請教刷 DD-WRT 後，VPN 如何做到 site to site 的功能？ [Site Map]

贊助商連結

頁 : [1] 2

troy

2010-03-28, 04:23 PM

小弟最近研究 DD-WRT VPN（PPTP）功能：

環境：

甲地：
網段：192.168.1.0/24
Gateway：192.168.1.254（DLink DIR-300 刷 V24-SP2）

乙地：
網段：192.168.2.0/24
Gateway：192.168.2.254（ASUS WL-500W 刷 V24-SP2）

小弟於乙地用 Windows XP VPN 連上甲地，可 get 到甲地網段一 IP（Ex:192.168.1.80），因此亦可用此 IP 連到甲地網段內任意電腦。

結論：Point to Point 實作是可行的。

=========================================

接下來：

甲地一樣當 VPN Server

乙地則選用 DD-WRT AP 當 VPN Client：

結果也成功囉！

而且這次更好，AP Router get 到 IP 後（Ex:192.168.1.80）

乙網段的其他 PC，亦可透過這台 AP 去連到甲網段的電腦！！

經發現它的原理是：
只要乙網段的電腦要去甲網段，AP 都幫你 NAT 成 192.168.1.80 出去
所以都連的到 192.168.1.0/24 這網段

==========================================

但問題來了：

甲網段的電腦無法連去乙網段，因為甲網段電腦認不得乙網段的 IP
乙網段的電腦可以連到甲網段，是因為過來甲網段都使用 192.168.1.80 這個 IP

===========================================

小弟試將甲網段、乙網段的 AP 都設定成 VPN Server、VPN Client：

Ex：

甲網段：VPN Clinet => VPN Server 乙網段

甲網段：VPN Server <= VPN Client 乙網段

不過沒有實作成功（有一方 VPN Clinet 會失敗）

所以目前 Site to Site 僅能做到：

乙網段的電腦可以連到甲網段，可是甲網段的電腦就連不到乙網段了！

請教有哪位先進也有相同的困擾，並已解決此一問題了嗎？

懇請賜教，謝謝！

贊助商連結

不應有恨

2010-06-15, 10:47 AM

你不能將乙網段的所有client都"藏"在AP後面
也就是說乙網段的所有Client都透過AP "NAT"出去
這樣外面(甲網段)要找裡面(乙網段)
是進不來的
你必須在AP上面設定"對應"
讓乙網段裡面所有cleint在AP上面都有一對一的位址轉換
這樣子甲網段才能夠發起訪問
順利可接進來乙網段

Trevor0

2010-12-16, 03:34 AM

misol

2010-12-16, 09:07 AM

小弟最近研究 DD-WRT VPN（PPTP）功能：

環境：

甲地：
網段：192.168.1.0/24
Gateway：192.168.1.254（DLink DIR-300 刷 V24-SP2）

甲地的 DD-WRT 機器裡要自訂 Routong table
加入乙地的網段...............:sleep:

FYI

2010-12-16, 09:53 AM

OpenVPN on OpenWrt for iptables noob — sayap's blog (http://sayap.com/blog/2010/11/9/openvpn-on-openwrt-for-iptables-noob)
DIY SSL Vpn Server - PCZONE 討論區 (http://www.pczone.com.tw/thread/16/152301/)

troy

2010-12-16, 10:36 AM

甲地的 DD-WRT 機器裡要自訂 Routong table
加入乙地的網段...............:sleep:

這個小弟也已經試過了，結果不行！

因為當甲端 AP （Clinet）撥入 => 乙端 AP（Server）

其原理是甲端 AP 會 get 到乙端網段的 IP（Ex: 192.168.2.80）

然後甲端後面的電腦，都是 NAT 轉成這個 IP 出去的

所以對乙端電腦而言，不會認得甲端的網段，只認得 192.168.2.80 這個 IP

對乙端 AP 而言，也就沒有所謂的 routing table 要加入了
（因為乙端的電腦只要能夠回覆 192.168.2.80 這個同網段的 IP 就好了）

troy

2010-12-16, 10:41 AM

你不能將乙網段的所有client都"藏"在AP後面
也就是說乙網段的所有Client都透過AP "NAT"出去
這樣外面(甲網段)要找裡面(乙網段)
是進不來的
你必須在AP上面設定"對應"
讓乙網段裡面所有cleint在AP上面都有一對一的位址轉換
這樣子甲網段才能夠發起訪問
順利可接進來乙網段

瞭解！但請問上 DD-WRT 哪裡有「對應」這個選項呢？
還是有另一專有名詞？
小弟研究好久都沒有下文！

Trevor0

2010-12-17, 04:48 AM

瞭解！但請問上 DD-WRT 哪裡有「對應」這個選項呢？
還是有另一專有名詞？
小弟研究好久都沒有下文！

小弟看別人教學文章也提到在 client 端要設 routing table
不過真的不知道在 dd-wrt 裡，要怎麼設？
應該是在系統管理->指令
教學文件連結貼上來給大家參考看看好了。
http://nhnotes.iblogger.org/230/openvpn%E9%80%A3%E7%B7%9A%E5%AE%8C%E6%88%90%E5%BE%8C%E7%9A%84routing-table%E8%A8%AD%E5%AE%9A/
不過貓爸有將一般對外連線用 vpn 作跳板。
所以要將第一條和第三條拿掉.
和第二條改成
route add 192.168.1.0 mask 255.255.255.0 192.168.1.80 metric 10 if 0×60003
dd-wrt 設定範例也貼上看給大家參考。
http://serverfault.com/questions/94283/using-dd-wrt-to-connect-to-vpn-and-forward-all-traffic-of-certain-devices-through
不過我沒成功，還在 debug ，狀況比 Troy 還差。
看起來要完成 site to site 一定要在兩邊的 dd-wrt 都要改 route table。

misol

2010-12-17, 01:46 PM

這個小弟也已經試過了，結果不行！

因為當甲端 AP （Clinet）撥入 => 乙端 AP（Server）

.....
甲端不是 server 端嗎？

Trevor0

2010-12-18, 05:26 AM