VPN觀念問題 (A可以PING到B 而 B不可以PING到A)

[不應有恨]

你有使過過PAT嗎?
這個道理和PAT很像
假設PAT IP是192.168.1.1
從client去ping 168.95.1.1ping的到
但是從外面要去ping 192.168.1.1會不通
原因是192.168.1.1乃是給"所有內部IP"使用的NAT IP
你去ping他,設備不知道要丟給內部的哪個IP
你使用撥接也是一樣的道理
如果你使用的是site to site VPN
那道理就和1對1NAT一樣了
你從外面ping 192.168.1.1
因為他對應的NAT是1對1
就能夠轉換到內部IP去(1對1所以只有一種IP轉換選擇)
至於你從client 對方OK乃是VPN serverr記住了你的session(or tunnel)
所以response可以順利往回丟

[FYI]

你的標題 "VPN觀念問題 (A可以PING到B 而 B不可以PING到A)", 此 "A" 不等於彼 "A", 你原先大概以為A 等於192.168.1.123, 其實應該是 "192.168.168.xxx"

[塵緣]

請研究LAN to LAN VPN 和Client Server VPN 的不同

FYI 兄 我想測試的正是　ＬＡＮ　ＴＯ　ＬＡＮ 的 VPN


能用軟體實現嗎?? 有沒有方向??


其實我重點 我有套正航的ERP系統(SQL的) 用一般的 CLINE VPN 方式 必須另外購買軟體 才可以通過..........不然SQL 資料庫的連接會有問題...

但是我覺得 如果可以實現 LAN TO LAN 大家可以互相PING 的到.....

那是不是跟 在同一個區網一樣.....我應該可以跑ERP 不需要再購買新的軟體...


所以我需要 LAN TO LAN VPN 的環境.....作測試

網上找的資料都需要 用硬體設備去做....沒有軟體可以做到嗎?? 有沒有方向可以提供?? 感謝

[不應有恨]

你何不使用nat方式來幫你呢
幫你要連的設備設定nat
如果怕安全問題
家裏申請固定ip然後防火牆設定policy讓這個固定ip才可以連
這樣不是更簡單又省錢嗎

[FYI]

其實我重點 我有套正航的ERP系統(SQL的) 用一般的 CLINE VPN 方式 必須另外購買軟體 才可以通過..........不然SQL 資料庫的連接會有問題...

意思是你目前從家中以VPN 連接公司的正航Server 會有問題嗎? 正航代理商提過要另外購買什麼軟體嗎? 當初朋友採購正航時曾向小弟諮詢, 小弟也是建議以VPN 讓分公司可以連線, 不過由於授權數不足, 所以最後改採遠端登入Server, 但小弟一直認為VPN 應該可行才對, 除非正航用了廣播的方式尋找Server, 那麼你要解決的就是VPN 廣播

[tvirus]

說一下自己也許不正確的意見

我自己有架PPTP在Linux上
XP內建的撥號撥上去後,如allied所講的
連上公司的VPN Server後會取得一個192.168.1.170的IP(我是設定取得192.168.1.170~179,特意設成跟公司主機192.168.1.x同一網段)
公司內的其它機器要連我的電腦
就必須連192.168.1.170
這也是FYI大一直在強調的
而且這種方式,會除了連自己內網(我內網IP為192.168.123.xxx)網段以外
[所有]連線都會從VPN Server出去

如果要做到兩個內部區網不更改IP能互連
還是靠硬體比較省事,透過兩臺NAT硬體建立VPN Tunnel
Gateway會知道要往哪個網段IP去時,就走VPN Tunnel過去
(A地跟B地內網網段都是不一樣)
像兩個朋友家就用某330做VPN,用途只是網芳看影片 Orz
(一個是192.168.8.x,一個是192.168.1.x)
PS:我還有架SSL的OpenVPN,用途只是為了幫朋友閃掉居易的MSN阻擋...

