VPN觀念問題 (A可以PING到B 而 B不可以PING到A)

我在公司弄了WIN2003 VPN SERVER 在家裡 用 XP 裡面的VPN 連線方式

連線到公司的 電腦 .....

公司電腦用 192.168.168.X

家裡的網段用 192.168.1.X



目前可以 家裡的 可以 PING 到公司的電腦 跟其他在 192.168.168.X 的電腦


但是 公司的電腦 PING 不到 家裡的 ........


請教........... 是因為我是用 XP撥入VPN的方式 所以 公司的PING 不到家裡的嗎??


或者 我該在哪裡設定 才可以 讓公司的PING 到家裡的呢


P.S VPN SERVER 只有一張網卡 內部的 放在防火牆後面
在家裡電腦 PING 192.168.168.20 可以

在公司電腦 ping 192.168.1.123 不可以



公司　的　gateway 192.168.168.230
VPN SERVER 192.168.168.201


家裡的電腦　　192.168.1.123
家裡的GATEWAY 192.168.1.1

[QUOTE=塵緣;1064942]目前可以 家裡的 可以 PING 到公司的電腦 跟其他在 192.168.168.X 的電腦

但是 公司的電腦 PING 不到 家裡的 ........[/QUOTE]
把VPN 想像成PPPoE 就對了, 你的網卡IP 192.168.1.123, 撥號後又取得59.xxx.xxx.xxx, 請問別人如何ping 你的192.168.1.123?

你家裏的電腦連上公司的VPN Server後會取得一個192.168.168.X的IP，你要Ping家裏的電腦要Ping這個IP才對。

突然明白我自己思考的方向也不對，恕刪

[QUOTE=allied;1064964]你家裏的電腦連上公司的VPN Server後會取得一個192.168.168.X的IP，你要Ping家裏的電腦要Ping這個IP才對。[/QUOTE]

這個說法我懂....但是 我以前看過 專線式VPN 大陸網段用192.168.0.X 網段
台灣用 192.168.1.X 網段 用CISCO ROUTE 跟 LERVER 3 的HUB 連接

兩個網段的人都可以 直接用 PING 對方網段的IP ..........

我是想 可不可以做到這樣子 用撥入方法的 就達不到這樣子的要求....

[QUOTE=Davis;1064966]在192.168.168.230下CMD -> route add 192.168.1.0 mask 255.255.255.0 192.168.168.201試試看[/QUOTE]

這個方法我試過了 行不通 ..... 不知道是不是我沒設定好 或者怎樣 201那台電腦 沒辦法幫我轉路由

[QUOTE=FYI;1064961]把VPN 想像成PPPoE 就對了, 你的網卡IP 192.168.1.123, 撥號後又取得59.xxx.xxx.xxx, 請問別人如何ping 你的192.168.1.123?[/QUOTE]

這個說法我懂....

但是 我以前看過 專線式VPN 大陸網段用192.168.0.X 網段
台灣用 192.168.1.X 網段

用CISCO ROUTE 跟 LERVER 3 的HUB 連接


達成 .....兩個網段的人都可以 直接用 PING 對方網段的IP .的方式 可以PING 的到.........

我是想有沒有方法可以達到這樣子的要求.............

FYI

[img]http://www.ublink.org/imagespost/VPN.jpg[/img]

突然明白我自己思考的方向也不對，恕刪

[QUOTE=塵緣;1064986]這個說法我懂....但是 我以前看過 專線式VPN 大陸網段用192.168.0.X 網段
台灣用 192.168.1.X 網段 用CISCO ROUTE 跟 LERVER 3 的HUB 連接

兩個網段的人都可以 直接用 PING 對方網段的IP ..........[/QUOTE]
請研究LAN to LAN VPN 和Client Server VPN 的不同

你有使過過PAT嗎?
這個道理和PAT很像
假設PAT IP是192.168.1.1
從client去ping 168.95.1.1ping的到
但是從外面要去ping 192.168.1.1會不通
原因是192.168.1.1乃是給"所有內部IP"使用的NAT IP
你去ping他,設備不知道要丟給內部的哪個IP
你使用撥接也是一樣的道理
如果你使用的是site to site VPN
那道理就和1對1NAT一樣了
你從外面ping 192.168.1.1
因為他對應的NAT是1對1
就能夠轉換到內部IP去(1對1所以只有一種IP轉換選擇)
至於你從client 對方OK乃是VPN serverr記住了你的session(or tunnel)
所以response可以順利往回丟

