我在客户办公室的Intranet服务器上部署了一个基于浏览器的应用程序。 他们拥有Wyse瘦客户机,并最近添加了Surface平板电脑以供办公室使用。 90%的时间,用户正在从一个多站点公司的广域网连接,所以没有问题的内网服务器。 我们希望为其他10%的时间find最简单,最容易维护的解决scheme。 是否可以configuration移动Windows机器和网关服务器,以便从家中请求以“OURINTRANETSERVER”开头的URL将通过适当的网关路由到内部网服务器,而不必使用VPN,也无需直接暴露在公共IP上的Intranet应用程序? 如果是这样的话,build立一个虚拟专用网与这样做会有多大的优势? 我不清楚这样的路由是否有效地将Intranet服务器暴露给互联网,或者这种方法的设置/维护是否与设置VPN一样麻烦。 假设与服务器的所有连接都将使用SSL,所以我们不必担心VPN在encryption敏感信息方面的优势。
我们有一个网站到现场IPSEC VPN,两个端点都是Cisco PIX 515e的。 两端的链接都是100MB,但VPN上的速度(使用jperflogging)最多为4MB。 显然这代表了我们应该得到的速度的巨大鸿沟。 我很欣赏将有VPN的开销,但肯定不是那么多。 看着它,两个PIX的所有接口都将其MTU设置为1500.运行一些testing来检查pathMTU显示如下: 通过VPN隧道 SITEA – > SITEB = Path MTU 1300 SITEB – > SITEA =pathMTU 1434 不使用VPN隧道 SITEA – > SITEB = Path MTU 1500 SITEB – > SITEA = Path MTU 1500 所以; 在创build隧道之前,pathMTUbuild议1500的接口MTU是可以的。 然而,在VPN上运行相同的testing返回较低的build议MTU,并在那个不同的testing。 我们应该把我们的PIX上的MTU放到build议的1300/1434值中的一个还是一个红鲱鱼? 和; 如果我们将MTU降到这些值,我们是否也需要相应地更改MSS(两个设备上的当前默认值)。 任何指导,将不胜感激,因为这不是一个链接,我们可以尝试101件事情没有正当理由,由于业务性质和链接。 提前谢谢了。
是否有任何可能的方式来configuration一个PPTPD VPN服务器只转发DNS请求,以便我可以节省带宽? 谢谢,弗朗西斯
我正尝试在隔离networking上的ASA 5512x和5505之间build立站点到站点vpn IPsec隧道。 我在两台设备上运行了IPsec VPN向导,并使用了相同的configuration,但似乎并没有试图与对方交谈。 5512 外部接口:172.16.1.1 里面的界面:10.10.254.254 5505 外部接口172.16.1.2 里面的接口:192.168.1.1 我目前只是在每台设备的外部接口之间运行networking电缆,我能够从每个设备上ping 172.16.1.x IP。 有什么我失踪? 对不起,如果这是显而易见的,但我从来没有使用过站点到站点设置。 5512运行的是ASA 8.6(1)2,而5505运行的是ASA 8.2(5)…我不确定这些是否不兼容,我无法在网上find答案。 我会尝试升级5505,但是我目前没有访问思科帐号的下载图片,我正在等待一位同事的回信。 这是两个设备的configuration: 5512configuration: : Saved : ASA Version 8.6(1)2 ! hostname asa5512 domain-name test.com enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 172.16.1.2 255.255.255.0 ! interface GigabitEthernet0/1 […]
我有Carambola2设备上运行的OpenVPN客户端[1],当我使用3g / umts棒或有线以太网时,OpenVPN客户端每次都build立VPN隧道。 当使用WiFi时,如果WiFi信号不完美,则OpenVPN客户端由于TLS超时而失败10/10! 日志在60秒后显示LS超时。 如果杨桃设备(客户)与AP在同一个房间,那么OpenVPN得到build立没有任何问题! 当其他房间的杨桃设备(它与AP之间有两堵墙,信号显示-80dBm左右)时,没有丢弃ping,但是由于TLS超时,OpenVPN在60秒后失败。 我试图在客户端和服务器上设置“tls-timeout 120”,但是60秒后这些仍然是TLS超时,我做错了什么? 我应该在OpenVPN服务器上切换到tcp而不是udp吗? 有什么我可以尝试的其他调整? 我已经读过有时function不太强大的设备(智能手机和小型家庭无线路由器),或者在使用非常慢的连接(GPRS信号覆盖范围较小的区域)时,在TLS握手过程中导致TLS超时问题,因为超时发生在客户端完成计算会话密钥。 但是,为什么这些设备build立OpenVPN的连接没有TLS超时时,无线信号是理想的10/10? [1] http://8devices.com/carambola-2
我正在尝试跨networking(互联网)转发系统日志和事件日志。 Win Computer —-| (There will be multiples of these forwarding to a single source) Win Server ——| >> Internal Syslog Server >> || >> External Syslog Server >> Splunk Win Server ——| Win Router ——| 我想知道如何实现这一点(我可以把日志到内部系统日志服务器),但我的问题是确保所有来自内部服务器的日志保持可信,当他们得到splunk没有被看起来相同改变。 也可能需要encryption。 将有4-5个不同的内部系统日志服务器转发到这个外部源。 所以我的问题是,我是否与rsyslog,syslog-ng等去?还是我去VPN内部系统日志服务器通过VPN转发事件? 如果使用encryption/ TCP的系统日志转发更好,那么是否有可能/可行?
