在中国和日本分别架设一个ROS路由器,CLIENT ROS和SERVER ROS,SERVER ROS放在日本,做一个VPN的PPTP服务器端,CLIENT ROS放在中国,做PPTP的客户端,实现192.168.2.0/24网段的用户可以通过VPN专线访问服务端的192.168.1.0/24网段,但访问公网网段的时候走默认网关。
小结:1.将两地网络从整体上看待,两地内网IP段不能相同。
2.暂时不考虑通过VPN专线访问日本其它网站。
一.网络拓扑结构
1.服务器端WAN口IP:10.6.2.55/24, LAN口IP:192.168.1.1/24其它全部默认配置。
2.服务器端PC机的IP:192.168.1.2/24,GATEWAY:192.168.1.1。
3.客户端WAN口IP:10.6.2.148/24,LAN口IP:192.168.2.1/24,其它全部默认配置。
4.客户端PC机的IP:192.168.2.2/24,GATEWAY:192.168.2.1。
三.实验测试操作:
小注:服务器端的ROS ID为SERVER,客户端的ROS ID为CLIENT。
为了能使客户端PC能控制服务器端的ROS,先设置地址伪装,以便使客户端的PC能访问WAN口网段的机子。
CLIENT ROS初始路由表
SERVER ROS初始路由表
我们先来配置SERVER ROS的PPTR SERVER
点击PPTP Server选项。 增加PPP Secret帐号,填入相关属性。 增加PPP Interfaces
设置CLIENT端的PPTPl-CLIENT拨号程序:
拨号接入后ping VPN链路服务器端接口IP的截图.
PC机ping服务器链路接口。
客户端的ROS增加一条指向服务器ROS的内网的路由。
测试结果表明数据包通过VPN链路发送。
服务器ROS增加指向客户端ROS的路由。
测试结果表明发送给192.168.2.0/24网段的数据包经虚拟链路传送。
在客户端的PC上测试到服务器端PC的连接情况。
在服务器端增加一条路由到客户端的ROS,以便上网。
测试环境建立完成。
试验1:改变路由设置,增加两条默认路由,但指定一条只能走到目的地内网的IP包。
设置Mangle中的mark routing。
增加默认路由。
Disable原来的静态路由,路由表如上所示。
客户端PC上的测试结果显示结果正确。
问题:有时候这样设置路由不稳定,只能改回192.168.1.0/24 GW:10.0.1.1 这样的路由。
试验2: 不再走VPN,走公网。 测试结果。
这时候出现问题:服务器端PC IP不能ping通客户端PC IP,客户端PC能ping通服务器端PC ip。
将试验2的配置还原,故障依旧,检查路由表无误,PC1能ping通服务器ROS,服务器ROS能ping通PC2,但PC1不能ping通客户端ROS和PC2。
将路由设置为右边那条,网络回复正常。
新问题:
当CLIENT ROS通过VPN连接到SERVER ROS后,客户端PC如何才能建立与SERVER ROS的VPN连接,即网络中同时存在两条VPN线路,并且客户端PC仍能正常通过本地ROS服务器访问外网。
在本地ROS设置为masquerade的情况下,不能同时建立两条VPN,需关闭。
其中一个方法:
在CLIENT ROS的WAN口增加一个IP地址
如上图设置地址转换模式。
结果:能同时拨号建立VPN链路,但客户端PC不能上网,原因估计是PC两条默认路由但只走其中一条VPN链路。
解决方法:在服务器端ROS设置地址转换。(晕,问题越来越多,方法千其白怪,感觉功能实现了,规范性倒没有)。
当没开启gre和pptp服务端口的时候,并不能同时接入两条VPN线路,为PC端的拨号响应截图。
在防火墙的连接情况列表中可以看到,PC机不断跟VPN服务器进行tcp连接请求,由于ROS现在只能通过一个47(gre)协议链接,即使ROS之间的VPN链路断开,但连接状态还没有释放,可以手动释放链接,客户端PC才能拨入VPN服务器。
操作:将上图的gre和pptp服务打开。
在SRC-NAT,MASQUERADE地址转换模式下可以同时接入来自同一地址的两条VPN线路。
(完)
本文来自: 网管文章(www.wgtool.com) 详细出处参考:http://www.wgtool.com/817.html