iT邦幫忙

0

網路架構設定問題!

因公司分點(內網)先透過VPN連回總公司,接著再從總公司連上Internet,摸索好幾天,最後還是沒辦法解決,想請教各位高手或前輩們是否可以教導一下?感恩~

以下有幾個問題:
1.如何讓分點(甲電腦)可以連上網路?
2.總公司雙網卡的XP要如何設定?
3.如果要在10.1.0.Y網段要控管連入(甲電腦)的Port,是否需要增加一台Router? 或是什麼方式可以解決?

看更多先前的討論...收起先前的討論...
ayu iT邦好手 6 級 ‧ 2014-07-14 14:09:18 檢舉
如果是要連上總公司存取內網資訊, 用VPN OK,
若只是要上公網(Internet), 這樣走不是很麻煩嗎?
尤其分點在國外的話, 速度應該很不理想耶!
ks1217 iT邦研究生 5 級 ‧ 2014-07-14 14:28:52 檢舉
VPN指定遠端GATEWAY應該就可以了~
XP要開NAT分享 網卡一
220.69.210.3

其實XP拿來做這件事風險高
倒不如用一台 Vigor2925或是MHG-750來處理比較OK
andy7070 iT邦新手 1 級 ‧ 2014-07-14 18:12:57 檢舉
基本上你在XP上加那條路由應該只有XP那台能Ping的到甲電腦吧?

如果你只是基於管理方便的話可以直接在你的電腦裡加上那筆靜態路由應該就可以了,而甲電腦通網internet的路由就由VPN那二台來做

真要整個網段的都ping的到的話建議將XP換成server版本的,XP版本不支援路由設定,server的RRAS可以達到你的要求,可以做路由也可以做NAT
shuan0114 iT邦好手 1 級 ‧ 2014-07-15 08:15:57 檢舉
Dear ayu大大:您好~
目前公司的架構就是這樣,
我也沒辦法更改!!
只能透過現有的設備,
想辦法解決~
您也知道長官交代的事情,
只能儘可能辦到!!
※分點是在別縣市,而非國外!! XD
shuan0114 iT邦好手 1 級 ‧ 2014-07-15 08:20:41 檢舉
Dear ks大大:您好~
我嘗試過將甲電腦的gateway改成10.1.10.252和220.69.210.254都沒辦法上網!!
是否還要加入什麼或是設定什麼才可讓甲電腦上網?
※我有嚐試將10.1.10.Y網段的其中一台電腦的Gateway改成220.69.210.3就可上網!!
shuan0114 iT邦好手 1 級 ‧ 2014-07-15 08:26:36 檢舉
Dear januslin前輩:您好!~
您所謂的NAT分享是指10.1.0.Y網段的電腦都可以上網嗎??(這網段的電腦因該上網沒問題)
但是...是否連同分點(10.10.0.Z網段)的電腦也可同樣也能透過NAT分享可上網呢?
另外,您所提供的兩台設備只要放置在一端就可以了嗎?還是兩邊(總公司與分點)都要放置?
shuan0114 iT邦好手 1 級 ‧ 2014-07-15 08:31:41 檢舉
Dear andy7070大大:您好~
加入那條靜態路由,的確是可以Ping的到甲電腦,
置於您說的這句話
andy7070提到:
甲電腦通網internet的路由就由VPN那二台來做

我不了解,且如何讓甲電腦通Internet呢?我真的不會!懇請指導一下~
置於server版本,目前公司版權都有在使用,尚未有多餘的版本可讓我使用。
andy7070 iT邦新手 1 級 ‧ 2014-07-15 09:20:44 檢舉
既然你已經可以Ping的到甲電腦 那就說明了你的VPN已經是相通的了

你的VPN上述那二台設備是向ISP租賃的嗎?如果是,可以請他們協助設定,說明你的需求他們就會幫你設定了

如果不是的話,就要自行在上述那二台VPN設備設定路由,你只需要新增以下路由(我只能說明大約做法,你必須依照你的實際環境做設定):

