为了更好地理解解决scheme,这是一个例子: 公司拥有1000名不断换座的用户(计算机设置有DHCP IP,因此用户可以不断更改其IP地址)和团队(LDAP组)。 每个组(LDAP组)都可以访问特定的VLAN 如何编写基于用户ldap组的路由规则? 我想build立一个像这样工作的VPN解决scheme: VPN将仅在局域网内使用。 没有互联网或远程服务器… VPN服务器可以访问所有专用VLAN和默认用户的VLAN(1)。 我将使用LDAP服务器来validation/授权用户。 基于客户端的LDAP组,VPN服务器将允许/拒绝私有VLAN的stream量。 所以我认为,我所描述的configurationVPN将在这种情况下工作。 是否有可能使用OpenVPN来构build这样的解决scheme? 怎么样? 新的想法是受欢迎的。 谢谢。
我最近看到两个与海外交通相关的问题,traceroute显示问题似乎在美国。 traceroute在最后一段时间下降。 亚马逊AWS,前 本地服务提供商。 我用traceroute联系了在德国提供服务的服务器,他们说它是ISP的问题。 不过,美国的服务器不存在这样的问题。 很明显,有人想要支付(对等)或其他方面的问题。 我知道他们没有什么可以做的,但是怎样才能确定哪个地方会有一条好路线呢? 和/或什么可以用来解释这个问题? 德国问题已经通过将服务器移到美国地区解决,但是现在在俄罗斯,我发现访问位于美国的网站(被AWS放弃)存在困难。 Traceroutes – 由AWS和Comcast放弃 俄罗斯 – > AWS美国东部地区 traceroute to ****.com (54.88.87.161), 64 hops max, 52 byte packets 1 172.16.42.1 (172.16.42.1) 1.713 ms 1.153 ms 0.976 ms 2 100.100.64.1 (100.100.64.1) 29.367 ms 24.386 ms 27.971 ms 3 100.64.255.98 (100.64.255.98) 27.628 ms 26.992 ms 28.032 ms 4 […]
我有一个路由器/主机有多个公共IP地址。 我想根据一些目标地址来改变源IP。 这已经在这里问了 : 如果stream量来自某些内部/其他主机,则源地址已经被选中,我们被迫使用NAT,没问题。 所以我们与本地stream量。 上述问题的答案表明,这只能使用适当的ip route条目使用src 。 是否可以创build该条目而不复制默认路由(可能会更改)? 另一个相反的答案是,NAT也适用于本地stream量。 NAT是否适用于本地stream量? 如果它工作,是否有任何build议NAT或路由应该使用? 我目前的想法是这样的: NAT有一个规则,它可以同时处理本地和非本地的stream量(一个地方保持configuration好!) NAT具有所有NAT的缺点。 路由使事情更加明显(可能更容易进入IGP)。
我已经一个礼拜把我的头撞在墙上,所以我想最终转向专家。 非常感谢您的帮助。 我想要做的是 :我有一些本地(家庭)networking上的资源,我希望能够远程访问。 我需要能够在远程计算机以及iOS设备上访问它们。 最后一点意味着我必须使用TUN而不是TAP,因为iOS OpenVPN客户端不支持TAP。 (当我在粗略的公共WiFi区域时,能够使用这个VPN访问更广泛的互联网也是很好的,但是这是次要的目标。) 到目前为止我所做的是 :我买了一台旧的Linksys e1200路由器,在它上面安装了支持OpenVPN的DD-WRT(特别是DD-WRT v24-sp2(06/07/14)vpnkong),并成功地设置了OpenVPN并从我的主路由器转发端口,以便我可以远程连接到它。 但是,一旦我的远程客户端连接,我无法访问LAN资源。 我一直在用各种OpenVPNconfiguration/端口转发/ iptables命令,但似乎无法得到任何工作。 也就是说,我在这个networkingconfiguration的层次上是相当新的,所以如果我做了一些愚蠢的事,让我知道。 这一切都是可以改变的。 我的设置 : ——————————– | DSL modem | | Internal IP: 192.168.1.254 | ——————————– | | ——————————- ———————————- | Main router | | DD-WRT router running OpenVPN | | 192.168.1.67 from modem | —- | IP: 10.0.1.17 | | […]
我configuration了一个前端logging,用一条logging引用后端服务器池。 引用的HAProxy后端服务器池包含一个logging,其最大con值设置为2000 。 在统计报告中,我可以看到这些规则的统计数字,一切看起来都不错,只是灰色后端行的聚合值包含Sessions Limit的值200,而在此之上的单个行的值为2000(在服务器中configuration池logging)。 testing也会产生最多200个会话的结果。 可能是什么问题呢? 我是否需要重新启动服务器池还有其他东西我缺less?
