- بازدید : (644)
1 - دسترسی کاربران به فایل سرورها امکانپذیر نيست
اگر کاربران از طریق آدرس IP امکان دسترسی به فایل سرور را داشته باشند، اما با استفاده از نام سرور نتوانند با سرور ارتباط برقرار کنند، محتملترین دلیل، وجود ایراد در Name Resolution یا تشخیص نام است. تشخیص نام میتواند در نام هاست NetBIOS یا DNS مشکل ايجاد کند.
اگر سیستمعامل کلاینت به NetBIOS وابسته باشد، کلاینتهای VPN میتوانند از طریق سرور VPN آدرس سرور WINS را تعیین کنند، اما اگر سیستمعامل کلاینت ترجیحاً از DNS استفاده میکند، کلاینتهای VPN از طریق یک سرور DNS داخلی به نام سرور شبکه داخلی دسترسی پیدا میکنند.
هنگام استفاده از DNS برای تخصیص نامهای شبکه داخلی از توانايی کلاینتها برای تعیین صحیح نام دامینهای دارای مجوز شبکه سازمانی اطمینان حاصل کنيد. این مشکل اغلب زمانی بهوجود ميآيد که کامپیوترهای خارج از دامین برای دسترسی و استفاده از نام سرورهای موجود در شبکه داخلی، که پشت VPN قرار دارند، به استفاده از DNS اقدام ميکنند.
2 - کاربران نمیتوانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند
در بعضی مواقع کاربران میتوانند به سرور VPN راه دور متصل شوند، اما نميتوانند به هیچکدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمیتوانند نام هاست را شناسايی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند.
رایجترین دلیل وقوع این مشکل این است که کاربران به شبکهای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور VPN یکسان است. بهعنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی بهصورت 24/10.0.0.0 اختصاص یافته است.
حال چنانچه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آنگاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت VPN آدرس مقصد را بهصورت شبکهای محلی میبیند و اتصال شبکه راه دور را از طریق رابط VPN ارسال نميکند.
دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینتهای VPN اجازه دسترسی به منابع موجود روی شبکه سازمانی را بهدلیل قوانین تعیین شده از جانب فایروال نمییابند. راهحل این مشکل پیکربندی فایروال بهگونهای است که اجازه دسترسی به منابع شبکهای را به کلاینتهای VPN بدهد.
3 - کاربران نمیتوانند از پشت ابزارهای NAT به سرور VPN متصل شوند
اغلب روترهای NAT و فایروالها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP VPN پشتیبانی میکنند. هرچند برخی از فروشندگان طراز اول تجهيزات شبکهای، ويرايشگر NAT را در پروتکل PPTP VPN خود تعبیه نميکنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط VPN براي اتصال از طريق PPTP با شكست مواجه خواهد شد. البته، ممكن است با ديگر پروتكلهاي VPN كار كند.
همه ابزارهاي NAT و فايروالها در كار با پروتكلهاي VPN مبني بر IPSec از IPSec پشتيباني ميکنند. اين پروتكلهاي VPN شامل پيادهسازيهاي اختصاصي مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنين اين دسته از پروتكلهاي VPN ميتوانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پيمايش NAT يا (NAT Traversa) پشتيباني کنند.
چنانچه سرور و كلاينت VPN شما از پيمايش NAT پشتيباني کرده و كلاينت تمايل دارد از L2TP/IPSec براي اتصال به سرور سازگار با NAT استفاده کند، رايجترين دليل براي اين مشكل اين است كه كلاينت از سيستمعامل Windows XP SP2 استفاده ميكند.
سرويس پك 2 پيمايش NAT Traversal را روي كلاينتهاي L2TP/IPSec بهاصطلاح ميشكند. شما ميتوانيد اين مشكل را از طريق ويرايش رجيستري روي كلاينت VPN آنگونه كه در آدرس زير توضيح داده شده حل كنيد.
http://support.microsoft.com/default.aspx?scid=kb;en-us;885407 |
4 – كاربران از سرعت پايين شكايت دارند
سرعت كم يكي از مشكلاتي است كه برطرف کردن آن بسيار دشوار است. دلايل زيادي براي كاهش كارايي ارتباط VPN وجود دارد و نكته مهم آن هم اين است كه كاربران بتوانند توضيح دهند دقيقاً در زمان انجام چه كاري با افت كارايي و كاهش در سرعت روبهرو ميشوند.
يكي از عمدهترين موارد هنگام كاهش كارايي ارتباط VPN زماني است كه كلاينت در پشت شبكه DSL قرار گرفته و از پروتكل PPPoE استفاده ميکند. چنين ارتباطات شبكهاي معمولاً موجب بروز مشكلات مرتبط با MTU شده كه ميتوانند بر هر دو عامل اتصال و كارايي تأثيرگذار باشند. براي اطلاعات بيشتر درخصوص موارد مرتبط با MTU در كلاينتهاي ويندوزي به آدرس زير مراجعه کنيد.
http://support.microsoft.com/default.aspx?scid=kb;en-us;283165 |
5 – كاربران از طريق PPTP متصل ميشوند، اما امکان اتصال از طريق L2TP/IPSec وجود ندارد
PPTP پروتكل سادهاي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرمافزار كلاينت توكار VPN كه بههمراه تمام نسخههاي سيستمعامل ويندوز ارائه ميشود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد.
اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، بهسادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه بهطور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيدهتر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند.
تأييد اعتبار ماشين ميتواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبتشده صورت گيرد. اگر از كليد مشترك استفاده ميكنيد (كه معمولاً به دلايل امنيتي توصيه نميشود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده ميكنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟
6 – اتصال VPN سايتبهسايت برقرار ميشود، اما هيچ ترافيكي بين گيتويهاي VPN جابهجا نميشود
هنگامي كه يك ارتباط VPN سايتبهسايت بين سرورهاي RRAS ويندوزي ايجاد ميكنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكههاي متصلشده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده وهاستها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند.
عمدهترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راهحل آن نيز تغيير الگوي آدرسدهي IP روي يك يا هر دو شبكه بوده تا بهاين ترتيب، تمام شبكههاي متصلشده بهصورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.
7 – كاربران نميتوانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند
بهطور معمول سرور VPN و کلاينتها بهطور صحيح پيکربندي ميشوند تا بتوانند از مُد تونل IPSec يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN استفاده کنند و در نتيجه ارتباط با شکست مواجه ميشود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده ميكنيد، اما كلاينتهاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبهرو ميشوند.
دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماسهاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آنهابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيتوي VPN واحد مالتيپلكس كنند.
حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اينكه پيادهسازي VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكانپذير خواهد بود. اگر اينگونه نبود، از فروشنده درباره وجود Firmware براي بهروز رساني سؤال كنيد.
8 – كاربران نميتوانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند
برخي از اوقات كاربران مواردي را گزارش ميكنند كه در آن ذكر شده، ميتوانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش ميكنند، مشاهده ميكنند كه نميتوانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند.
دليل عمده براي اين مشكل اين است كه سرور VPN وروديهاي جدول روزمره را براي تمام IDهاي شبكههايي كه كاربر نميتواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راهدور نيستند.
راهحل اين مشكل پركردن جدول مسيريابي روي سرورVPN بهگونهاي است كه آدرس گيتوي تمام IDهاي شبكههايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.
9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند
در برخي مواقع كاربران نميتوانند پس از اينكه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اينحالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده ميشود كه نرمافزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيتوي پيشفرض خود پيكربندي شدهباشد. اين تنظيم، تنظيم پيشفرض نرمافزار كلاينت VPN مايكروسافت است.
از آنجا كه همه هاستها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت بهسمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN بهگونهاي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينتهاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبهرو خواهد شد.
راهحل اين مشكل پيكربندي سرور VPN بهگونهاي است تا به كلاينتها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروالها از چنين پيكربندي پشتيباني ميكنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيتوي پيشفرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناختهشده و خطرناك امنيتي محسوب ميشود، فعال خواهد کرد.
10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل ميشوند
يكي از خطراتي كه تمام سازمانهايي را كه اقدام به پيادهسازي امكانات دسترسي راهدور به سرور VPN ميکنند، تهديد ميكند، ايناست كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک ميگذارند. در بسياري از پيادهسازيهاي سرور VPN شما قادر خواهيد بود نهتنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.
اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راهحل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است.
بهعنوان مثال، شما ميتوانيد مجوز كلاينت كاربر را نيز بررسي كنيد. بهاين ترتيب، هيچ كاربر ديگري نميتواند با مجوز يك كاربر مجاز وارد شبكه شود. انتخاب ديگر استفاده از كارتهاي هوشمند، ابزارهاي بيومتريك و ديگر روشهاي دو فاكتوري تعيين هويت است.

- فارسی ساز ویندوز محبوب ۷ – نسخه ۳۲ و ۶۴بیت
- 10 نكته درباره Microsoft Share Point Services
- 10 نكته درباره ابزارهاي NETSH
- 10 نکته درباره DomainTrust اکتیودایرکتوری
- 10 نكته درباره امنيت ارتباطات بيسيم
- 10 نکته درباره رفع ایرادهاي اتصالات VPN
- 10 نکته درباره مدیریت پروژههای IT
- 10 نکته درباره فهرستهای کنترل دسترسی Cisco IOS
- 10 نكته درباره سرويس بهروزرساني ويندوز سرور
- 10 نکته درباره SQL Server 2005
پس به همین دلیل ازتون ممنون میشیم که سوالات غیرمرتبط با این مطلب را در انجمن های سایت مطرح کنید . در بخش نظرات فقط سوالات مرتبط با مطلب پاسخ داده خواهد شد .