1. 10.1.10.Z的VPN設備上設定預設路由指向10.1.0.Y網段VPN
2. 10.1.0.Y的VPN設備上設定預設路由指向那台XP電腦

以上做法應可達到你的要求
andy7070 iT邦新手 1 級 ‧ 2014-07-15 09:23:34 檢舉
預設路由應該改成預設"閘道"才對,拍謝拍謝 筆誤
andy7070 iT邦新手 1 級 ‧ 2014-07-15 09:24:38 檢舉
這樣能通@@?太神奇了 傑克XD
andy7070 iT邦新手 1 級 ‧ 2014-07-15 09:35:32 檢舉
丫........一大早就昏頭了 是預設路由沒錯= =沒筆誤
ks1217 iT邦研究生 5 級 ‧ 2014-07-15 10:45:10 檢舉
如您所述, 將Gateway指定為 220.69.210.3是XP對外的網卡可以上網~ 那路由應該都已經通了~
請確認您的甲電腦是否可以PING到 XP的 10.1.0.100 ?
假如可以~
請到XP新增route add -p 0.0.0.0 mask 255.255.255.0 220.69.210.3 到第二張網卡(10.1.0.100)

ps.理論上您新增的路由應該是不用加阿~ 電腦乙的Gateway已經是設定 10.1.10.252
10.1.10.252是否是 XP電腦跟電腦乙之間的那台網路設備呢??
ks1217 iT邦研究生 5 級 ‧ 2014-07-15 10:48:37 檢舉
如果您還要能控制電腦甲上網...那找個Proxy Server安裝到xp吧..
ks1217 iT邦研究生 5 級 ‧ 2014-07-15 11:02:46 檢舉
不好意思~ ROUTE ADD要改一下
route add -p 0.0.0.0 mask 0.0.0.0 220.69.210.3 到第二張網卡

請確認您的甲電腦是否可以PING到 XP的 220.69.210.3 ?
shuan0114 iT邦好手 1 級 ‧ 2014-07-17 10:15:03 檢舉
shuan0114提到:
※我有嚐試將10.1.10.Y網段的其中一台電腦的Gateway改成220.69.210.3就可上網!!
拍謝~ 輸太快,因該是無法上網!!
ayu iT邦好手 6 級 ‧ 2014-07-21 05:30:32 檢舉
或許是為了網路安全顧慮, 強制外點也要接受總公司網頁過濾吧.
難為你了, 為了五斗米不得不折腰啊. 加油!
我也認同 lonsin 的說法,
但不知目前各外點連到總公司VPN的電路為何? DialUP嗎?
2
darkslayer
iT邦好手 1 級 ‧ 2014-07-23 14:46:36
最佳解答

參考以下我以前的做法

在總公司開個proxyserver, 其他分點上網就靠它了 ㄎ ㄎ
所有的設定都不用動, 只要瀏覽器改個proxy設定就好

shuan0114 iT邦好手 1 級 ‧ 2014-07-28 09:08:34 檢舉

Dear Darkslayer大大:您好~
目前看起來您的辦法比較行的通!

0
IT緣來爐主
iT邦新手 2 級 ‧ 2014-07-14 13:29:20

圖上的資訊還不夠清楚,故無法幫樓主判斷問題點在那?疑惑
a. 10.1.10.Z 的那個VPN設備,是否有設定default routing往10.1.0.Y的那台VPN設備送?
b. 10.1.0.Y的那台VPN設備,是否有設定default routing往"XP雙網卡主機"送?
c. "XP雙網卡主機"上是否有新增一筆Routing 10.1.10.Z往10.1.0.Y的那台VPN設備送?
PS.以上前提,最少10.1.10.1和10.1.0.1兩台主機互Ping是OK的~~

看更多先前的回應...收起先前的回應...
shuan0114 iT邦好手 1 級 ‧ 2014-07-14 14:00:27 檢舉

如果是以上設備的話,甲電腦有辦法透過VPN回總公司連上網嗎?

