我之前也碰到过完全一样的情况——VPN连接显示成功，但双方就是ping不通对方，折腾了好一阵才搞定。大概率是以下几个配置环节出了问题，你可以一步步排查：

1. 开启VPN服务器的IP路由转发功能 #

Windows默认是关闭IP路由转发的，这会导致VPN服务器无法把客户端的流量转发到本地网络，也没法接收本地网络返回给客户端的流量。

• 方法1：通过注册表开启
  按下Win+R输入regedit打开注册表编辑器，导航到：
  HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  找到IPEnableRouter键值，把它改成1（如果没有就新建一个DWORD类型的键值）。修改后重启电脑或者重启“路由和远程访问”服务生效。

• 方法2：通过命令行快速开启
  以管理员身份打开命令提示符，执行：

  reg add "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" /v IPEnableRouter /t REG_DWORD /d 1 /f
  net stop remoteaccess && net start remoteaccess
  

2. 检查防火墙规则是否放行VPN流量 #

Windows防火墙或者第三方安全软件很可能拦截了VPN的双向流量，这是最常见的原因之一。

• 临时关闭防火墙测试
  先暂时关闭Windows Defender防火墙（设置>更新和安全>Windows安全中心>防火墙和网络保护>关闭对应网络的防火墙），然后测试ping是否能通。如果能通，就需要手动添加防火墙规则：

  • 入站规则：允许PPTP（TCP 1723、GRE协议）或L2TP（UDP 500、1701、4500）的流量，以及VPN网段的ICMP（ping）流量。
  • 出站规则：同理，允许VPN网段的ICMP和VPN协议流量。

• 排查第三方防火墙
  如果你装了360、金山等安全软件，也要检查它们的防火墙设置，确保没有拦截VPN相关的端口和协议。

3. 确认VPN客户端的网关与路由设置 #

有时候客户端没有正确使用VPN网关，导致流量没走VPN通道。

• 启用默认网关（适合需要访问服务器本地全部网络的情况）
  在客户端的VPN连接属性里：

  1. 打开“网络”选项卡，选中“Internet协议版本4 (TCP/IPv4)”，点击“属性”。
  2. 点击“高级”，勾选“在远程网络上使用默认网关”，确定保存。

• 手动添加静态路由（适合只需要访问特定网段的情况）
  如果不想让所有流量都走VPN，可以手动添加路由。比如服务器本地网段是192.168.1.0/24，VPN服务器的VPN IP是10.0.0.1，在客户端以管理员身份执行：

  route add 192.168.1.0 mask 255.255.255.0 10.0.0.1 -p
  

  加上-p可以让路由重启后依然生效。

4. 验证VPN服务器的IP地址分配配置 #

如果VPN服务器分配的IP和本地网段冲突，或者地址池配置错误，也会导致互通失败。

• 检查IP地址池设置
  打开“路由和远程访问”控制台，右键点击你的VPN服务器，选择“属性”：
  1. 切换到“IPv4”选项卡，选择“指定IP地址范围”。
  2. 点击“添加”，设置一个和服务器本地网卡网段不同的子网，比如本地是192.168.1.x，VPN地址池就设为10.0.0.10-10.0.0.20，避免IP冲突。

5. 排查VPN服务器的适配器绑定问题 #

如果VPN服务器绑定了错误的网卡，也会导致流量无法正确转发。

• 确认绑定的网卡
  在“路由和远程访问”控制台的服务器属性里，切换到“适配器”选项卡，确保勾选的是你对外提供网络的物理网卡（比如连接路由器的网卡），而不是VPN虚拟网卡。

最后测试建议 #

如果以上步骤都试过了还是不行，可以用tracert命令排查流量走向：

• 在服务器上执行tracert 客户端VPN IP，看数据包在哪个环节中断。
• 在客户端上执行tracert 服务器VPN IP，对比结果找出问题点。

内容的提问来源于stack exchange，提问作者CJ Dennis