Avatar billede madox Nybegynder
23. april 2008 - 11:05 Der er 13 kommentarer og
1 løsning

To VPN servere

Kan det lade sig gøre at have to VPN servere på samme IP, fx:
1 - En router med en VPN server og bagved denne router en windows 2003 maskine med en vpn server
2 - En router uden en VPN server og bagved denne to windows 2003 maskiner med hver deres VPN server.

VPN forbindelsen skal helst køre med pptp.

Jeg har tænkt lidt på om man kan styre hvilke porte der benyttes til de to VPN forbindelser, men er lidt på bar bund om hvorledes det overhovedet kan lade sig gøre eller ej.
Avatar billede bufferzone Praktikant
23. april 2008 - 14:58 #1
Du kan ikke have to enheder med samme IP adresse, men

Du kan have følgende sætups.

Internet---router---VPNgateway---alle de servere du ønsker
eller
Internet---router----servere der tilgås som VPN klienter

Det er lidt vanskeligt at se hvad du ønsker, prøv evt at lave en tegning hvor du viser hvilke forbindelser du ønsker krypteret, du kan nemlig sagtens køre VPN i PVP selvom det ikke er særligt effektivt når vi taler software VPN
Avatar billede madox Nybegynder
23. april 2008 - 22:27 #2
Jeg prøver at forklare min situation lidt bedre her:

Jeg har to windows 2003 servere der hver især er domain controller for henholdvis firma A og firma B. De er fysisk koblet til den samme internet forbindelse. Det jeg så ønsker er en mulighed for at oprette en VPN forbindelse til hver af de to servere. Således at firma A's medarbejdere oprette en VPN forbindelse til firma A's domain controller og firma B's medarbejdere kan oprette en forbindelse til firma B's medarbejdere.

som det er nu har jeg opsat en VPN server vha RRAS på de to servere.
Avatar billede sameaim Nybegynder
25. april 2008 - 08:09 #3
Hvilken type internet forbindelse?
Er serverne på samme LAN?

Kort sagt, nej - det kan ikke lade sig gøre(Set udfra "Best Practice")

Eftersom du siger at de deler WAN, og taler om router - antager vi at begge servere er bag samme router (SOHO -Lig samme WAN adresse).
Så kan du forwarde i routeren:
Fra eksternt (port 1724) til intern server1 (port 1723)
Fra eksternt (port 1725) til intern server2 (port 1723)

På den måde kan det godt lade sig gøre, hvis du i klienten har mulighed for at angive port - jeg tvivler lidt, da PPTP (Går udfra at det er denne protokol du benytter) som standard benytter port 1723.

Ellers skal du have fat i en ekstra ip adresse, og så kan det lade sig gøre(Best Pratice).
Avatar billede madox Nybegynder
25. april 2008 - 09:42 #4
Hvordan vil det fungere hvis jeg får fat i en ekstra IP. Jeg har nu en TDC forbindelse hvorpå jeg har sat en billig linksys router.

Hvilket udstyr har jeg behov for hvis jeg får en ekstra IP? Kan man nøjes med at have en enkel router der har to wan ip'er eller hvordan fungerer det?
Avatar billede sameaim Nybegynder
25. april 2008 - 10:05 #5
Eftersom det er "to virksomheder", så kunne man jo bare sætte en ekstra router op(If keeping simple):
ISP -> Modem -> Switch -> Router 1 (WAN: x.x.x.x /X, LAN: 192.168.1.1 /255.255.255.0)
ISP -> Modem -> Switch -> Router 2 (WAN: y.y.y.y /y, LAN: 192.168.1.2 /255.255.255.0)

Disable DHCP, og så smid en switch i mellem de to routere(Hvis du ønsker at beholde et stort LAN) - og sæt statiske IP'er på serverne :)
Hvis du også skal bruge forbindelsen til privat, så nøjes du med kun at disable DHCP'en i den ene router :)

Det kan sagtens gøres på andre måder, og mere avancerede måder - men det har jeg på fornemmelsen at du ikke er interreseret i :)
Ellers sig til :)

Husk at det kræver TDC Erhvevs Bredbånd, for at få flere statiske IP adresser.
Avatar billede madox Nybegynder
25. april 2008 - 15:27 #6
Jeg har prøvet at lave en lille tegning over netværket. Umiddelbart tror jeg at jeg går efter løsningen med en switch mellem modem og de to routere. Men jeg har en lille udfordring idet at de to firmaer deler en netværksprinter.

