公司網路遷移的vpn應用.
 

公司網路遷移的vpn應用.

先聲明.這個不是一個操作教程,這個是一個概念性的教程.

公司擴張的比較厲害.機器一下子400多了.都擠在兩棟大樓中..所以要搬遷了...
附件是公司的網路結構邏輯圖.

這次vpn本來要用isa2000+rras來做兩個vpn服務器的互聯(兩邊互播),但是實際使用過程中發現pptp在isa2000和rras整合的環境中容易
掉線(1分鐘一次),具體看:

isa2000 sp2啥時候出來啊....

--------------------------------------------------------------------------------

發現一個isa2000中vpn問題的解決方法...可惜...需要去和微軟的客服聯繫...慘...
http://support.microsoft.com/default...1&Product=ISAS

當用isa2000配合rras做vpn服務的時候就容易在連接一分鐘後掉線..慘...
今晚終於找到解決方法,可惜咳不公開下載,明天去打800...




Hotfix information
A supported hotfix is now available from Microsoft, but it is only intended to correct the problem that is described in this article. Only apply it to systems that are experiencing this specific problem. This hotfix may receive additional testing. Therefore, if you are not severely affected by this problem, Microsoft recommends that you wait for the next ISA Server 2000 service pack that contains this hotfix.

To resolve this problem immediately, contact Microsoft Product Support Services to obtain the hotfix. For a complete list of Microsoft Product Support Services phone numbers and information about support costs, visit the following Microsoft Web site:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS

Note In special cases, charges that are ordinarily incurred for support calls may be canceled if a Microsoft Support Professional determines that a specific update will resolve your problem. The usual support costs will apply to additional support questions and issues that do not qualify for the specific update in question.

http://www.be10.net/soft/srv.soft/is...831531-x86.exe

http://www.mcse.ms






而l2tp的方式,我又始終沒法配置ok,所以我只能試試softether了..還真好用.
只是softethe需要第三方的服務器作為中轉,沒關係就是一台服務器嘛..:)

在調試過程中遇到一個rras和softether的問題,幸好nickwolfe和 iamreal2的強力支持,終於完成..:)
在開啟rras服務的環境下進行softether連接的路由問題. --問題淺析及解決(視頻)

--------------------------------------------------------------------------------

首先的首先: 我沒有對這段capture做mask, 為了大家看的清楚, 也省自己的麻煩. 請大家不要以任何形式轉載或傳閱. 我不希望在ccf之外的地方看到自己錄的東西.

點擊觀看
http://152.226.68.151/rs3.html
rras中的靜態路由同cmd方式增加的-p方式的靜態路由可能不同.
因為之前我在做isa2000的vpn的時候發現,通過rras的靜態路由來增加本地的route表,不能使資料包正常通過...只有通過cmd方式新增的-p方式的靜態路由才能使兩個網段資料保正常交換.

iam2兄可以看看是否有這個情況...昨天下午可能時間太緊..我用cmd方式加的靜態路由(預設值閘道).但是沒有想到用rras方式來加靜態路由.....不知道這兩個是不是只是gui和cli的區別.

先貼上我的所有的路由表.



s10上的路由表:(上網服務器)
route add 192.168.6.0 mask 255.255.255.0 192.168.1.128
route add 192.168.7.0 mask 255.255.255.0 192.168.1.20
route add 192.168.8.0 mask 255.255.255.0 192.168.1.20
route add 192.168.9.0 mask 255.255.255.0 192.168.1.20
route add 192.168.2.0 mask 255.255.255.0 192.168.1.20
route add 192.168.3.0 mask 255.255.255.0 192.168.1.20

1.20上的路由表:(1.20的預設值閘道是192.168.1.10)
route add 192.168.7.0 mask 255.255.255.0 192.168.252.11
route add 192.168.8.0 mask 255.255.255.0 192.168.252.11
route add 192.168.9.0 mask 255.255.255.0 192.168.252.11
route add 192.168.2.0 mask 255.255.255.0 192.168.252.11
route add 192.168.3.0 mask 255.255.255.0 192.168.252.11
在rras中新增一條靜態路由
0.0.0.0 mask 0.0.0.0 192.168.1.10 本地連接頭


2.10上的路由表:(上網服務器s10n)
route add 192.168.7.0 mask 255.255.255.0 192.168.2.11
route add 192.168.8.0 mask 255.255.255.0 192.168.2.12
route add 192.168.9.0 mask 255.255.255.0 192.168.2.13
route add 192.168.5.0 mask 255.255.255.0 192.168.2.11
route add 192.168.1.0 mask 255.255.255.0 192.168.2.11
route add 192.168.6.0 mask 255.255.255.0 192.168.2.11
route add 192.168.254.0 mask 255.255.255.0 192.168.2.11
route add 192.168.3.0 mask 255.255.255.0 192.168.2.14


7.10上的路由表:(預設值閘道192.168.2.10)
route add 192.168.8.0 mask 255.255.255.0 192.168.2.12
route add 192.168.9.0 mask 255.255.255.0 192.168.2.13
route add 192.168.1.0 mask 255.255.255.0 192.168.252.10
route add 192.168.5.0 mask 255.255.255.0 192.168.252.10
route add 192.168.6.0 mask 255.255.255.0 192.168.252.10
route add 192.168.254.0 mask 255.255.255.0 192.168.252.10
route add 192.168.3.0 mask 255.255.255.0 192.168.2.14
在rras中新增一條靜態路由
0.0.0.0 mask 0.0.0.0 192.168.2.10 本地連接頭

