在AD 環境下, 我有兩台 Windows 2008 Enterprise edition

分別為PC1 , PC2 各有兩張網卡

PC 1 IP 192.168.1.217
IP 10.100.100.21 (heartbeat)

PC 2 IP 192.168.1.218
IP 10.100.100.22 (heartbeat)

Cluster IP 192.168.1.220

我在 pc1, pc 2台各設定 pptp vpn + nat

PC1 nat 分派的ip 為 10.101.101.1 ~ 100
PC2 分派的IP 10.102.102.1 ~ 100

兩台都可以正常讓CLIENT 透過 192.168.1.218 , 192.168.1.219 IP 及 internet ip做 VPN 連線

NLB 設定為multicast
Cluster ip 在內網 vpn 是ok的, 但透過外部ip
連接vpn cluster ip 192.168.1.220 在驗證使用者帳號 之前就掛了 ,
radius 沒有連線記錄
但透過 217, 218 ip 都沒問題 .

目前看到一個解決的方式 ,如下
重點來了
請問它說的靜態arp 及proxy 怎麼設定? 有沒有設定的範本讓我參考
比方我應該在juniper firewall 設定就好還是 要在swtich , router , load balance 也都要設定呢? 網路圖如下
由Load balance -> Firewall -> cisco router -> Switch -> PC
ARP Table
192.168.1.217 00-0c-29-b1-cd-26 動態
192.168.1.218 00-0c-29-28-cb-12 動態
192.168.1.220 03-bf-c0-a8-01-dc 動態 -> Cluster IP

當您使用 ping 從外部網路存取叢集的 IP 位址時，未得到回應。
請確認您可以使用 ping 從路由器以外的電腦存取叢集主機的固定 IP 位址。若此測試失敗，而您使用多張網路介面卡，則此問題與 NLB 無關。若您針對固定與叢集 IP 位址使用單一網路介面卡，請考量下列因素：

原因：若您使用多點傳送支援，則您的路由器可能無法使用位址解析通訊協定 (ARP) 將主要 IP 位址解析為多點傳送媒體存取控制 (MAC) 位址。

解決方案：請確認您可以使用 ping 從叢集子網路上的用戶端存取叢集，以及從路由器以外的電腦存取叢集主機的固定 IP 位址。若這些測試都運作正常，可能是路由器有錯誤。您應可新增靜態 ARP 項目至路由器，以避免此問題。您也可以關閉 NLB 多點傳送支援，而使用無集線器的單點傳播網路位址。

原因：以多點傳送或單點傳播模式使用 NLB 時，路由器必須接受 Proxy ARP 回應 (在乙太網路架構中，以不同網路來源位址接收的 IP 網路位址對應)。

解決方案：確認您的路由器已開啟 Proxy ARP 支援。您也可以設定靜態 ARP 項目，將路由器中的 Proxy ARP 支援保持在停用狀態。

原因：叢集的網際網路控制訊息通訊協定 (ICMP) 已被路由器或防火牆封鎖。

解決方案：允許 ICMP 流量通過路由器或防火牆。請注意，這樣可能會使您的系統暴露在較高的安全性風險中。