23. april 2008 - 11:05Der er
13 kommentarer og 1 løsning
To VPN servere
Kan det lade sig gøre at have to VPN servere på samme IP, fx: 1 - En router med en VPN server og bagved denne router en windows 2003 maskine med en vpn server 2 - En router uden en VPN server og bagved denne to windows 2003 maskiner med hver deres VPN server.
VPN forbindelsen skal helst køre med pptp.
Jeg har tænkt lidt på om man kan styre hvilke porte der benyttes til de to VPN forbindelser, men er lidt på bar bund om hvorledes det overhovedet kan lade sig gøre eller ej.
Du kan ikke have to enheder med samme IP adresse, men
Du kan have følgende sætups.
Internet---router---VPNgateway---alle de servere du ønsker eller Internet---router----servere der tilgås som VPN klienter
Det er lidt vanskeligt at se hvad du ønsker, prøv evt at lave en tegning hvor du viser hvilke forbindelser du ønsker krypteret, du kan nemlig sagtens køre VPN i PVP selvom det ikke er særligt effektivt når vi taler software VPN
Jeg prøver at forklare min situation lidt bedre her:
Jeg har to windows 2003 servere der hver især er domain controller for henholdvis firma A og firma B. De er fysisk koblet til den samme internet forbindelse. Det jeg så ønsker er en mulighed for at oprette en VPN forbindelse til hver af de to servere. Således at firma A's medarbejdere oprette en VPN forbindelse til firma A's domain controller og firma B's medarbejdere kan oprette en forbindelse til firma B's medarbejdere.
som det er nu har jeg opsat en VPN server vha RRAS på de to servere.
Hvilken type internet forbindelse? Er serverne på samme LAN?
Kort sagt, nej - det kan ikke lade sig gøre(Set udfra "Best Practice")
Eftersom du siger at de deler WAN, og taler om router - antager vi at begge servere er bag samme router (SOHO -Lig samme WAN adresse). Så kan du forwarde i routeren: Fra eksternt (port 1724) til intern server1 (port 1723) Fra eksternt (port 1725) til intern server2 (port 1723)
På den måde kan det godt lade sig gøre, hvis du i klienten har mulighed for at angive port - jeg tvivler lidt, da PPTP (Går udfra at det er denne protokol du benytter) som standard benytter port 1723.
Ellers skal du have fat i en ekstra ip adresse, og så kan det lade sig gøre(Best Pratice).
Eftersom det er "to virksomheder", så kunne man jo bare sætte en ekstra router op(If keeping simple): ISP -> Modem -> Switch -> Router 1 (WAN: x.x.x.x /X, LAN: 192.168.1.1 /255.255.255.0) ISP -> Modem -> Switch -> Router 2 (WAN: y.y.y.y /y, LAN: 192.168.1.2 /255.255.255.0)
Disable DHCP, og så smid en switch i mellem de to routere(Hvis du ønsker at beholde et stort LAN) - og sæt statiske IP'er på serverne :) Hvis du også skal bruge forbindelsen til privat, så nøjes du med kun at disable DHCP'en i den ene router :)
Det kan sagtens gøres på andre måder, og mere avancerede måder - men det har jeg på fornemmelsen at du ikke er interreseret i :) Ellers sig til :)
Husk at det kræver TDC Erhvevs Bredbånd, for at få flere statiske IP adresser.
Jeg har prøvet at lave en lille tegning over netværket. Umiddelbart tror jeg at jeg går efter løsningen med en switch mellem modem og de to routere. Men jeg har en lille udfordring idet at de to firmaer deler en netværksprinter.
Jeg ved ikke om jeg har forstået din tankegang, men her er hvad jeg har kunnet finde frem til: http://trustus.com/billede1.gif
Der er dog bare det problem, at du ikke "bare" kan have 192.168.120.0 og 192.168.130.0 bag dine servere(netkort2). Din router skal kende vejen til disse netværk(via serverne), og det kræver at dine servere kan route mellem 192.168.1.0 og hhv. 192.168.120.0 /192.168.130.0
Så, fix noget routning på dine servere og smid nogle statiske router ind i din linksys router - det burde virke :) 192.168.1.0 skal kende vejen til 192.168.120.0- Det gør den via 192.168.1.10 192.168.1.0 skal kende vejen til 192.168.130.0- Det gør den via 192.168.1.11
Jeg har siddet og eksperiemteret lidt med RRAS, der har jeg sat serveren og til NAT og VPN via en wizard :-) Her har jeg prøvet at sætte netkort1 til at være interfacet der konnekter serveren til internettet og netkort2 til lokalt netværk. Hvis vi tager udgangspunkt i server1 bør denne så ikke nu kunne route mellem netværket 192.168.120.0 og 192.168.1.0 ? Efter denne operation bør jeg vel fra en klient på 192.168.120.0 netværket kunne pinge en PC/printer på 192.168.1.0 netværket? Eller er det forkert opfattet?
Hvad er årsagen til at routeren bør kende vejen til 192.168.120.0 og 192.168.130.0, er det ikke nok blot at de to routere forwarder port 1723 til henholdsvis 192.168.1.10 og 192.168.1.11?
Routeren skulle kende vejen til 192.168.120.0 og 192.168.130.0 pga. printeren befinder sig i 192.168.1.0 - men eftersom du har konfigureret NAT, så er dette ligemeget :)
Så det er rigtigt opfattet. NAT bruger man normalt ikke internt - havde du ikke brugt NAT, så skulle den kende ruterne for at opnå reachability.
Jamen så tror jeg at jeg er ved at være ved vejs ende. Det er ikke fordi vi skal gå i detaljer med en anden løsning, men du skriver længere oppe at det måske kan gøres på andre mere avancerede måder, hvilke måde kunne det fx være? Og er den løsning jeg har nu helt hen i skoven?
En anden løsning, kunne være en Cisco router med 4 interfaces (l3/vlan baseret). 1 interface til WAN. 3 interfaces til LAN. - WAN: 2x subinterfaces (med hver deres public assignet IP) LAN-1: Administration (administrator+printere) LAN-2: Firma-1 (Klienter+Server1) LAN-3: Firma-2 (Klienter+Server2) +en bunke access-lister og nat lister.
Jeg syntes din løsning er fin nok, set udfra at vi ikke taler om et netværk til 10k :) Du skal sikkert kunne finde en enhed fra fx. Zyxel der kan det samme, men det skal jeg ikke kunne udtale mig om.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
Ny bruger
Nybegynder
Opret
Preview
