背景 : 我们为我们的小公司提供了单林单域AD。 我们有两个地理位置不同的子网。 这两个站点都已添加为Active Directory站点和服务中具有适当子网的站点。 Site1中的其他域控制器工作得很好,并通过自动生成的复制拓扑自动复制。 所有域控制器都是Windows Server 2012. DNS是集成的活动目录。 插图 : 限制 : 没有MPLS。 CISCO ASA等基于硬件的VPN没有select。 我到目前为止所尝试的 : 使用我的ISP的CPE路由器将公共静态IP映射到DC1 (我不知道如何工作,但有一个控制台,我可以将公共IP映射到内部私有IP) Site2没有公共静态IP。 然而,当他们连接使用拨号,他们得到一个dynamic的公共IP(每次连接到互联网不断变化) 在DC1和DC2上,我启用了RRAS。 创build请求拨号适配器。 在DC2按需拨号适配器上,我提供了DC1的公网IP,静态路由为192.168.2.0 在DC1请求拨号适配器上,我省略了DC2的IP(因为我没有静态IP),并将静态路由设置为192.168.1.0 之后,连接成功,我可以从两端ping两台服务器。 我将请求拨号适配器设置为“ 永久 ”,ping仍然正常工作。 问题 : 我无法从Site1 ping Site2中的其他机器,反之亦然。 我以为这是一个站点到站点的VPN,因此所有的机器都可以到达其他站点的其他站点。 我错了吗? 无论如何,这不是我现在的要求。 只要服务器DC1和DC2都能看到对方,这对我来说很好。 多个条目开始出现在每个服务器的两个DNS服务器上。 一,实际的内部IP即192.168.1.x和192.168.2.x. 其次,VPN分配的IP。 第三,分配给DC2的公共dynamicIP(每次不断变化,因此条目加起来)! 这意味着无论何时使用名称对服务器进行ping操作,它都会在每个连接上parsing为不同的IP。 我真的不知道这是否是一个问题? 然而,AD拓扑以某种方式拾取服务器,但不断改变链接。 有一刻,DC2的NTDS设置显示DC1,有时它变成ADC3(Site1中的另一个DC),每当我右键单击并“立即复制 ”时,它就会显示类似“ …无法复制,因为它正在移动。 。 大多数时候,复制工作就好,但只有单向。 从站点1-DC1到站点2-DC2 。 […]
我在Debian主机上安装了StrongSwan VPN服务器,并希望在客户端连接到它时运行自定义脚本。 我唯一想到的是定期检查日志文件的内容,但看起来笨重。 有什么办法来指定一个脚本来执行连接,最好有一些方法来推断用于该连接的原始IP和login信息?
我是networking问题的新手。 我有一个问题,我不知道如何解决。 我有我的内部networking有一个固定的IP(只能通过VPN访问),我有一个服务器,我把一些虚拟机的个人发展工作。 但是,外部客户端需要访问其中一个虚拟机来testing已经开发的内容。 我怎样才能解决这个问题,以免给一个VPN客户端的访问? 他们谈到我在防火墙上build立一个端口。 这解决了这个问题? 我举个例子:我的固定IP是14.0.0.1 ,虚拟机是192.168.1.1 。 某人如何无障碍地访问虚拟机?