你的標題 "VPN觀念問題 ([B]A[/B]可以PING到B 而 B不可以PING到[B]A[/B])", 此 "[B]A[/B]" 不等於彼 "[B]A[/B]", 你原先大概以為A 等於192.168.1.123, 其實應該是 "192.168.168.xxx"

[QUOTE=FYI;1065014]請研究LAN to LAN VPN 和Client Server VPN 的不同[/QUOTE]

FYI 兄 我想測試的正是　ＬＡＮ　ＴＯ　ＬＡＮ 的 VPN


能用軟體實現嗎?? 有沒有方向??


其實我重點 我有套正航的ERP系統(SQL的) 用一般的 CLINE VPN 方式 必須另外購買軟體 才可以通過..........不然SQL 資料庫的連接會有問題...

但是我覺得 如果可以實現 LAN TO LAN 大家可以互相PING 的到.....

那是不是跟 在同一個區網一樣.....我應該可以跑ERP 不需要再購買新的軟體...


所以我需要 LAN TO LAN VPN 的環境.....作測試

網上找的資料都需要 用硬體設備去做....沒有軟體可以做到嗎?? 有沒有方向可以提供?? 感謝

你何不使用nat方式來幫你呢
幫你要連的設備設定nat
如果怕安全問題
家裏申請固定ip然後防火牆設定policy讓這個固定ip才可以連
這樣不是更簡單又省錢嗎

[QUOTE=塵緣;1065040]其實我重點 我有套正航的ERP系統(SQL的) 用一般的 CLINE VPN 方式 必須另外購買軟體 才可以通過..........不然SQL 資料庫的連接會有問題...[/QUOTE]
意思是你目前從家中以VPN 連接公司的正航Server 會有問題嗎? 正航代理商提過要另外購買什麼軟體嗎? 當初朋友採購正航時曾向小弟諮詢, 小弟也是建議以VPN 讓分公司可以連線, 不過由於授權數不足, 所以最後改採遠端登入Server, 但小弟一直認為VPN 應該可行才對, 除非正航用了廣播的方式尋找Server, 那麼你要解決的就是VPN 廣播

說一下自己也許不正確的意見

我自己有架PPTP在Linux上
XP內建的撥號撥上去後,如allied所講的
連上公司的VPN Server後會取得一個192.168.1.170的IP(我是設定取得192.168.1.170~179,特意設成跟公司主機192.168.1.x同一網段)
公司內的其它機器要連我的電腦
就必須連192.168.1.170
這也是FYI大一直在強調的
而且這種方式,會除了連自己內網(我內網IP為192.168.123.xxx)網段以外
[所有]連線都會從VPN Server出去

如果要做到兩個內部區網不更改IP能互連
還是靠硬體比較省事,透過兩臺NAT硬體建立VPN Tunnel
Gateway會知道要往哪個網段IP去時,就走VPN Tunnel過去
(A地跟B地內網網段都是不一樣)
像兩個朋友家就用某330做VPN,用途只是網芳看影片 Orz
(一個是192.168.8.x,一個是192.168.1.x)
PS:我還有架SSL的OpenVPN,用途只是為了幫朋友閃掉居易的MSN阻擋...

[QUOTE=塵緣;1064942]公司　的　gateway 192.168.168.230
VPN SERVER 192.168.168.201[/QUOTE]
[QUOTE=Davis;1064966]在192.168.168.230下CMD -> route add 192.168.1.0 mask 255.255.255.0 192.168.168.201試試看[/QUOTE]
[QUOTE=塵緣;1064987]這個方法我試過了 行不通 ..... 不知道是不是我沒設定好 或者怎樣 201那台電腦 沒辦法幫我轉路由[/QUOTE]
VPN Server 不知道192.168.1.123 要往哪兒送, 所以Gateway 轉送過來的封包就被丟棄 (並非又送回Gateway 形成遞迴), 請在VPN Server 執行 "route print" 就可知, 如果要在VPN Server 加一條靜態路由, 那麼就得分配一個固定IP 給特定VPN Client, 這純粹就是路由的問題

此外, "Site to Site VPN" 是比較正確的術語, 小弟不是這方面的專家, 有些回答不一定正確, 或只是為了炒熱氣氛, 請多聆聽其他專家的意見

[QUOTE=塵緣;1064942]我在公司弄了WIN2003 VPN SERVER 在家裡 用 XP 裡面的VPN 連線方式

連線到公司的 電腦 .....