我在192.168.1.1子网上有一个LAN(LAN 1),在192.168.2.1子网上有另一个LAN(LAN 2)。 LAN 1在X0接口上,LAN 2在X4接口上。 我希望能够从LAN 1上的计算机访问LAN 2上的设备。 我无法为此设置路线。 我已经尝试创build一个局域网1子网和目的地局域网2接口IP源的NAT策略,但没有奏效。
我很抱歉,但这是我在debugging另一个问题时记下的问题,所以我无法提供任何其他信息。 无论如何:假设我们没有防火墙规则,并且如果我们调用ip route show则出现以下路由: 192.168.8.0/24 dev wlp3s0 proto kernel scope链接src 192.168.8.3 问题:根据tcpdump的规定,发往192.168.8.0/24地址的数据包如何不会出现在接口wlp3s0上? 假设192.168.8.0/24是地址最具体的路由。 我没有理由相信有任何政策路线,或任何路由表在运行,除了违约。 (不,这不是一个家庭作业问题,我只是没有足够的耐心来解决SE问题,因为我对原来的问题感到非常沮丧) 谢谢
我有两个SSG5来build立一个基于静态全局IP的基于路由的VPN,我希望站点A通过站点Bnetworking来浏览特殊的(外部站点)。 Google Site A –> Site B —> Youtube Website whatismyip.com Site A –> Site B —> Youtube Website Yahoo Site A—> Yahoo Website 我在网站A的SSG 5上设置了目的地路由 64.233.187.199/32 tunnel.1 SP 20 1 Root www.google.com.hk_001 Remove 141.101.120.15/32 tunnel.1 SP 20 1 Root www.whatismyip.com_001 Remove 在我设置了关于设置之后。 我仍然无法访问该网站。 如果我追溯到他们。 它将在第二步中举行。 网站一个GW IP B站点Gobel IP 我设置了一些策略Any Any事件来logging事件,并find下面的信任在网站B GW的不信任规则如下。 2015-07-08 13:03:01 […]
我使用Ubuntu Server作为我的networking的路由器/防火墙,原因很多。 直到最近,我还在为此使用10.04而取得了巨大的成功。 操作系统使用DNSMasq提供DNS查找和DHCP。 我最近使用Ubuntu 12.04安装了一个新的安装,因为10.04的支持已经结束了。 服务器提供dns,路由和dhcp。 我的configuration非常简单。 的/ etc /networking/接口 auto eth0 eth1 iface eth0 inet dhcp #WAN connection iface eth1 inet static #LAN connection address 192.168.16.1 netmask 255.255.255.0 network 192.168.16.0 broadcast 192.168.16.255 iptables命令(在内核中启用路由) iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X […]
为了testing目的,在一个大型networking中,如果组播数据没有在正确的VLAN中进行stream式传输,那么我将会攻击我,我试图通过运行netemconfiguration的服务器来降级多播数据包。 在下面的例子中,237.1.2.3:5000代表组播目的地址和端口。 至于现在,我用它作为一个netem桥这样( Currentconfiguration): ___________ eth2 | netem | eth3 237.1.2.3:5000 —–>| (latency, |—–> 237.1.2.3:5000 | drop…) | ———– 我的问题是:为了适应地址规划,我不允许在源码stream的内部保留一个地址的stream输出VLAN(链接到eth3)。 因此,我需要直接将电缆插入到要为其提供降级的多播input的设备 我想知道如何Expected1或Expected2configuration可以实现某种方式,离开通用桥梁模式,但保留的netem的东西: Expected1 ___________ eth2 | netem | eth3 237.1.2.3:5000 —–>| (latency, |—–> 238.1.2.3:5000 | drop…) | ———– Expected2 ___________ eth2 | netem | 237.1.2.3:5000 —–>| (latency, | 237.1.2.4:5000 <—–| drop…) | ———– 我很确定我已经在旧的FreeBSD设备上做过这个了,但是避免使用iptables等很长一段时间,这让我不得不重新开始……如果我正确地提醒,这是基于iptables规则的目标地址。确定它是否是组播。 如果我需要过滤源地址,这不会是一个问题。 […]