继续问 L2TP/IPSec 的问题,内网能拨通,外网拨不通。(附草图)

2013-10-29 10:26:44 +08:00
 lichao
这次附上草图,希望能描述的清楚一些。(L2TP/IPSec + FreeRADIUS + MySQL )



路由器上已经映射了 500,4500,1701 端口到 Ubuntu Server
现在总公司局域网内,用 192.168.0.191 拨 Ubuntu 上的 VPN,能正常拨通。但是分公司的人,用广域网地址来拨这个 VPN ,就是拨不通,请问会是什么问题?

这个方案的目的,是希望分公司的人拨通 VPN 后,才能访问公司内部的一个 Web 服务器(外网不可直接访问),请问这个方案是否适合?
3881 次点击
所在节点    问与答
10 条回复
linchanx
2013-10-29 10:36:08 +08:00
没看到有外网地址。。你确定你设置对了?
yangqi
2013-10-29 10:43:34 +08:00
这个要一步步排疑了,
先确定分公司的连接在哪被卡住了, 是路由器还是ubuntu server
lichao
2013-10-29 10:59:28 +08:00
@linchanx 用外网地址拨的时候,Ubuntu 上能抓到 500 端口和 4500 端口的数据包,所以端口映射应该是对了的,但最终就是连不上

@yangqi 刚网上查了一下,可能涉及到一个什么 NAT 穿越的问题,可惜网络知识不过关,不了解
rrfeng
2013-10-29 11:02:19 +08:00
内网拨 192.168.0.191 当然可以
外网怎么可能拨到这个地址呢……

L2TP over IPSec 首先要建立 IPSec 通道,而 IPSec 是两个可以互相访问的 IP 来建立隧道的,不是端口映射的问题。假设要穿透 NAT 的话是需要一方发起连接,一方接受连接才可以。
你的环境连 IPSec 都通不了吧,要么把 Ubuntu 放到 DMZ,给一个公网地址,要么在 router 上配置特殊的转发

IPSec 隧道建立了之后,实际上分公司就可以直接访问总部内网地址了,l2tp 只是再加一次用户级认证
lichao
2013-10-29 11:16:52 +08:00
@rrfeng 谢谢,我再试试 DMZ
xuzhe
2013-10-29 11:38:23 +08:00
如果客户端系统是 Windnows 的话,为了安全默认不会和路由器背后的 Server 进行 IPSec 连接的。需要修改注册表或者改用 PPTP 就好了么。
lichao
2013-10-29 12:17:57 +08:00
@xuzhe 嗯,正在尝试 PPTP 方案了
tywtyw2002
2013-10-29 13:34:42 +08:00
做了端口转发吧,
路由器上把vpn得数据包nat到了你的服务器上,但是破坏了ipsec的数据结构,造成了ipsec丢包。
niseter
2013-10-29 17:31:31 +08:00
按你说的问题,应该是l2tp/ipsec通过NAT时有问题,请参照@xuzhe的留言,windows客户端请修改注册表。
lichao
2013-10-29 21:59:25 +08:00
@tywtyw2002
@niseter
谢谢各位,改用 PPTP 方案了,全都已经测试通过

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/87253

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX