網(wǎng)管員基礎知識：VPN接入故障巧解決

網(wǎng)友提問：

本人是企業(yè)的一名網(wǎng)絡管理員，企業(yè)規(guī)模比較大，在國內(nèi)多個省市都有分支機構(gòu)，企業(yè)的性質(zhì)屬于金融業(yè)，因此很多內(nèi)網(wǎng)應用與服務都需要適當?shù)谋Ｃ?。在實際工作中我們通過VPN設備實現(xiàn)將遠程分支機構(gòu)連接到內(nèi)網(wǎng)的功能，通過VPN設備完成內(nèi)網(wǎng)接入服務。不過在實際接入中卻出現(xiàn)了在遠程計算機VPN客戶端無法順利連接到VPN設備并接入內(nèi)網(wǎng)。不管是使用默認的admin帳戶還是自己重新建立的員工帳戶都無法連接。不知道這個原因是由什么造成的，希望專家可以幫助我解決此難題，本人使用的產(chǎn)品設備是Biguard公司的VPN安全設備S10。

解答：

一般來說要想順利的接入VPN安全設備，首先需要針對VPN安全設備特別是相應端口的IP地址進行配置，其次要建立相應的具備VPN遠程撥號接入的帳號，同時還要給予該帳戶一定的內(nèi)網(wǎng)應用權(quán)限。

如果在連接VPN安全設備出現(xiàn)超時或者網(wǎng)絡中斷等問題故障多來自于VPN相應端口IP地址等信息配置錯誤，如果提示帳戶權(quán)限不足或者連接后無法使用內(nèi)網(wǎng)資源，那么問題就出現(xiàn)在帳戶權(quán)限分配和權(quán)限指派上。

根據(jù)這位讀者描述在訪問遠程VPN安全設備并輸入相應具備接入權(quán)限帳戶信息后連接卻出現(xiàn)——“login failed! you have no permission to use standalone network extender”，這個錯誤提示的意思是該用戶沒有權(quán)限使用遠程撥號接入客戶端程序。因此我們就應該到VPN安全設備中尋找該帳戶對應的權(quán)限是否設置合理，經(jīng)過查詢才發(fā)現(xiàn)原來之前在建立softer帳戶時直接選擇了“啟動組設置”，該選項的意思就是該帳戶的所有權(quán)限都繼承上級用戶組，帳戶屬于哪個組就嚴格按照該組的權(quán)限在VPN接入后進行分配。由于該用戶只建立了帳戶而沒有給予其所在組分配相應的訪問權(quán)限，所以在遠程連接時就會出現(xiàn)上述錯誤提示。

要想順利解決此問題可以從兩個方面實現(xiàn)，其一是編輯帳戶信息將“組設置”選擇為“關閉”，這樣每個帳戶都將按照自己的權(quán)限進行分配，而不再繼承用戶組的設置信息。關閉組設置后我們就可以針對softer帳戶使用的網(wǎng)上鄰居，network exterder服務，transport extender服務等等應用做具體設置了，從而解決上述問題保證softer帳戶順利連接VPN安全設備并通過帳戶驗證。當然我們直接針對softer所在組進行權(quán)限劃分也可以實現(xiàn)上述功能，具體如何操作就要看各位讀者的實際情況了。

除了帳戶權(quán)限問題外有時我們通過默認管理員帳戶連接遠程VPN安全設備也會出現(xiàn)“LOGIN error access denied:not allowed to login from WAN”的提示，這是因為默認情況下出于VPN設備的安全考慮都沒有開啟WAN接口的管理員登錄權(quán)限，自然管理員帳戶無法通過遠程直接連接VPN設備。同樣有兩種方法解決此難題，第一是先通過其他帳戶連接VPN設備接入內(nèi)容，然后再在內(nèi)網(wǎng)中通過HTTP或其他管理工具連接VPN設備，達到進入管理界面設置必要參數(shù)的目的。而另外一種方法則是事先在VPN設備中開啟遠程接入與管理權(quán)限，一般該設置在“高級設置”->“遠程訪問”下，我們將默認的關閉遠程配置修改成“啟動遠程入口及遠程配置”，這樣我們就可以通過admin帳戶在遠程計算機直接登錄VPN設備了。當然為了安全我們可以指定具備遠程連接權(quán)限的地址信息，由于篇幅關系這方面的內(nèi)容與操作方法請各位感興趣的讀者自行研究。只有設置了合理的權(quán)限，我們才能夠順利的在遠程客戶機上通過普通帳戶或管理帳戶連接VPN安全設備進行相應的內(nèi)網(wǎng)接入與權(quán)限管理工作。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū) 

◆企業(yè)網(wǎng)管員如何監(jiān)控公司網(wǎng)絡健康運行

◆網(wǎng)管員技巧：網(wǎng)絡監(jiān)控軟件的部署經(jīng)驗

◆網(wǎng)管軟件的成長之路還有多長

◆IT運維管理專區(qū)