PDA

Vigor 3300遇到問題



贊助商連結

頁 : 1 2 3 4 [5] 6
doomcat
2007-10-09, 02:11 PM
別叫我想辦法改網段解決,那是網管在處理的,不是我的權責。
不知到我的做法有沒有用,先前有幫公司三地六個點架VPN使用2900
不過2900的VPN RIP好像沒做用,偏偏有些點的頻寬小又在大陸
在這些點要連2900的web很慢且每次要透過web填資料都會出錯
所以最後是使用2900的command來設定Static Route讓六點都能戶通
可以問問3300是不是有一樣的command指令能用:heart: 參考一下

在請問mis339:eye:
有什麼情況下要讓subnet互包?
理論上只須要透過Routing的方式就可以解決了不是嗎?
設定subnet包含的方式有什麼比較大的好處嗎?

贊助商連結

門神
2007-10-09, 03:02 PM
加個Router做Traffic或許是比較簡單的做法 !!
mis339
2007-10-09, 06:09 PM
在請問mis339:eye:
有什麼情況下要讓subnet互包?
理論上只須要透過Routing的方式就可以解決了不是嗎?
設定subnet包含的方式有什麼比較大的好處嗎?

沒什麼好處,就是比較簡單而已。
cheerx
2007-10-09, 06:18 PM
小弟說一下題外話,doomcat問的上一個問題還蠻好笑的到底哪個網段叫做近,哪個網段叫做遠,小弟昨天看玩笑了快五分鐘.

ivanlin兄的問題看來是不太會解決了.
ivantw
2007-10-09, 08:57 PM
請看簽名檔,本人對居易已經不抱期待,我現在的要求是只要家裡的機器不當不出事就好了。反正 DDNS 的問題無解,那我就轉成 Static IP,也算解了這個問題(心裡苦笑三聲)。
FYI
2007-10-13, 03:33 AM
VPN和VPN Hub用法上的認知和IP Routing的觀念類似
因此會讓很多學Router的人認為他一定會過

但是實際上他必需是需要用包含的觀念來看

3300一般release的韌體版本(VPN),封包在通過3300時,3300會檢查是否是 1.destination subnet 2. local subnet(是否是3300自己的網段)
因此在您的情況就是,圖中 封包從右邊的server 到中間的3300 , 會被檢查到非local subnet ,因此不予放行。
而2.5.7.2e版修改了設定,只檢查destination subnet , 在routing table中有 就給予放行,不檢查 soure subnet 是否是3300 local subnet或是其他的.
這篇討論小弟反覆看了幾遍才終於稍微瞭解門神兄的意思, 其實小弟以為這應該只是IP Routing 的議題, 只不過居易對於VPN Trust Subnet 有不同的作法罷了, garethlin 兄的解釋很清楚, 如果以門神兄的建議, 則A 和C 都是B 的Subnet, 雖然剛好符合居易所設定的原則, 然而是否繞得過去, 還是得看居易的設計, 因為A 到C 會增加B 的Loading, 此外更有安全性的顧慮, 就好比許多VPN 的設計都不允許廣播一樣, 有些則提供選項以便打開, 那就是用戶的責任了, 所以小弟覺得居易不妨將VPN Hub (Routing) 預設關閉, 但讓用戶有機會自行決定是否打開, 這才是比較合理的設計

Ivantw 兄的狀況是不須要更改架構的
只要3300V 的 WAN1/WAN2 分別撥 IPSec 到 2910V 就可以了
但是這解法並非正規式的解法(若有 5 static route 豈非要 6 WAN :boldred: )
如果小弟沒猜錯的話, 除非居易原先的設計就有漏洞, 否則A 還是到不了C 才對, 原因仍然是根據garethlin 兄的解釋, 就算方向反過來, 還是過不了關

小弟觀念也許不正確, 敬請不吝指正
門神
2007-10-13, 07:02 AM
^^

不難 , TCP/IP的封包 , 不是廣撥封包

再怎麼說還是在這七層蛋糕內
FYI
2007-10-13, 07:03 PM
小弟沒有這樣的設備, 所以無法實地驗證, 但是純粹從理論的角度來看, 以阿斌兄的情形, A 和C 差異太大, 就算是反過來由B 分別撥給A 和C, 也不能改變A 的Subnet 啊! A 訪問C 如何符合Source Subnet 等於Local Subnet 呢? 以上是假設韌體不改的情形, 您說 "因為符合其中一條VPN tunnel", 其實A 訪問B 和C 訪問B 本來就是兩個通道, 反過來也一樣, 居易不會沒考慮到這樣的情形吧! 小弟紙上談兵, 觀念上有點不解

其次, 若是基於安全上的考慮, 那麼本來就不應該預設讓A/C 互訪, 因為A/C 很可能是不相干的兩個(子)公司, 固然在A/C 中可以設定過濾條例禁止B 以外訪問, 可是卻很容易被忽略, 造成安全上的漏洞
ivantw
2007-12-13, 01:46 PM
今天剛好滿兩個月啊,居易的人們啊,有解決我三個問題中的哪個問題了嗎?

誰來回答回答我啊?還是就裝死,假裝會解決,反正含混過去,不要破壞掉名聲就好?

如果這樣可以敷衍我,那就錯了。
garethlin
2007-12-27, 10:52 PM
抱歉,這麼晚才回您,
(1)不知道先前3300的2.5.7.2e版您是否有收到呢?仍無法解決您的問題嗎?
(2)另外DDNS的問題,2910在3.1.0版已解了這問題,不過建議您升級到目前的3.1.2版(包括修改了DHCP以及增加3G modem相容性等等).
(3)另外,無線的問題,不知道您是是用windows內建的WZC utility呢?
如果是的話 建議您用自家網卡廠的utility再試試看,若有加密的話 也請先不要加密試試;

另外,3300系列本身也是有增加新的功能,如VPN trunk(目前正在final check),data flow monitor等,並且對於您的反應我們很重視,希望能解決您的問題. 如果您有進一步的訊息,也可以另外CC一份到[email protected],我們看到後會盡快處理您遇到的狀況 .


今天剛好滿兩個月啊,居易的人們啊,有解決我三個問題中的哪個問題了嗎?