VPN客户端不能访问VPN服务器以外的资源故障

10.10.1  远程访问VPN连接实用经验和故障排除 
2．问：为什么VPN客户端不能访问VPN服务器以外的资源？
答：出现这种现象，其原因也可能是多方面的，下面也分别加以分析和解决方法的介绍。
（1）远程访问VPN客户端使用的LAN协议不允许访问VPN服务器连接的网络。
如果是这种原因，则重新配置远程访问VPN客户端使用的LAN协议，以允许对VPN服务器所连接的网络进行访问。也可能是受VPN客户在公司网络中的权限限制所致，需重新在VPN所在网络上配置对应的VPN客户权限。
（2）已经配置静态IP地址池，但是没有路由返回到远程访问VPN客户端。
解决方案：如果VPN服务器配置为使用静态IP地址池，请验证Intranet的主机和路由器可以访问到由该静态IP地址池定义的地址范围的路由。如果没有，则由静态IP地址池的地址范围组成的IP路由（由该范围的IP地址和掩码定义）必须添加到Intranet路由器，或者必须启用VPN服务器上路由基础结构的路由协议。如果到远程访问VPN客户端子网的路由不存在，远程访问VPN客户端将无法从Intranet接收通信。网络路由通过静态路由入口或者通过路由协议来实现，例如开放式最短路径优先（OSPF）或路由信息协议（RIP）。
如果VPN服务器配置要使用DHCP来分配IP地址，但没有可用的DHCP服务器，则VPN服务器将从“自动专用IP寻址（APIPA）”地址范围（从169.254.0.1到169.254.255.254）中分配地址。只有连接VPN服务器的网络也使用APIPA地址，才可以为远程访问客户分配APIPA地址。
如果VPN服务器要在DHCP服务器可用时使用APIPA地址，请验证是否选择了要获得DHCP分配IP地址的正确适配器。在默认情况下，VPN服务器随机选择通过DHCP获取IP地址的适配器。如果存在多个LAN适配器，路由和远程访问服务可能会选择没有可用的DHCP服务器的LAN适配器。
如果静态IP地址池包含一系列VPN服务器所连接的网络的IP地址范围的子集，请验证静态IP地址池的IP地址范围没有通过静态配置或DHCP指派给其他TCP/IP节点。
静态IP地址池的创建参见图10-14和图10-15两个对话框。
（3）远程访问策略配置文件中的数据包筛选器阻止IP通信流。
解决办法是验证在VPN服务器（如果使用Internet验证服务，则是RADIUS服务器）的远程访问策略配置文件属性，发现没有配置TCP/IP数据包筛选器阻止发送或接收TCP/IP通信。
可以用远程访问策略来配置TCP/IP输入和输出数据包筛选器，这些筛选器控制着由VPN连接许可的TCP/IP通信的准确性质。验证配置文件TCP/IP数据包筛选器不阻止需要的流量。