1.目前是用居易 Vigor2960 跟大陸2925 做LAN TO LAN
但似乎都沒法成功,大陸連過來OK,可是IP卻都還是當地的,不是台灣的
,但用SSL撥接OK,想確定LAN TO LAN 是可以這樣翻是嗎
但雙方這樣連怎知要抓誰的IP?,難道要被翻的 NAT 部份才要設?
2.先前是用Fortigate 80c的設備跟大陸對連,收收信都還ok
但說換成vigor 後都會卡卡或斷線,難道設備效能真會差那麼多?
如果是這樣,那評估專線就不是那麼必要了,想說換回設備就好
已邀請的邦友 {{ invite_list.length }}/5
樓主的site to site IPsec VPN如果走的是路由模式
當然大陸那邊過來的Lan是那邊當地的IP呀
這跟SSL VPN登入,發給client防火牆所派的網段
當然作用上並不相同呀
請樓主有空再仔細研究一下相關原理
設備的效能如何? 應當在採購前做好仔細評估
有時更應考量環境因素及公司未來成長性
Fortigate因為在IPsec VPN功能上有做晶片的優化處理
即便是效能比較好
也是得看機器設備的型號與效能
以上小弟淺見供樓主參考
大陸連過來是當地IP, 這是正常的.
重點是, 樓主架的LanToLan有通了吧?
好像有另一種模式是大陸與台灣網段相同,然後將兩邊串起來, 成一個相同的大LAN
但這應該不是樓主要的吧.
tunnel直接走兩岸internet目前的經驗是容易不預期掉封包或是斷線,
尤其是在人大開會前後.
我本來也是改走internet直連, 但連線不穩痛苦了很久, 需要用rdp等常時連線用途就會很慘.只好再回去租實體VPN. 有使用量的話建議還是租用兩岸vpn穩定很多.
不過樓主若只需換回設備就能達到穩定收發, 也是一個解決方案.
VPN有典形就是TUNNEL MODE
TUNNEL意思就是在你內網IP之上包上一層外網來讓PACKET可以在INTERNET上流通
http://www.firewall.cx/networking-topics/protocols/870-ipsec-modes.html
連過來的時侯FIREWALL就會把上一層外網給解包, 所以看到是對方IP有什麼問題= =?
順便一提, SSLVPN比IPSEC VPN好的, 如果是連大陸的話
ISP 封 VPN 是可以用 PROTOCOL 去鎖的
IPSEC 有關的 PROTOCOL 可以是 50 (ESP) / 51 (AH)
但 SSL 就比較難了, 因為是我們常用的 6 (TCP), 如ISP封了就連網都上不了
不過SSLVPN天生是比較適用POINT TO MULTIPOINT的
你LAN TO LAN是MULTIPOINT TO MULTIPOINT, 效能是較慢的
iThome鐵人賽
看影片追技術