一哥们公司,遇到了一些网络问题,苦闷了有一段时日了,今天下午打电话诉苦,大概了解下情况,决定晚上给他调试解决下。
起因是这样的:这朋友的公司是开发三层架构erp系统的科技公司,在给一家客户实施时,客户公司的网络基础条件有些达不到要求,客户服务器在总公司,光纤固定ip接入,在市内有十余家销售网点,adsl上网;这套软件是三层架构,不像b/s结构,很简单就可以架设了,因此,他们就考虑利用总公司建立vpn服务器,各销售网站用adsl建立vpn拨号拨入vpn服务器,实现虚拟专用网,来连接服务器。
本来客户公司有一台宽带路由器,开始尝试通过在内网建立vpn服务器,在路由器上映射1723端口,外网拨入,客户端显示无响应;后来查资料得知,这些小宽带路由器根本不能映射vpn连接协议;另外,购买vpn路由器时,也要分清楚,我们通常所说的VPN路由器有两种不同的含义:
①支持VPN pass through的路由器:通过此路由器上网后,在路由器下面的工作站可以与VPN服务器通过PPTP/IPsec建立连接。如:华为3Com Aolynk DR834、TP-Link TL-R402、TP-Link TL-R480T等宽带路由器。
②可以作为VPN server的路由器:此路由器不仅支持VPN pass through功能,即工作其下面的工作站可以顺利与VPN server建立连接,而且它本身就是一个VPN server,具有VPN server的所有功能。比如Linksys RV082、NETGEAR FVL328、DrayTek Vigor 2900DWnet、SAFEcon50,它们的VPN功能都被集成在了路由器当中,通常我们称这类产品为VPN网关。
详细可以查看百度知道中的:VPN路由器、宽带路由器、模块化路由器有什么区别?
像第一种vpn pass through的路由器,tp_link之类的,也就700元左右,这类路由器适合分支机构拨号vpn服务器时使用,意思就是这个分支机构的所有客户端电脑可以通过此vpn pass through路由器拨号接入到vpn服务器;如果是第二类,vpn server路由器,则是思科5505防火墙之类的路由器,可以接受vpn拨入,这款路由器价格大概在5500元左右,对比之下,功能不同,成本增涨很多;
综合以上两种方案,客户方不太能够接受成本投入3000-5000这样的投入,因此,权衡协调之下,决定用双网卡在win2003下建议软vpn服务器来实现;查客户方服务器配置为ibm 3400,配置一般,在系统内查网络连接,有一个网卡本地连接;但在服务器背后却发现了两个RJ45端口,奇怪?咨询ibm800时,告知是双休,不能接入技术支持服务,扯淡;后咨询郑州一家ibm服务商,后来得知有六七年的运营经验了,态度非常好,详细介绍了这个网络端口的作用,原来是远端控制用的,就像前段我提到的远程重启服务器之类的功能端口;看来,这个端口平常网络连接是用不上了;没有办法,另外购买网卡吧;拆开服务器,发现接口是pci-e的千兆接口,咨询郑州ibm服务商时(他态度好就一直缠着他,呵),他那里没有千兆网卡现货,不过他建议到科技市场购买即可,很多可用品牌、型号,拖科技市场一位朋友购买得知,intel品牌的,得350元左右,d-link的,95元左右,tenda的,45元,这太便宜了,不敢用;350客户方也觉得贵,就购买了一款d-link的千兆网卡–D-Link DGE-530T Gigabit Ethernet Adapter,安装倒也顺利,驱动也顺利,硬件基本条件俱备。
朋友在建立vpn时,开始是建立后一直拨入不上去,后来想办法拨上去以后,能ping通erp所在服务器的ip,但客户端连接无响应。调试了许久,没有解决思路。我接入时,除了听他以上的详细叙述之外,也远程桌面到vpn server上查看,总觉得有些不对劲,问他怎么建立的,他说是直接建立的vpn,我让他演示了下,原来是这个选项,如下图:
在此建立下的vpn服务器,拨入后可以ping通erp服务器ip,但软件客户端不能连接到erp服务器,并且也不能ping通其他总部内同一网段内的ip,这种建立方法有问题,具体有哪方面问题,没具体研讨。
后来我考虑之后,我记得早几年也建立过此类vpn方案,只不过当时是临时解决方案,没太深记忆,大概回忆了下,按如下图示,建立成功:
此时,adsl本地客户端已经可以通过建立vpn拨入端拨入vpn server,并且也可以ping通vpn服务器内所有内部网段ip,当然,其他服务也都可以正常访问了。需要提出的一点是拨入账户设置,在vpn服务器上,建立一个不属于任何组的账户,然后设置可拨入策略即可;
至于其他细节,防火墙、安全之类的进一步详细设置,那就另说了,关键问题解决了,周边设置就更好设置了。
