當(dāng)VPN技術(shù)被眾多的企業(yè)所選用時(shí)，VPN路由設(shè)置就成為了一項(xiàng)必要環(huán)節(jié)，在VPN路由設(shè)置過(guò)程中我們可能遇到很多種問(wèn)題，其中無(wú)法訪問(wèn)外網(wǎng)是VPN路由設(shè)置中比較常見(jiàn)并且十分嚴(yán)重的一個(gè)問(wèn)題。其實(shí)探究原因，多數(shù)這種無(wú)法訪問(wèn)外網(wǎng)的狀況是由VPN路由設(shè)置不當(dāng)而引起的，本篇文章就通過(guò)逐步探究原因來(lái)解決公司無(wú)法訪問(wèn)外網(wǎng)的問(wèn)題。

（一）VPN客戶機(jī)不能訪問(wèn)外網(wǎng)的原因初探

我們知道，VPN客戶機(jī)是通過(guò)Internet連接到VPN服務(wù)器的，就是說(shuō)通過(guò)VPN對(duì)Internet的訪問(wèn)物理意義上說(shuō)是可以實(shí)現(xiàn)的。那么為什么會(huì)出現(xiàn)VPN連接建立后就不能訪問(wèn)外網(wǎng)的現(xiàn)象呢？出現(xiàn)了這種問(wèn)題，很多用戶都知道是路由表發(fā)生了變化，因此大家都通過(guò)在VPN連接的“高級(jí)TCP/IP設(shè)置”中取消“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”選項(xiàng)來(lái)達(dá)到訪問(wèn)外網(wǎng)的目的。這種方法雖然表面上看來(lái)可行，覺(jué)得解決了一個(gè)VPN路由設(shè)置問(wèn)題，但有所不知可能會(huì)帶來(lái)新的路由問(wèn)題，甚至給公司內(nèi)網(wǎng)帶來(lái)嚴(yán)重的安全隱患。大家想一下，我們采用VPN的最初目標(biāo)是為了保證安全，結(jié)果卻可能因?yàn)槭褂肰PN而讓整個(gè)公司網(wǎng)絡(luò)面臨外界攻擊的境地，那么這樣就背離了我們的初衷。

那么怎樣才能更好并且安全的解決這個(gè)問(wèn)題？以下我就先對(duì)VPN客戶端的路由做一個(gè)初探，使大家對(duì)這一個(gè)知識(shí)點(diǎn)有一個(gè)較為全面地了解。我們已經(jīng)通過(guò)分析認(rèn)為是VPN路由設(shè)置問(wèn)題，現(xiàn)在我們從VPN連接前后的路由表變化情況來(lái)找出問(wèn)題的癥結(jié)所在。大家可以邊根據(jù)我的說(shuō)明邊進(jìn)行實(shí)際操作，這樣在需要使用VPN遠(yuǎn)程訪問(wèn)的時(shí)候會(huì)留下更深刻的印象。在VPN沒(méi)有連接之前，輸入route?print命令，出現(xiàn)當(dāng)前的路由表項(xiàng)，然后連接上VPN，再次運(yùn)行route?print命令，比較前后兩次命令的區(qū)別?？梢钥吹?，在命令行窗口中連接后多出了幾條路由，比較重要的有兩條路由——在出現(xiàn)的結(jié)果ActiveRoutes下的第三行和第十行分別有一條（我稱(chēng)為route1）0.0.0.0???0.0.0.0???150.0.1.226??150.0.1.226????1；另一條（我稱(chēng)為route2）218.70.201.62??255.255.255.255??150.0.1.43??150.0.1.41??20，注意，各位網(wǎng)友的路由中部分IP也可能會(huì)略有不同。

這里route1的150.0.1.226是VPN客戶端從VPN服務(wù)器上獲得的IP地址，而route2的150.0.1.41是客戶機(jī)網(wǎng)卡的IP，218.70.201.62是VPN服務(wù)器的公網(wǎng)IP。你們還可以看出，最右側(cè)一列原來(lái)的路由metric值已經(jīng)增加了，而且高于新的路由route1的metric值，這樣原來(lái)的路由就失效了，現(xiàn)在起作用的是route1，它的metric值更低。那么到目前為止到Internet的訪問(wèn)就已經(jīng)使用了新的路由route1，這條路由把數(shù)據(jù)包交給VPN的計(jì)劃程序端口，然后VPN端口的數(shù)據(jù)再發(fā)送到遠(yuǎn)方的VPN服務(wù)器（route2），這個(gè)過(guò)程后會(huì)引起不能訪問(wèn)Internet上的站點(diǎn)，這就是前面所說(shuō)的VPN連接后不能訪問(wèn)外網(wǎng)的原因。