公司電腦用 192.168.168.X

家裡的網段用 192.168.1.X



目前可以 家裡的 可以 PING 到公司的電腦 跟其他在 192.168.168.X 的電腦


但是 公司的電腦 PING 不到 家裡的 ........


請教........... 是因為我是用 XP撥入VPN的方式 所以 公司的PING 不到家裡的嗎??


或者 我該在哪裡設定 才可以 讓公司的PING 到家裡的呢


P.S VPN SERVER 只有一張網卡 內部的 放在防火牆後面
在家裡電腦 PING 192.168.168.20 可以

在公司電腦 ping 192.168.1.123 不可以



公司　的　gateway 192.168.168.230
VPN SERVER 192.168.168.201


家裡的電腦　　192.168.1.123
家裡的GATEWAY 192.168.1.1[/QUOTE]
這應該很簡單.
在 PPTP Server 裏的使用者帳號 撥入 套用靜態路由 打勾
把 Client 端的內部 ip 指進去就好了

用我實驗的環境舉例
例如:
2003 Server:192.168.1.100 第二個張網卡 ip 10.1.1.1 255.255.255.0
XP :192.168.1.7 指定第二個 ip 10.1.2.2 255.255.255.0
xp 撥號後
XP 可以 ping 的到 10.1.1.1
2003 ping 不到 10.1.2.2
xp 斷線
在 2003 內把 user id 內的 撥入 套用靜態路由 打勾 把 Client 端的內部 ip 指進去就好了 10.1.2.2 255.255.255.255

XP 撥號
XP PING 10.1.1.1 OK
2003 PING 10.1.2.2 OK

[QUOTE=FYI;1065045]意思是你目前從家中以VPN 連接公司的正航Server 會有問題嗎? 正航代理商提過要另外購買什麼軟體嗎? 當初朋友採購正航時曾向小弟諮詢, 小弟也是建議以VPN 讓分公司可以連線, 不過由於授權數不足, 所以最後改採遠端登入Server, 但小弟一直認為VPN 應該可行才對, 除非正航用了廣播的方式尋找Server, 那麼你要解決的就是VPN 廣播[/QUOTE]


我們用的是正航T357 系統....內部網路 一般執行T357.exe 如果要從外點連進去....目前所知 需要使用 NT357.exe 程式 這個是另外賣的 聽說要10萬.....

VPN 目前確定 不行..... 所以我在測試 如果 兩邊可以互通 可不可行.....

目前做法是 利用遠端桌面 用內部的電腦執行 才可以從外點 連進來.........

[QUOTE=塵緣;1065102]我們用的是正航T357 系統....內部網路 一般執行T357.exe 如果要從外點連進去....目前所知 需要使用 NT357.exe 程式 這個是另外賣的 聽說要10萬.....[/QUOTE]
小弟也是只知T357.EXE, 原來還有NT357.EXE, 請設法研究T357.EXE 是否會廣播尋找正航Server? 工具可用Packetyzer, 小弟印象中, 執行T357.EXE 不需任何設定, 因此如何連上正航Server 應該是關鍵

[QUOTE=FYI;1065147]小弟也是只知T357.EXE, 原來還有NT357.EXE, 請設法研究T357.EXE 是否會廣播尋找正航Server? 工具可用Packetyzer, 小弟印象中, 執行T357.EXE 不需任何設定, 因此如何連上正航Server 應該是關鍵[/QUOTE]

Site to Site VPN 已經測試成功 請參考 下面文章....

[url]http://www.aptchina.com/club/showtopic.aspx?topicid=101983&onlyauthor=1[/url]


經測試.... 正航依舊不能跑....會出現如下圖.....

不知道 該怎麼捨定廣播問題....FYI 兄 有沒有建議 或者怎樣的觀念說一下呢??

是不是要設定 ODBC
開始 ===> 設定 ===> 控制台 ===> 系統管理工具 ===> 資料來源 (ODBC)

Site to Site VPN 會通並不意外, 但這並非關鍵, 設法讓廣播封包通過VPN 才是關鍵
[QUOTE=塵緣;1065154]不知道 該怎麼捨定廣播問題....FYI 兄 有沒有建議 或者怎樣的觀念說一下呢??[/QUOTE]
你難道從未懷疑T357.EXE 如何得知正航Server IP? 印象中客戶端完全不需要任何設定, 也沒有任何設定, 好像也沒有INI 檔, 同樣的道理, 網芳也不通, 必須借助WINS 或lmhosts, 不過小弟看到的文件顯示Windows 2003 Server can forward NetBIOS over TCP/IP broadcast, RAS 則支援Multicast

安裝Packetyzer v4.03 (類似WireShark), 不要執行任何網路程式, 然後執行並監聽T357.EXE 做了什麼? 小弟懷疑應該就是廣播, 你在家就可以試試, 必須先知道T357.EXE 在找什麼, 才能想對策

能否在正航Server 安裝VPN Server? 一勞永逸, 不對, 還是沒解決廣播, 如果你能透過網芳存取VPN Server 的分享資料夾, 那麼代表至少廣播封包會抵達VPN Server, 也就有希望, 小弟沒有管理Server 的經驗, 幫不上忙, 以上純屬 "無機之談"

[QUOTE=FYI;1065170]能否在正航Server 安裝VPN Server? 一勞永逸, 不對, 還是沒解決廣播, 如果你能透過網芳存取VPN Server 的分享資料夾, 那麼代表至少廣播封包會抵達VPN Server, 也就有希望, 小弟沒有管理Server 的經驗, 幫不上忙, 以上純屬 "無機之談"[/QUOTE]
XP 192.168.1.7(PPTP DHCP 192.168.0.139) ======> 2003 NIC1:192.168.1.100/24 , NIC2:10.1.1.1/24 ======> Fedora11 10.1.1.2/24 SAMBA

XP 播 VPN 後可以存取 SAMBA 和 \\10.1.1.1\C$ 都能通.

Fedora11 tcpdump 抓的一小段

[root@Fedora11 samba]# tcpdump -vvv src host 192.168.0.139
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:25:29.484915 IP (tos 0x0, ttl 127, id 12946, offset 0, flags [DF], proto TCP (6), length 120) 192.168.0.139.servergraph > 10.1.1.2.microsoft-ds: P 2623894385:2623894465(80) ack 3760194973 win 63599
10:25:29.540624 IP (tos 0x0, ttl 127, id 12948, offset 0, flags [DF], proto TCP (6), length 130) 192.168.0.139.servergraph > 10.1.1.2.microsoft-ds: P 80:170(90) ack 105 win 63495
10:25:29.615419 IP (tos 0x0, ttl 127, id 12950, offset 0, flags [DF], proto TCP (6), length 40) 192.168.0.139.servergraph > 10.1.1.2.microsoft-ds: ., cksum 0xe0c6 (correct), 170:170(0) ack 2825 win 64240
10:25:29.616034 IP (tos 0x0, ttl 127, id 12951, offset 0, flags [DF], proto TCP (6), length 40) 192.168.0.139.servergraph > 10.1.1.2.microsoft-ds: ., cksum 0xd88a (correct), 170:170(0) ack 4933 win 64240
10:25:29.718704 IP (tos 0x0, ttl 127, id 12954, offset 0, flags [DF], proto TCP (6), length 144) 192.168.0.139.servergraph > 10.1.1.2.microsoft-ds: P 170:274(104) ack 4933 win 64240

[QUOTE=FYI;1065170]Site to Site VPN 會通並不意外, 但這並非關鍵, 設法讓廣播封包通過VPN 才是關鍵

你難道從未懷疑T357.EXE 如何得知正航Server IP? 印象中客戶端完全不需要任何設定, 也沒有任何設定, 好像也沒有INI 檔,"[/QUOTE]


要啦 正航 客戶端第一次執行的時候 可以按F1 設定主機位置.... 要更改的時候也是執行後 按F1 更改主機位置

使用T357.exe 的時候 秀出來的是 正航主機 的名稱 版本 使用NT357.exe 的時候秀出來的是 IP位置 跟版本..............

網路查詢 VPN 下使用SQL 會有名稱問題 使用IP 可以解決....會不會是因為 DNS的問題造成的？？

VPN 下怎麼連DNS 一起解決呢??

[QUOTE=塵緣;1065189]要啦 正航 客戶端第一次執行的時候 可以按F1 設定主機位置.... 要更改的時候也是執行後 按F1 更改主機位置[/QUOTE]
設定時需要電腦名稱嗎?

若用電腦名稱遠端撥入可能需要有 WINS 來解析, 沒有的話 XP 在 C:\WINDOWS\SYSTEM32\drivers\etc\hosts 這個檔案裏加上.

我有個疑問?

registry 內的/SOFTWARE/CHI/SunEnv 裏的電腦名稱和 IP 設定正確嗎?
防火牆先暫時關閉一下 Server 和 Client 都關閉一下.
Server 和 Client 都把 hosts 內互相把對方都加進去, 之後再試一次看看.

[QUOTE=塵緣;1065189]要啦 正航 客戶端第一次執行的時候 可以按F1 設定主機位置.... 要更改的時候也是執行後 按F1 更改主機位置[/QUOTE]
設定時需要電腦名稱嗎?

若用電腦名稱遠端撥入可能需要有 WINS 來解析, 沒有的話 XP 在 C:\WINDOWS\SYSTEM32\drivers\etc\hosts 這個檔案裏加上.

正航 伺服端和客戶端都加上.

例如:
我的 XP 電腦名稱叫 BX2AA 播 VPN 後 IP 是 192.168.0.139
正航 伺服端 電腦名稱叫 CHISRV IP 是 192.168.1.1
且雙方都能 Ping 通

那 XP C:\windows\system32\drivers\etc\hosts 內就加
127.0.0.1 localhost
192.168.1.1 CHISRV

正航 伺服端 C:\windows\system32\drivers\etc\hosts 內就加
127.0.0.1 localhost
192.168.0.139 BX2AA

然後再試一次看看.

[QUOTE=塵緣;1065189]網路查詢 VPN 下使用SQL 會有名稱問題 使用IP 可以解決....會不會是因為 DNS的問題造成的？？[/QUOTE]
是否在客戶端VPN 連線TCP/IP 的進階設定, 啟用 "NetBIOS over TCP/IP"? 是否在VPN 連線設定 "使用遠端預設閘道"?

小弟自己更正一下, 如果啟用 "NetBIOS over TCP/IP", 而且VPN Server 是Win2K3 以上, 那麼網芳應該會通才對, 不需要WINS 或lmhosts

[URL="http://technet.microsoft.com/en-us/library/cc739797(WS.10).aspx"]New features for virtual private networks: Virtual Private Network - Microsoft TechNet[/URL]

如果要解決VPN 廣播的話, 不妨試試免費的 "[URL="http://www.morpheussoftware.net/git/"]Morpheus Software - Gamer's Internet Tunnel (GIT)[/URL]"

[QUOTE=FYI;1065205]是否在客戶端VPN 連線TCP/IP 的進階設定, 啟用 "NetBIOS over TCP/IP"? 是否在VPN 連線設定 "使用遠端預設閘道"?

小弟自己更正一下, 如果啟用 "NetBIOS over TCP/IP", 而且VPN Server 是Win2K3 以上, 那麼網芳應該會通才對, 不需要WINS 或lmhosts

[URL="http://technet.microsoft.com/en-us/library/cc739797(WS.10).aspx"]New features for virtual private networks: Virtual Private Network - Microsoft TechNet[/URL][/QUOTE]

NetBIOS over TCP/IP <====== NetBIOS 預設值 (設固定 IP 自動開啟)

但是我測試的結果
XP ===> VPN ===> NIC1 ===> 2003 SERVER ===>NIC2 ===> Fedora11

XP PING 不到 FEDORA11 可以 PING 到 10.1.1.2 也可以 \\10.1.1.2
可是 \\fedora11 等幾十秒會得到錯誤訊息

但是 HOSTS 加了
10.1.1.2 fedora11
在 ping fedora11 就 OK
\\fedora11 就立刻跳出詢問帳號密碼
輸入帳號密碼就能看到分享資料夾

但是這時我將 XP 的 hosts 裏的 10.1.1.2 fedora11 移除 存檔
再連 \\fedora11 還是能連, 是因為要將檔案總管 工具 中斷網路磁碟機 那裡中斷掉後就連不到 Fedora11 了.