我使用内置的Windows 7 VPNfunction和内置的Windows 8路由和远程访问(RRAS)VPNfunction,为我的Web服务器设置了一个指向其FQDN的VPN隧道(例如my.server.com)。 如何确保所有以FQDN“my.server.com”为目标的stream量通过VPN隧道路由? 具体来说,如果我将\\my.server.com\sharedfolder键入到资源pipe理器地址栏中,或者将资源pipe理器中的共享驱动器映射到这样的path,我希望stream量通过与my.server.com关联的VPN。 基本上,我希望Windows能够足够聪明,当VPN连接到“my.server.com”时,通过encryption的VPN将stream量路由到“my.server.com”,并在没有连接时正常路由它。 那是过分的要求? 在我看来,一旦连接,VPN得到一个本地IP地址,如192.168.1.101(我已经在我的用户帐户属性的拨入选项卡上的服务器上静态分配),并定位该地址确实路由stream量通过VPN。 看起来目标为“my.server.com”的stream量绝不会通过VPN路由,而是与VPN的IP地址分开处理,而我必须使用该VPN IP地址通过VPN路由。 唯一的好处是可以configuration防火墙,以便文件共享stream量只能从该IP地址发起。 这个设置有两个问题: stream量目标“my.server.com”不会自动通过VPN路由,由于VPN处于活动状态,因此这是不安全和混乱的。 这是非直观的。 当我尝试再次访问驱动器时,Windows资源pipe理器倾向于在使用本地子网地址(如\\192.168.1.101\sharedfolder时让驱动器连接超时,并且资源pipe理器冻结好30秒。 这真的很烦人,当驱动器映射使用像\\my.server.com\sharedfolder的FQDN时,不会发生问题,但它不会通过VPN路由! 我怎么解决这个问题? 更新:我也注意到,当我有2个VPN连接,一个静态IP 192.168.1.101和另一个192.168.1.102。 在build立了两个VPN并且都设置为不使用VPN上的默认网关的情况下,两个VPN在连接状态下显示这两个独立的IP地址,Explorer会感到困惑,无法连接到第二个VPN,然后打开一个新窗口并尝试到第二个地址,似乎将其与第一个地址等同起来,然后在两个地址(101和102)上通过第一个VPN访问一个服务器上的相同文件夹。 这个不成立。
是否有可能通过VPN将公司networking的连接限制在某些计算机上? 例如,是否有可能只允许某些授权的计算机,而不是任何Mac?
我有一个连接到公司的VPN(vpn.company.com)的Windows 2012 Web服务器来访问networking资源,并且需要向该公司的用户发送电子邮件。 当Web服务器未连接到VPN时,可以将电子邮件成功发送给任何人。 但是,只要我启动VPN连接,任何使用@ company.com电子邮件的用户都将不会收到该电子邮件。 发送到另一个域工作得很好。 死信目录始终存在以下错误消息:诊断代码:smtp; 550 5.7.1无法为[email protected]进行中继。 我也有分离隧道启用,所以服务器可以在互联网上公开访问,并有VPN连接。
我在希腊的社会福利中心工作,该中心由大约150公里范围内的5个独立机构组成。 其中4个通过Syzefxis有效连接, Syzefxis是各种电信的国家项目,包括每个机构的255.255.255.0个子网。 这就是说,我们能够轻松地在4个机构之间允许局域网访问,真正改善了数据集中等。 为了澄清我的立场,我是一名PHP开发人员,具有软件开发的小背景和相对较less的networking和pipe理经验。 作为唯一一名与技术相关的员工,我实际上在pipe理整个networking ,还修复所有的PC (包括真正的旧PC ), 开发我们的网站,以及一般做与非电子设备有关的任何事情 。 (此时,你应该已经对我有些同情了……老实说,他们要求我把所有东西都从networking交换机,空调遥控器,到打孔器等等)。 在这一点上,我们networking的问题是清楚的。 我们其中一个机构急需访问我们的局域网。 我们目前有两个select: A)要么build立我们自己的VPN – 或者 – B)要求我们的ISP(SYZEFXIS)提供一个远程连接点(他们称之为),这几乎是一回事,但是我们将按月支付费用。 我会很高兴听到你可能会build议的任何其他选项,因为这是我们真正的问题。 我冒昧地尝试在我们的机构服务器上设置我们自己的VPN,这也是我们的networking服务器,我们的文件服务器,我们的代理服务器以及具有两个物理IP的唯一的机器 。 所有这些服务使用的IP是10.169.31.29。 因此,我安装了“networking策略和访问服务”服务器angular色,没有RADIUS,并将其设置为其他IP,但没有被其他angular色占用:10.169.31.31。 虽然这里有一些限制让我很难继续: 1) 我不能做我自己的端口转发。 我只能要求我们的ISP打开一些端口,这需要几天的官僚主义浪费,所以我不能从局域网外testing我的vpn。 2) 我们的服务器操作系统是Windows Server 2008 R2,客户机是Windows XP(可能是家庭版) 。 不幸的是,我无法改变这一点。 3)一旦我得到客户机连接到第一个子网,我需要以某种方式授予访问所有4个子网(这意味着访问255.255.0.0)。 4) 我们的局域网没有DHCP。 SYZEFXIS中的所有IP都必须手动设置。 问题: 1)我可以从局域网内的另一个子网testingVPN吗? 我试图这样做,但我得到各种错误,我不确定它们是否与我正在尝试连接到已经是我已经部分的局域网或现有configuration的事实有关。 其中一些错误是: 错误800:无法build立连接 错误13806 错误913 2)基于这个服务器已经扮演很多angular色的事实,最好是避免在它上面build立一个VPN,并且只需要我们的ISP的付费解决scheme? 3)尽pipe极不可能,如果我把这个VPN启动并运行,它是否会自动允许客户端访问所有4个子网,或者我应该以某种方式configuration它? 我已经试着find网上的错误的解决scheme,但我似乎无法得到任何东西在我的脑海。 请原谅我的问题的长度,并感谢您的时间阅读到目前为止。