驚啊~~回錯了..回成補充回答了....臉紅

shuan0114 iT邦好手 1 級 ‧ 2014-07-15 08:36:59 檢舉

Dear kaku0419大大:您好~

您指的Firewall設備是兩邊(總公司與分點)都需要有此設備囉?
如果屏除Firewall的話,
是否有其他的方式或方法達到甲電腦可以上網?
※畢竟公司不想出這筆費用購買Firewall設備,和每分點額外再遷一條對外網路,這與成本不符合!

和每分點額外再遷一條對外網路

等等.... 意思是... 連個網路都沒有??
那現在分點怎麼上網的... 3G ??醉

那那個圖上的VPN是過去式 or 現在進行式 or 未來式 ?

shuan0114 iT邦好手 1 級 ‧ 2014-07-15 14:11:21 檢舉

Dear Kaku0419大大:您好~
目前分點是透過VPN傳資料回總公司,目前暫時不開放對外網路的,但總公司這頭還有一條對外的網路,可以連上Internet!
※由於最近有個合作夥伴要求要[分點]可以連上網路,所以目前在找解決方案!

分點那再放一台防火牆吧

然後設VPN連回總公司

防火牆設定policy這樣分點也可以連網也可以用VPN傳資料回總公司

那分點目前的VPN是怎麼作的? 在圖中看起來是有設備的呀,那設備不能設定嗎?
可以說一下那設備是什麼廠牌型號嗎?

shuan0114 iT邦好手 1 級 ‧ 2014-07-15 17:24:43 檢舉

那分點目前的VPN是怎麼作的? 在圖中看起來是有設備的呀,那設備不能設定嗎?
可以說一下那設備是什麼廠牌型號嗎?

就是一般的ADSL數據機而已! XD

shuan0114 iT邦好手 1 級 ‧ 2014-07-15 17:26:03 檢舉

sunnylegend提到:
分點那再放一台防火牆吧
然後設VPN連回總公司
防火牆設定policy這樣分點也可以連網也可以用VPN傳資料回總公司

Dear sunnylegend大大:您好~
在不增加設備之下,是否有辦法解決呢?

0
darkhsu
iT邦新手 5 級 ‧ 2014-07-15 18:04:11

看起來你們是連防火牆也沒有吧?
若你們的VPN是跟ISP租用的MPLS VPN,應該可以要求他們將這朵VPN的Default Route指向10.1.0.Y網段的Router,這樣10.1.10.X網段電腦就可以上網,然後在XP雙網卡主機上增加static route將封包丟回去

但說實在,沒有防火牆或路由器來做ACL,你會累死~ XDD

shuan0114 iT邦好手 1 級 ‧ 2014-07-17 10:13:36 檢舉

Dear darkhsu大大:您好~
可請ISP業者幫忙設定嗎?這問題倒是沒想過! 請ISP業者設定的話,我10.1.0.Y這網段不用再做什麼設定嗎??

darkhsu iT邦新手 5 級 ‧ 2014-07-22 10:15:16 檢舉

回錯位置~ XD

話說,現在連Server都沒人敢直接對外了,你還敢把XP直接對外......

0
hcsvieken
iT邦研究生 5 級 ‧ 2014-07-16 08:28:09

甲電腦的 gw 是 vpn z網段設備,xp 10.1.10.0 的 靜態路由是 y 網段設備。
甲電腦 tracert 到 xp 看看

0
唬爛
iT邦好手 1 級 ‧ 2014-07-16 18:33:20

我之前處理過的案例

總公司與分公司各拉一條光世代(100M/40M) => 雙向40M/40M

兩端各用支援VPN Site to Site的Layer 3設備(IP分享器即可)

總公司Layer 3設備(IP分享器即可)設定靜態路由

打完收工

比申請貴森森的VPN線路便宜多了

安全性就靠Layer 3設備(IP分享器即可)限制IP存取即可,除非被DDoS攻擊,否則可應付大多數資安問題

看更多先前的回應...收起先前的回應...
shuan0114 iT邦好手 1 級 ‧ 2014-07-17 09:43:21 檢舉

Dear lonsin大大:您好~

照你的方式,本公司分點有10幾個,這些設備與光世代的費用加起來可能不便宜喔!!