[FYI]

公司　的　gateway 192.168.168.230
VPN SERVER 192.168.168.201

在192.168.168.230下CMD -> route add 192.168.1.0 mask 255.255.255.0 192.168.168.201試試看

這個方法我試過了 行不通 ..... 不知道是不是我沒設定好 或者怎樣 201那台電腦 沒辦法幫我轉路由

VPN Server 不知道192.168.1.123 要往哪兒送, 所以Gateway 轉送過來的封包就被丟棄 (並非又送回Gateway 形成遞迴), 請在VPN Server 執行 "route print" 就可知, 如果要在VPN Server 加一條靜態路由, 那麼就得分配一個固定IP 給特定VPN Client, 這純粹就是路由的問題

此外, "Site to Site VPN" 是比較正確的術語, 小弟不是這方面的專家, 有些回答不一定正確, 或只是為了炒熱氣氛, 請多聆聽其他專家的意見

[bx2aa]

我在公司弄了WIN2003 VPN SERVER 在家裡 用 XP 裡面的VPN 連線方式

連線到公司的 電腦 .....

公司電腦用 192.168.168.X

家裡的網段用 192.168.1.X



目前可以 家裡的 可以 PING 到公司的電腦 跟其他在 192.168.168.X 的電腦


但是 公司的電腦 PING 不到 家裡的 ........


請教........... 是因為我是用 XP撥入VPN的方式 所以 公司的PING 不到家裡的嗎??


或者 我該在哪裡設定 才可以 讓公司的PING 到家裡的呢


P.S VPN SERVER 只有一張網卡 內部的 放在防火牆後面
在家裡電腦 PING 192.168.168.20 可以

在公司電腦 ping 192.168.1.123 不可以



公司　的　gateway 192.168.168.230
VPN SERVER 192.168.168.201


家裡的電腦　　192.168.1.123
家裡的GATEWAY 192.168.1.1

這應該很簡單.
在 PPTP Server 裏的使用者帳號 撥入 套用靜態路由 打勾
把 Client 端的內部 ip 指進去就好了

用我實驗的環境舉例
例如:
2003 Server:192.168.1.100 第二個張網卡 ip 10.1.1.1 255.255.255.0
XP :192.168.1.7 指定第二個 ip 10.1.2.2 255.255.255.0
xp 撥號後
XP 可以 ping 的到 10.1.1.1
2003 ping 不到 10.1.2.2
xp 斷線
在 2003 內把 user id 內的 撥入 套用靜態路由 打勾 把 Client 端的內部 ip 指進去就好了 10.1.2.2 255.255.255.255

XP 撥號
XP PING 10.1.1.1 OK
2003 PING 10.1.2.2 OK

[塵緣]

意思是你目前從家中以VPN 連接公司的正航Server 會有問題嗎? 正航代理商提過要另外購買什麼軟體嗎? 當初朋友採購正航時曾向小弟諮詢, 小弟也是建議以VPN 讓分公司可以連線, 不過由於授權數不足, 所以最後改採遠端登入Server, 但小弟一直認為VPN 應該可行才對, 除非正航用了廣播的方式尋找Server, 那麼你要解決的就是VPN 廣播

我們用的是正航T357 系統....內部網路 一般執行T357.exe 如果要從外點連進去....目前所知 需要使用 NT357.exe 程式 這個是另外賣的 聽說要10萬.....

VPN 目前確定 不行..... 所以我在測試 如果 兩邊可以互通 可不可行.....

目前做法是 利用遠端桌面 用內部的電腦執行 才可以從外點 連進來.........

[FYI]

我們用的是正航T357 系統....內部網路 一般執行T357.exe 如果要從外點連進去....目前所知 需要使用 NT357.exe 程式 這個是另外賣的 聽說要10萬.....

小弟也是只知T357.EXE, 原來還有NT357.EXE, 請設法研究T357.EXE 是否會廣播尋找正航Server? 工具可用Packetyzer, 小弟印象中, 執行T357.EXE 不需任何設定, 因此如何連上正航Server 應該是關鍵