（二）如何實(shí)現(xiàn)對(duì)VPN數(shù)據(jù)包的封裝加密并安全傳輸?shù)倪^(guò)程

現(xiàn)在我們來(lái)看一下VPN客戶端的路由決策及數(shù)據(jù)包封裝的過(guò)程。眾所周知，VPN虛擬接口就是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)鏈路接口，當(dāng)VPN虛擬接口收到數(shù)據(jù)包時(shí)，它把從網(wǎng)絡(luò)層得到的數(shù)據(jù)包封裝成PPP點(diǎn)對(duì)點(diǎn)數(shù)據(jù)幀并進(jìn)行加密等操作，然后把它送到網(wǎng)關(guān)，這里的網(wǎng)關(guān)正是VPN客戶端自己，所以這個(gè)被封裝的PPP點(diǎn)對(duì)點(diǎn)數(shù)據(jù)幀又被返回給本機(jī)再次處理，這次處理其實(shí)就是再次封裝的過(guò)程。

那為什么要再次封裝？由于第一次封裝的幀只能通過(guò)虛擬的VPN接口，如果要把數(shù)據(jù)通過(guò)實(shí)際的接口進(jìn)行傳輸，還必須在實(shí)際的鏈路層上進(jìn)行再次封裝才行。而在最終封裝成鏈路層數(shù)據(jù)幀之前，需要對(duì)第一次封裝成的PPP數(shù)據(jù)幀進(jìn)行其他的多級(jí)封裝。因?yàn)橐?guī)范中是不能直接把PPP幀封裝在另一個(gè)鏈路層幀中的，需要在它們之間添加一些報(bào)頭，最簡(jiǎn)單的PPTP封裝就是在PPP幀前添加了一個(gè)GRE頭和IP頭。

在封裝到網(wǎng)絡(luò)層比如IP報(bào)頭的時(shí)候，這里需要進(jìn)行一次路由決策，這是由于數(shù)據(jù)包要明確地發(fā)送到遠(yuǎn)方的VPN服務(wù)器，它將尋找一條到達(dá)遠(yuǎn)方VPN服務(wù)器的路由。在VPN連接建立時(shí)就同時(shí)創(chuàng)建一條到達(dá)VPN服務(wù)器的路由（route2），再次封裝成PPTP格式或L2TP格式的IP數(shù)據(jù)包交給這條路由指定的接口進(jìn)行處理。如果是以太網(wǎng)接口，這個(gè)數(shù)據(jù)包就加上以太網(wǎng)報(bào)頭；如果是點(diǎn)對(duì)點(diǎn)，就加上點(diǎn)對(duì)點(diǎn)鏈路報(bào)頭，發(fā)送到物理網(wǎng)絡(luò)上。在此處，route2指定的接口是150.0.1.41，即是網(wǎng)卡接口，所以它將加上以太網(wǎng)幀頭，然后發(fā)送到物理網(wǎng)絡(luò)上去。

(三)對(duì)于使用VPN不能訪問(wèn)外網(wǎng)的解決方案

上面的三段我只想說(shuō)明一點(diǎn)：使用VPN連接，必須讓通過(guò)VPN連接傳輸?shù)臄?shù)據(jù)包先到達(dá)VPN虛擬接口進(jìn)行處理，如果繞過(guò)了VPN虛擬接口不處理的話，由于這個(gè)VPN連接的數(shù)據(jù)包沒(méi)有經(jīng)過(guò)加密措施就直接發(fā)送到了Internet上，那么你的VPN安全就根本沒(méi)有保證。

現(xiàn)在我們來(lái)看一下，在VPN連接后此時(shí)VPN客戶端的路由表。默認(rèn)路由沒(méi)有變，添加了一條VPN端口IP對(duì)應(yīng)的分類(lèi)網(wǎng)絡(luò)路由條目：150.0.0.0?????255.255.0.0????150.0.1.226????150.0.1.226????1。假設(shè)現(xiàn)在通過(guò)VPN連接訪問(wèn)遠(yuǎn)程公司內(nèi)網(wǎng)的192.168.0.0/24子網(wǎng)，根據(jù)上面的路由表，匹配的路由只有第一條默認(rèn)路由。默認(rèn)VPN路由設(shè)置是通過(guò)本地網(wǎng)卡到達(dá)網(wǎng)關(guān)后直接發(fā)送到192.168.0.0/24去的，因?yàn)镮nternet上的路由器不會(huì)轉(zhuǎn)發(fā)到達(dá)私有網(wǎng)絡(luò)的數(shù)據(jù)包，這樣就可以達(dá)到外界不能訪問(wèn)公司內(nèi)網(wǎng)、保證內(nèi)網(wǎng)安全的目的。因此選中了“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”選項(xiàng)，采用了默認(rèn)路由，就不會(huì)出現(xiàn)前面所說(shuō)的路由問(wèn)題和安全問(wèn)題。
 

【編輯推薦】

1. 企業(yè)VPN應(yīng)用簡(jiǎn)單概要
2. 企業(yè)VPN應(yīng)用簡(jiǎn)單概要
3. 簡(jiǎn)析三種VPN部署模式
4. 八種企業(yè)使用VPN的優(yōu)勢(shì)
5. 哪些用戶適合采用VPN進(jìn)行網(wǎng)絡(luò)連接