唬爛 iT邦好手 1 級 ‧ 2014-07-19 01:33:30 檢舉

請問

  1. 你外點需不需要拉網路?

  2. 你外點需不需要Layer 3設備(IP分享器即可)?

這些本來就是必需品,只是採限制IP存取,會增加費用嗎?

唬爛 iT邦好手 1 級 ‧ 2014-07-22 21:12:21 檢舉

依你的網路架構圖

貴公司使用的是貴森森的VPN,若不想大幅改變貴公司網路架構,只需將該XP電腦改成Layer 3設備(IP分享器即可) => 設定靜態路由

唬爛 iT邦好手 1 級 ‧ 2014-07-23 13:35:42 檢舉

我的方法絕對比貴森森的VPN便宜多了,若外點多,總公司可考慮使用100M/100M or 300M/100M,這價格應該遠比貴森森的VPN便宜多了

shuan0114 iT邦好手 1 級 ‧ 2014-07-28 08:59:48 檢舉

Dear lonsin 大大:您好~

外點不需要拉網路,目前只透過VPN把資料傳回總公司!
且外點的電腦只是簡單連接數據機而以,沒有Layer 3設備喔!
本公司目前考慮不增加額外的費用為主要目標!

shuan0114 iT邦好手 1 級 ‧ 2014-07-28 08:59:48 檢舉

Dear lonsin 大大:您好~

外點不需要拉網路,目前只透過VPN把資料傳回總公司!
且外點的電腦只是簡單連接數據機而以,沒有Layer 3設備喔!
本公司目前考慮不增加額外的費用為主要目標!

唬爛 iT邦好手 1 級 ‧ 2014-07-28 13:27:18 檢舉

外點不需要拉網路,目前只透過VPN把資料傳回總公司 => VPN就是一種網路,是點對點的網路

難道貴公司的VPN是免費的?

0
jasonlin268
iT邦新手 1 級 ‧ 2014-07-18 17:28:48

記得考慮封包路徑怎麼去?如何回?
請您的VPN廠商在10.1.0.252(您的圖面10.1.0.1電腦的GW標示應該有錯)的Router上加上Default Gateway:10.1.0.100(XP網卡IP)。

2
eeie9999
iT邦新手 4 級 ‧ 2014-07-20 03:22:27

資訊不足,找ISP建VPN網路時也會指定哪邊為Default Route

  1. 10.1.10.1下tracert 168.95.1.1會走到哪邊才斷(判斷是否Default設定為10.1.0.252這端)
  2. 目前10.1.0.1能否上網? 如果10.1.0.252沒設定,應該是上不了
    XP端設定應該就這樣而已,最多就勾個分享連線(我忘記名詞了)
    如果只要提供甲電腦上網,把網卡2的防火牆開起來擋就好

要穩一點話,XP改裝Linux的套件來做
-----------以上為不花錢的做法,不保證安全及穩定性-----------

shuan0114 iT邦好手 1 級 ‧ 2014-07-28 09:07:37 檢舉

eeie9999大大:您好~

老實說我也想改用Linux套件來做,但公司都適用微軟的系統,故沒有太多時間讓我慢慢來測試!!
※畢竟小弟我對linux系統算是初級玩家!!Orz

eeie9999 iT邦新手 4 級 ‧ 2014-07-30 01:23:25 檢舉

不然花點小錢買台AP來搞也比windows來做好摟

我要發表回答

立即登入回答