串接VPN網路 - Mobile01

qasnet

qasnet
個人積分：0分
文章編號：64896572

0分

樓主

2017-06-29 19:37

請教如圖 VPN 1.2.3是以經串起來的網路...彼此互通
VPN 3區網內的PC 可以經過ROUTER 連到VPN4
但如果在VPN2連VPN4
是不是只要指定靜態路由從ROUTER走就好?

串接VPN網路

2017-06-29 19:37 發佈

文章關鍵字 vpn網路

fonzae

fonzae
個人積分：336分
文章編號：64896749

336分

2樓

2017-06-29 20:00

qasnet wrote:
請教如圖 VPN 1...(恕刪)

vpn4不是vpn吧

vpn只要做起來，兩邊子網都會認到
若你敘述是正確的

vpn3可以直接連vpn4
不透過vpn，單純直連

代表vpn3跟vpn4只是單純內網網段

vpn2認得到vpn3，卻不知道vpn4的網段
你要在vpn2跟vpn4的網路設備加上兩邊的路由，才能認到雙方

qasnet

qasnet
個人積分：0分
文章編號：64897083

0分

樓主

2017-06-29 20:40

fonzae wrote:
vpn4不是vpn吧...(恕刪)

VPN1/2/3屬於一家企業A VPN4是另外一家B

現在我在VPN3的區網裡，每台PC都設
ROUTE add 172.25.14.1 mask 255.255.255.255 10.10.101.99 -p

所以VPN3的電腦連到遠端的172.25.14.1(B企業的遠端SERVER)是OK的

TRACERT的結果會是
tracert 172.25.14.1

10.10.101.99
172.16.100.100
...
...
...
172.25.1.4

但同樣的設定
到VPN2時
只會
10.10.102.254
172.25.14.1

就沒了

不會經由10.10.101.99連出去
所以連不到VPN4的遠端主機

fonzae

fonzae
個人積分：336分
文章編號：64897493

336分

4樓

2017-06-29 21:22

qasnet wrote:
VPN1/2/3屬於...(恕刪)

沒人會這樣改

你這樣只有改pc端
通常雙方網路設備加vpn，都會加路由

這樣雙方都認得到內網網段

若你要讓vpn2到vpn4能過

根本不需要經過vpn3
直接vpn2到vpn4即可

這樣比你解兩層vpn還快

但我認為你們網路架構是有問題的
通常vpn的目的是為了兩地內網互通

qasnet

qasnet
個人積分：0分
文章編號：64898716

0分

樓主

2017-06-29 23:12

fonzae wrote:
沒人會這樣改你這樣只...(恕刪)

這案子有點特殊

A公司的三個地點距離很遠，只能用VPN來相通
但端末設備需要去B公司進行授信的動作
B公司只申請了一條VPN....下車地點在VPN3的區段
他以為VPN1/2/3是相通的....只要一條來就行

殊不知A公司其實有VPN5的地點....IP剛好跟B公司的VPN給定的虛擬IP一樣
當端末執行授信時，一出VPN2就被導到VPN5去

明天請中華電定隔絕除了VPN1/2/3互通以外的路...不知道行不行
不行就只能請B公司在拉兩條線到VPN1/2的區域去

這不是要兩家公司戶設成內網...只要端末設備要去授信而已

fonzae

fonzae
個人積分：336分
文章編號：64898824

336分

6樓

2017-06-29 23:21

qasnet wrote:
這案子有點特殊A公司...(恕刪)

就算是端末設備，也是為了讓兩端設備知道往那走，跟對端內網做認證

再來你說多了一個vpn5的內網網段互衝
只要你不建立路由，是不會通信

除非剛好同個端末設備需要連接同網段
但這種的處理方法，是vpn端連線要改成另一內網網段(DMZ)，然後在導進內網網段

這概念才正確，不然你遇到衝突網段不就等著GG

qasnet

qasnet
個人積分：0分
文章編號：64898993

0分

樓主

2017-06-29 23:39

fonzae wrote:
就算是端末設備，也是...(恕刪)

路由當然是有...VPN3有一台ROUTER是指去VPN4的..就算這台升級成雙WAN的版本...也只是省掉在每台端末下ROUTE ADD ... VPN2去的路仍然無解....除非B公司那邊改程式...把授信IP改成ROUTER....在從router作nat去vpn4....

我這樣的理解不知道對不對....

另外...我去研究一下dmz....沒用過@@
==========

剛去看了一下...dmz是把server丟出lan....放在wan的位置上當wan用(這理解不知道對不對)
可是nat的功能不是一樣的嗎?...只是一個要加port...一個是整台電腦所有的port
那麼
dmz host= 192.168.0.99
跟 nat 192.168.0.99 1~65535 port tcp/upd 是一樣的功效阿

fonzae

fonzae
個人積分：336分
文章編號：64899574

336分

8樓

2017-06-30 0:51

qasnet wrote:
路由當然是有...VPN3...(恕刪)

不要侷限在一個網段...
dmz可以拿別的網段來設定功效，一樣可以做你所說的授信
只是dmz的作用都會拿來當做開放網段...
相對不一定要用自身網段，可以創建一個內網，專門用於dmz

因為你現在有跟別人衝突網段..

qasnet

qasnet
個人積分：0分
文章編號：65326555

0分

樓主

2017-08-07 2:31

fonzae wrote:
不要侷限在一個網段....(恕刪)

感謝您的回應...後來問題解決了
解決的方案是，通通走INTERNET，開一個實體IP，再連進VPN4/VPN5/VPN6/VPN7...
不過用的設備有點小貴就是了...