8.10上的路由表:(預設值閘道192.168.2.10)
ip ro add 192.168.7.0/24 via 192.168.2.11 dev eth1
ip ro add 192.168.9.0/24 via 192.168.2.13 dev eth1
ip ro add 192.168.1.0/24 via 192.168.2.11 dev eth1
ip ro add 192.168.5.0/24 via 192.168.2.11 dev eth1
ip ro add 192.168.6.0/24 via 192.168.2.11 dev eth1
ip ro add 192.168.3.0/24 via 192.168.2.14 dev eth1
ip ro add 192.168.254.0/24 via 192.168.2.11 dev eth1


9.10上的路由表:(預設值閘道192.168.2.10)
route add 192.168.7.0 mask 255.255.255.0 192.168.2.11
route add 192.168.8.0 mask 255.255.255.0 192.168.2.12
route add 192.168.1.0 mask 255.255.255.0 192.168.2.11
route add 192.168.5.0 mask 255.255.255.0 192.168.2.11
route add 192.168.6.0 mask 255.255.255.0 192.168.2.11
route add 192.168.254.0 mask 255.255.255.0 192.168.2.11
route add 192.168.3.0 mask 255.255.255.0 192.168.2.14

3.10上的路由表:(預設值閘道192.168.2.10)
route add 192.168.7.0 mask 255.255.255.0 192.168.2.11
route add 192.168.8.0 mask 255.255.255.0 192.168.2.12
route add 192.168.1.0 mask 255.255.255.0 192.168.2.11
route add 192.168.5.0 mask 255.255.255.0 192.168.2.11
route add 192.168.6.0 mask 255.255.255.0 192.168.2.11
route add 192.168.254.0 mask 255.255.255.0 192.168.2.11
route add 192.168.9.0 mask 255.255.255.0 192.168.2.13



其實route表很容易理解的.簡單的說就是資料包的一個指路牌.拿最後一個3.10的服務器上的路由表來說,當一個包是訪問192.168.7.0這個網段的ip的時候,也就是這個資料報的目的地址是192.168.7.0網段的一個ip
的時候.資料包首先搜尋路由表,一條一條對下來,碰到第一條的時候,正好有她的記錄在第一條路由中,那麼她就按照路由表,被網卡發送到192.168.2.11這個主機上了.
如果一個資料包找遍了路由表,沒有發現和自己對應的條目,這時候資料包就會被發送到預設值閘道(default gateway)192.168.2.10,由預設值閘道來處理這個資料包.

簡單的說每一個資料包在從主機上發送出去的時候都會搜尋路由表,查到就按照路由表的說明送到指定的主機上,沒查到就送到預設值閘道上.

理解了這個含義後對應附件的邏輯圖,你就能很容易理解我為什麼這樣設置路由表了,開始有點麻煩.但是到後來就簡單了.
而且路由應該是雙向的.也就是說,如果你在vpn的一端設置了路由,那麼你就要在另一端設置對應的路由,這樣兩邊才能互通..

這裡解釋一下為什麼我除了在2.10上設置了對應7.0,8.0,9.0,3.0網段的路由條目後,又分別在7.10,8.10,9.10,3.10上設置這幾個網段的路由條目,
這是因為如果我不設置的話,所有這個網段間的相互通信都會通過預設值閘道,192.168.2.10來進行交換,因為在這幾個主機上沒有對應路由條目,這顯然是不合理的.所以在每個網段的router上加上其他網段的路由條目,能提高
網路的使用效率.

這裡還要解釋一下為啥8.10上的路由設置比較特別.因為8.10是一台linux.我用iproute2套件的ip命令來設置的.比用route命令更直觀..有點類cisco的簡寫方式.
實際的全長的命令應該是ip route add ......
如果大家有興趣可以檢視..http://bbs.et8.net/bbs/showthread.ph...light=iproute2

每個router主機上都有開啟rras服務.
isa2000配置vpn連接...
在isa2000的控制台中network configureation----->allow vpn client connections
ip pack filters-->右鍵內容--->pptp--->pptp through firewall(打勾)
rras中要在主機名--->右鍵內容--->一般--->用於局域網和請求撥號路由
然後在主機上建立一個用戶,並且用戶內容--->撥入--->允許訪問.
注:isa2000提供了一個vpn嚮導,實際上只是一個批量配置rras的腳本而已,通過上面的設置就能完成同樣的功能,而且完全都是自己控制,不再當白癡+傻子了.

vpn撥號後還能同時上網的設置參考.

然後手動在客戶端加靜態路由..

我有兩個網段,所以我加兩個靜態路由..

C:\>route -p add 192.168.1.0 mask 255.255.255.0 192.168.254.12

C:\>route -p add 192.168.5.0 mask 255.255.255.0 192.168.254.12


ok完成..vpn+上網兩不誤..




這裡來說明一下.為什麼新辦公地點的route表中都有一條針對192.168.254.x的路由條目,而舊辦公地點沒有.
這是因為這個vpn服務器是舊辦公地點的,而我的設想是設置以後的服務器都在2.x這個網段中,所以當外部用戶撥入vpn的時候,只要撥入舊辦公地點的vpn就能訪問所有的網段了.
而舊辦公地點的vpn的ip,我是設置成192.168.254.x這個網段.新辦公地點的vpn是192.168.253.x這個網段(實際上有點多餘,主要是維護調試的時候方便用:))


最後總結.這個方案最致命的地方是需要一個外部服務器.好像我沒講softether的設置...ccf中已經很多了.hoho...softether設置也是超簡單的..:),之所以要用一台linux是因為要利用linux超強的帶寬控制功能把下載狂人,弄到這個網段來管制...

非常有深度的文章，看懂這篇大概需花很多時間。