V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
lichao
V2EX  ›  问与答

继续问 L2TP/IPSec 的问题,内网能拨通,外网拨不通。(附草图)

  •  
  •   lichao · 2013-10-29 10:26:44 +08:00 · 3839 次点击
    这是一个创建于 4025 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这次附上草图,希望能描述的清楚一些。(L2TP/IPSec + FreeRADIUS + MySQL )



    路由器上已经映射了 500,4500,1701 端口到 Ubuntu Server
    现在总公司局域网内,用 192.168.0.191 拨 Ubuntu 上的 VPN,能正常拨通。但是分公司的人,用广域网地址来拨这个 VPN ,就是拨不通,请问会是什么问题?

    这个方案的目的,是希望分公司的人拨通 VPN 后,才能访问公司内部的一个 Web 服务器(外网不可直接访问),请问这个方案是否适合?
    10 条回复    1970-01-01 08:00:00 +08:00
    linchanx
        1
    linchanx  
       2013-10-29 10:36:08 +08:00
    没看到有外网地址。。你确定你设置对了?
    yangqi
        2
    yangqi  
       2013-10-29 10:43:34 +08:00
    这个要一步步排疑了,
    先确定分公司的连接在哪被卡住了, 是路由器还是ubuntu server
    lichao
        3
    lichao  
    OP
       2013-10-29 10:59:28 +08:00
    @linchanx 用外网地址拨的时候,Ubuntu 上能抓到 500 端口和 4500 端口的数据包,所以端口映射应该是对了的,但最终就是连不上

    @yangqi 刚网上查了一下,可能涉及到一个什么 NAT 穿越的问题,可惜网络知识不过关,不了解
    rrfeng
        4
    rrfeng  
       2013-10-29 11:02:19 +08:00   ❤️ 1
    内网拨 192.168.0.191 当然可以
    外网怎么可能拨到这个地址呢……

    L2TP over IPSec 首先要建立 IPSec 通道,而 IPSec 是两个可以互相访问的 IP 来建立隧道的,不是端口映射的问题。假设要穿透 NAT 的话是需要一方发起连接,一方接受连接才可以。
    你的环境连 IPSec 都通不了吧,要么把 Ubuntu 放到 DMZ,给一个公网地址,要么在 router 上配置特殊的转发

    IPSec 隧道建立了之后,实际上分公司就可以直接访问总部内网地址了,l2tp 只是再加一次用户级认证
    lichao
        5
    lichao  
    OP
       2013-10-29 11:16:52 +08:00
    @rrfeng 谢谢,我再试试 DMZ
    xuzhe
        6
    xuzhe  
       2013-10-29 11:38:23 +08:00
    如果客户端系统是 Windnows 的话,为了安全默认不会和路由器背后的 Server 进行 IPSec 连接的。需要修改注册表或者改用 PPTP 就好了么。
    lichao
        7
    lichao  
    OP
       2013-10-29 12:17:57 +08:00
    @xuzhe 嗯,正在尝试 PPTP 方案了
    tywtyw2002
        8
    tywtyw2002  
       2013-10-29 13:34:42 +08:00
    做了端口转发吧,
    路由器上把vpn得数据包nat到了你的服务器上,但是破坏了ipsec的数据结构,造成了ipsec丢包。
    niseter
        9
    niseter  
       2013-10-29 17:31:31 +08:00
    按你说的问题,应该是l2tp/ipsec通过NAT时有问题,请参照@xuzhe的留言,windows客户端请修改注册表。
    lichao
        10
    lichao  
    OP
       2013-10-29 21:59:25 +08:00 via iPhone
    @tywtyw2002
    @niseter
    谢谢各位,改用 PPTP 方案了,全都已经测试通过
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3078 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:43 · PVG 21:43 · LAX 05:43 · JFK 08:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.