[QUOTE=bx2aa;1065230]XP PING 不到 FEDORA11 可以 PING 到 10.1.1.2 也可以 \\10.1.1.2
可是 \\fedora11 等幾十秒會得到錯誤訊息[/QUOTE]
你的VPN 連線是否啟用 "Client for Microsoft Networks"?

Fedora NMB Service的問題吧?

[QUOTE=FYI;1065248]你的VPN 連線是否啟用 "Client for Microsoft Networks"?[/QUOTE]

有裝那個協定沒有登入網域.
而且在 2003 Server 上可以 ping 的到 fedora11.
2003 上面沒有加 HOSTS 10.1.1.2 fedora11.

問題解決了　　正航系統的問題無關　ＶＰＮ形式......

T357.exe 確定可以用在　ＶＰＮ　跟　直接透過公共網路連線.....

但是前提是 必須 要擁有主機 網芳分享的權限............


我遇到的狀況是...........

上架VPN 後 我用 \\IP位置\ 連線到主機.....主機要我輸入帳號密碼....記憶後...取得網芳的權限......

但是...正航 可以連上 但是資料讀取有問題............



解決方法....

在自己的電腦 system32\drivers\etc 裡面的hosts 檔案 加上

主機 位置 與 主機名稱......

然後用 \\主機名稱\ .....連線到主機....記憶帳號密碼後.....取得網芳權限.....

這樣就可以正常的連上正航系統了.................


果然 是 名稱與 IP 位置的問題............:cry:

感謝各位朋友的熱心幫忙^^

[QUOTE=塵緣;1065390]解決方法....

在自己的電腦 system32\drivers\etc 裡面的hosts 檔案 加上

主機 位置 與 主機名稱......

然後用 \\主機名稱\ .....連線到主機....記憶帳號密碼後.....取得網芳權限.....

這樣就可以正常的連上正航系統了.................

果然 是 名稱與 IP 位置的問題............:cry:[/QUOTE]
請先回想在貴公司是否需要這麼麻煩? 若否, 是否在貴公司必須先登入網域? 若是, 則正好解決網芳權限問題, 其次, 若必須修改hosts, 則應該只是DNS 或NetBIOS Name Query 問題, 這代表你少了某些設定, 所以才需要修改hosts, 或者VPN Server 非Win2003 以上

[QUOTE=FYI;1065404]請先回想在貴公司是否需要這麼麻煩? 若否, 是否在貴公司必須先登入網域? 若是, 則正好解決網芳權限問題, 其次, 若必須修改hosts, 則應該只是DNS 或NetBIOS Name Query 問題, 這代表你少了某些設定, 所以才需要修改hosts, 或者VPN Server 非Win2003 以上[/QUOTE]
我在 2003 Server 上用 windump 抓的到
XP 播 pptp 後 ping fedora11
192.168.0.138.[COLOR="Red"]137[/COLOR] 255.255.255.255 可是 Server 沒有任何反應.
但是在 Server 上 ping fedora11 可以 ping 通.

Server 有需要開什麼服務嗎?
XP Client 預設值哪個選項需要改嗎?

[QUOTE=FYI;1065205][URL="http://technet.microsoft.com/en-us/library/cc739797(WS.10).aspx"]New features for virtual private networks: Virtual Private Network - Microsoft TechNet[/URL][/QUOTE]
請看 "NetBIOS over TCP/IP (NetBT) name resolution proxy" 一節
[QUOTE=bx2aa;1065414]Server 有需要開什麼服務嗎?
XP Client 預設值哪個選項需要改嗎?[/QUOTE]
Win2k3 & fedora11 都是網域成員嗎? 是否有可能Win2K3 Firewall 擋掉NetBIOS Name Query from VPN?

小弟只能猜測VPN Client 必須啟用 "Client for Microsoft Networks", TCP/IP 使用遠端預設閘道, 強制啟用 "NetBIOS over TCP/IP"

無Win2K3 可實驗, 小弟只能作 "無機之談"