Jeg ved ikke om jeg har forstået din tankegang, men her er hvad jeg har kunnet finde frem til:
http://trustus.com/billede1.gif
Avatar billede madox Nybegynder
25. april 2008 - 15:28 #7
og med printeren
http://trustus.com/billede2.gif

Men kan det lade sig gøre at lave det på denne måde? Eller er der en anden smartere måde?
Avatar billede sameaim Nybegynder
25. april 2008 - 16:15 #8
Du har forstået det korrekt.

Der er dog bare det problem, at du ikke "bare" kan have 192.168.120.0 og 192.168.130.0 bag dine servere(netkort2).
Din router skal kende vejen til disse netværk(via serverne), og det kræver at dine servere kan route mellem 192.168.1.0 og hhv. 192.168.120.0 /192.168.130.0

Så, fix noget routning på dine servere og smid nogle statiske router ind i din linksys router - det burde virke :)
192.168.1.0 skal kende vejen til 192.168.120.0- Det gør den via 192.168.1.10
192.168.1.0 skal kende vejen til 192.168.130.0- Det gør den via 192.168.1.11
Avatar billede madox Nybegynder
25. april 2008 - 18:23 #9
Jeg har siddet og eksperiemteret lidt med RRAS, der har jeg sat serveren og til NAT og VPN via en wizard :-) Her har jeg prøvet at sætte netkort1 til at være interfacet der konnekter serveren til internettet og netkort2 til lokalt netværk.
Hvis vi tager udgangspunkt i server1 bør denne så ikke nu kunne route mellem netværket 192.168.120.0 og 192.168.1.0 ?
Efter denne operation bør jeg vel fra en klient på 192.168.120.0 netværket kunne pinge en PC/printer på 192.168.1.0 netværket? Eller er det forkert opfattet?

Hvad er årsagen til at routeren bør kende vejen til 192.168.120.0 og 192.168.130.0, er det ikke nok blot at de to routere forwarder port 1723 til henholdsvis 192.168.1.10 og 192.168.1.11?
Avatar billede sameaim Nybegynder
25. april 2008 - 18:52 #10
Routeren skulle kende vejen til 192.168.120.0 og 192.168.130.0 pga. printeren befinder sig i 192.168.1.0 - men eftersom du har konfigureret NAT, så er dette ligemeget :)

Så det er rigtigt opfattet.
NAT bruger man normalt ikke internt - havde du ikke brugt NAT, så skulle den kende ruterne for at opnå reachability.
Avatar billede madox Nybegynder
25. april 2008 - 20:28 #11
Jamen så tror jeg at jeg er ved at være ved vejs ende.
Det er ikke fordi vi skal gå i detaljer med en anden løsning, men du skriver længere oppe at det måske kan gøres på andre mere avancerede måder, hvilke måde kunne det fx være? Og er den løsning jeg har nu helt hen i skoven?
Avatar billede sameaim Nybegynder
25. april 2008 - 21:09 #12
En anden løsning, kunne være en Cisco router med 4 interfaces (l3/vlan baseret).
1 interface til WAN.
3 interfaces til LAN.
-
WAN: 2x subinterfaces (med hver deres public assignet IP)
LAN-1: Administration (administrator+printere)
LAN-2: Firma-1 (Klienter+Server1)
LAN-3: Firma-2 (Klienter+Server2)
+en bunke access-lister og nat lister.

Jeg syntes din løsning er fin nok, set udfra at vi ikke taler om et netværk til 10k :)
Du skal sikkert kunne finde en enhed fra fx. Zyxel der kan det samme, men det skal jeg ikke kunne udtale mig om.
Avatar billede madox Nybegynder
28. april 2008 - 10:02 #13
Jamen så tror jeg blot jeg bliver ved den fundne løsning.

Mange tak for hjælpen. Kan jeg få dig til at skrive et svar.
Avatar billede sameaim Nybegynder
28. april 2008 - 11:12 #14
:)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester