одна из проблем заключается в том, что защита доступа сети базируется на групповой политике, поэтому при попытке подключиться с компьютера, не входящего в домен, NAP срабатывает некорректно. В зависимости от конфигурации виртуальной частной сети, защита или проигнорирует несоответствие пользовательской системы установленным требованиям безопасности, или вовсе запретит пользователю доступ.
В соответствии с распространенным вариантом настройки NAP, компьютер, не соответствующий требованиям безопасности, подключается к изолированному сегменту VPN, который содержит ресурсы, необходимые для устранения обнаруженных несоответствий, причем порой — в автоматическом режиме. В такой ситуации пользователи чаще всего не понимают, что происходит, и думают, что сеть не работает.
8. Проверьте подключение к различным сетевым ресурсам
Если пользователи могут установить соединение, но этим все и ограничивается, следует систематически проверить подключение к различным сетевым ресурсам. При этом может обнаружиться, что некоторые из них недоступны.
Когда компьютер подключается к серверу VPN, он обычно получает IP-адрес от сервера DHCP. Однако мне приходилось сталкиваться с некорректными конфигурациями DHCP-сервера, из-за которых пользователи, получившие адреса в одном из диапазонов, не могли подключиться к удаленным сегментам сети.
9. Попытайтесь подключиться к сетевым ресурсам по IP-адресу, а не по имени сервера
Еще один вариант диагностики — попробовать подключиться к различным сетевым ресурсам, используя их IP-адреса вместо имен. Если с ранее недоступными ресурсами удается соединиться таким способом, почти наверняка проблема связана с конфигурацией DNS. В таком случае следует проверить, какой DNS-сервер указан в настройках VPN-клиентов.
10. Проверьте, не вызвана ли проблема низкой производительностью серверов
Иногда пользователям удается подключиться к виртуальной частной сети, но на очень низкой скорости. В таком случае необходимо проверить состояние инфраструктурных серверов, чтобы выяснить, не вызвано ли снижение скорости замедлением их работы.
Если серверы работают медленно, проблемы с сетью возникают, как правило, сразу у всех пользователей. Если же трудности испытывает только один сотрудник, скорее всего, это связано с его интернет-соединением. Недавно мне довелось пожить в гостинице, где подключение к Интернету было настолько медленное, что даже почту проверить было невозможно. Если бы в такой ситуации оказался конечный пользователь, он наверняка бы предположил, что с гостиничным Интернетом все в порядке, а виноват VPN-сервер.
