作者BIAO (超越自己)
看板Network
标题[问答] SoftEther VPN LAN to LAN Bridge失败..
时间Fri Jun 9 17:37:59 2017
各位板友大家好,
小弟近日想用SoftEther VPN建置LAN to LAN的VPN网路,
参考官网相关教学文:
https://www.softether.org/4-docs/2-howto
/1.VPN_for_On-premise/3.LAN_to_LAN_Bridge_VPN
环境架构:
有两台router分别透过同台中华电信小乌龟拨接,
获取不同的外网ip,其中A router内的某电脑建立Server,
B router内的某电脑建立Bridge。
目前遇到的状况是:
VPN Server能够被外网VPN Client连接,
VPN Bridge显示能够连接到VPN Serverhttp://imgur.com/a/dogBU,
但安装Bridge的电脑IP依旧显示B router DHCP所分配的IP,
虽然可正常上网,但无法满足所期望的功能,等於B router的Bridge貌似无效。
想请问板上先进前辈大大们,
是否能指点一二呢? 谢谢大家。
--
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.116.193.176
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1497001083.A.FD4.html
1F:→ deadwood: 你可以把你的期望效果、设定贴上来,有空再帮忙看看 06/10 00:40
2F:→ deadwood: 不然也可以把官方文件的10.5~10.7读懂,应该就建得起来 06/10 00:41
Hi deadwood~
首先,非常感谢您的再次协助,
以下将说明您的疑问及我观看影片後的心得和提问,
再麻烦您拨冗提供建议及讨论。
★环境架构:
网际网路-----中华电信7740C-----Site A router-----LAN ClientA(VPN Server)
| |
| |__LAN ClientB
| |....
|
|__中华电信7740C-----Site B router-----LAN ClientA(VPN Bridge)
|
|__LAN ClientB
|....
★期望效果:
依环境架构简图,希望让两个LAN(Site A及Site B)透过VPN构成虚拟私有网路,
Site A和SiteB下的电脑都只有一张网路卡,
其中Site A和Site B的ClientA分别设定router的DMZ,
以Site A的ClientA做为VPN Server兼DHCP Server
以Site B的ClientA做为VPN Bridge。
★影片心得及想法:
影片中两个LAN分别是由SoftEther Server及SoftEther Bridge构成,
各有两张网路卡,一张负责对网际网路通讯,一张负责各自LAN内部联系,
由Site A区网下的某个Client负责DHCP功能。
利用Site A及Site B的router令各自的ClientA能够同时拥有连接外网和
区网的功能,先於Site A ClinetA建立SoftEther Server,
关闭Site A及B router的DHCP功能,手动设定Site A和Site B ClientA网卡的ip位址,
让Site A和Site B的ClientA都能够连接网际网路,
於Site B ClientA建立SoftEther Bridge後,
於Site A ClientA设定SofeEther开启虚拟DHCP(分派IP),
最後连接Site B至Site A,
因为架构和影片中不太相同(2网卡->1网卡,SoftEther在router内),
不晓得在思维上这样的设定是否正确?
有需要於Site A设定虚拟NAT吗?
★注记:
一开始两个LAN一个是直接用7740当router,一个是用D-Link,
後来发现用7740的当Server无法被搜寻到虚拟HUB,
而D-Link的当Server就可以,所以全改为用D-Link来建LAN。
接着又发现两台router中,仅有一台能ping的到对方,
检查过後有设定Windows输入的ICMP(router的先前已开启),
还是不行後,将其中一台router的SPI功能关闭即ping的到。
以上供您参阅,再麻烦您回覆了,谢谢您。
※ 编辑: BIAO (1.169.199.162), 06/11/2017 06:35:00
※ 编辑: BIAO (1.169.199.162), 06/11/2017 15:41:11
4F:→ deadwood: 请的local bridge有设定吗?,AB两边都要设定 06/11 21:37
5F:→ deadwood: 没有local bridge就不会L2连通 06/11 21:39
Hi deadwood,
这部份我确定SiteA及SiteB本地桥接都有开启,
因为网路知识部份过去经验较少,
我不太确定是不是router还要设定什麽或是有所遗漏。
稍晚我会进行一次实作验证,虽然我昨夜做过了,
但尚未有系统性的整理所得资讯。
记得我是将...SiteB的router DHCP关闭,
SiteB ClientA的VPN Bridge的网卡手动指定和SiteB router相同区段
(不然不能连到WAN,也就不能建立VPN连线),
不过这样子的话,SiteB ClientA网卡的IP不就被限定住了,
没办法变成由SiteA router指派?? 谢谢您。
※ 编辑: BIAO (1.169.199.162), 06/11/2017 22:15:32
方才进行试验後,确认已成功,我用自己的手机连接SiteB router的wifi,
还有用自己的平板连接SiteA router的wifi,
得到的IP皆是SiteA 虚拟DHCP所分派的IP,彼此也ping的到对方了。
不过是不是意谓着SiteA及SiteB的ClientA就不是在vpn内了,
因为我虚拟DHCP列表中查不到这两台建置电脑的连线资讯,
而且也ping不到虚拟DHCP分派ip的其余对象。
非常谢谢您的协助^^
※ 编辑: BIAO (61.230.141.230), 06/11/2017 23:17:45
6F:→ deadwood: 两台建立vpn的装置必须要有能连到wan 建立vpn用的ip 06/11 23:43
7F:→ deadwood: 两台机器连vpn都没建立是要怎麽让SOFTETHER发IP过去? 06/11 23:44
8F:→ deadwood: 真的想要达到理想状态就去用两张网卡吧,单张无解 06/11 23:46
9F:→ deadwood: 另外我猜你DHCP发的IP跟你原本site A或B的内往IP都不同 06/11 23:55
10F:→ deadwood: 网段所以会不通,你的架构想要通,就必须把server跟 06/11 23:57
11F:→ deadwood: bridge 两台设定里的securenat-->virtual hostIP改成同 06/11 23:59
12F:→ deadwood: 网段,而这个网段又要跟DHCP发放的IP同网段 06/11 23:59
原来是这样子,谢谢您的说明及建议,
如果有非常多台的Bridge,
变成要额外记录目前有哪些Bridge、哪些IP手动设置用掉了,
还得注意虚拟DHCP的派送IP设定值,似乎在应用上较不弹性。
日後也许会参考您说的两张网卡方式,谢谢您^^
※ 编辑: BIAO (61.230.136.25), 06/12/2017 00:52:11