基础设施: 这里是我想要的,能够连接到我的局域网上的“路由器1”10.10.100.32:8080,8080端口以外的所有通信应该到默认网关“路由器1”。 iptables -t nat -A PREROUTING -t -nat -p tcp -s 0/0 –dport 8080 -j DNAT –to 192.168.67.251 但它没有奏效。
我正在与一个openVPN设置连接两个网站。 这是场景的样子 办公室1(服务器): 本地networking:192.168.178.0/24 openvpn server public ip:192.168.178.2在br0上 在tun0上的openvpn server internal ip:192.168.0.1 办公室2(客户): 本地networking:192.168.177.0/24 openvpn客户端公用IP:192.168.177.2在p2p1 在tun0上的openvpn客户端内部IP:192.168.0.6 openvpn内部networking:192.168.0.0/24 客户端和服务器都在NAT路由器的后面,并带有dynamic分配的IP地址。 基本上,任何一个办公室所涉及的机器都应该“彼此看”。 在两个站点上build立隧道并正确configuration路由表后,两个networking上的常规主机都可以ping通这两个networking上的所有内容。 目前很好。 但是,端点只能看到对方,而不能看到各自远端networking上的主机。 例如,如果做一个 ping 192.168.178.2 从VPN端点192.168.177.2,它工作得很好,任何其他地址不会工作; 主机不会回复。 现在看看tcpdump的输出,当我ping另一个地址,例如192.168.178.3。 11:11:28.104640 IP 192.168.0.6> 192.168.178.3:ICMP回显请求,ID 2130,序列1,长度64 源IP似乎不太正确。 它属于OpenVPN的内部networking,我没有得到ICMP回复。 当我明确指示ping使用正确的源IP时,事情开始工作: ping 192.168.178.3 -I 192.168.177.2 现在,tcpdump的输出也是可以的: 11:20:08.266271 IP 192.168.177.2> 192.168.178.3:ICMP echo request,id 7883,seq 17,length 64 11:20:08.316037 IP 192.168.178.3> 192.168.177.2:ICMP echo […]
我在亚马逊创build了一个VPC,并创build了许多公有和私有的子网。 这些子网中有一个是一个私有子网,在其中有一个Linux服务器。 我已经为私有子网创build了一个虚拟专用网关,并为公有子网创build了一个Internet网关。 我已经为合作伙伴防火墙和使用该客户网关的VPN连接创build了一个客户网关。 另一方build立了一个到AWS的VPN隧道,AWS报告隧道已经build立。 他们将服务器安装在AWS的私有子网中,并可以成功查看。 但是,我无法从AWS中的同一台服务器上ping其networking中的服务器。 Their server is xxxx (private ip on their network). My server ip is yyy43 (private Ip in private subnet) 从aws到服务器的traceroute如下所示: traceroute to xxxx (private IP on their network), 30 hops max, 60 byte packets 1 * ec2-79-125-1-96.eu <http://ec2-79-125-1-96.eu> <http://ec2-79-125-1-96.eu> <http://ec2-79-125-1-96.eu>-west-1.compute.amazonaws.com <http://west-1.compute.amazonaws.com> <http://west-1.compute.amazonaws.com> (79.125.1.96) 2.494 ms ec2-79-125-1-102.eu <http://ec2-79-125-1-102.eu> <http://ec2-79-125-1-102.eu> […]
我们在100Mbps / 100Mbps广域网链路的边缘有一个Cisco 2901,为Juniper SSG 550M提供IPSec VPN端点。 问题是我们在IPSec VPN上看到的只有40Mbps的最大值,当VPN达到容量时,思科的CPU负载在80-90%左右,而且一直停留在那里,根本就没有下降。 show proc cpu sorted命令给我以下内容: CPU utilization for five seconds: 81%/80%; one minute: 77%; five minutes: 40% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 101 188804 47594649 3 0.23% 0.22% 0.21% 0 Ethernet Msec Ti 14 482964 385534 1252 0.23% 0.04% 0.05% 0 Environmental mo […]
将iOS设备连接到我们的SonicWALL VPN(L2TP)时,大约需要30秒钟才能联系任何内部服务器。 这似乎纯粹是一个DNS问题,因为他们可以通过IP地址联系。 Mac或PC台式机/笔记本电脑上不存在此问题。
我有一个运行Windows Server 2012的几个EC2实例的VPC,将用作工作站(与WorkSpaces类似)。 现在他们在公共子网中,用户可以使用RDP连接实例的公有IP。 安全组只允许入站RDP连接,我将进一步限制到一个IP地址范围。 我的问题是用户build立到VPC的软件VPN连接(一个硬件在我的知识和预算之外),然后使用它的私有IP到实例的RDP是否会更安全。 或者既然RDP和VPN连接都是encryption的,假设我正确地configuration了安全组,那么就没有什么区别了? 我是一个初学者,所以请耐心等待。 提前致谢!
我试图让我的VPN(L2TP IPSec PSK)工作。 我有一个Synology NAS,在Synology支持页面上设置了一切。 在我的华硕RT-N66U路由器中,我打开了UDP端口500,1701和4500,用于端口转发到运行VPN服务的NAS。 看下面的图片。 但是从networking外部我无法连接到我的VPN。 我已经尝试从我的电脑和我的Android手机。 如果我在networking内部 ,并将我的VPN客户端的主机设置为由我的路由器给出的NAS / VPN的IP地址,那么它就可以工作,所以我想我的华硕RT-N66U路由器可能不会转发数据包正确。 关于这个问题的任何想法? 编辑 没有来自我的VPN日志的日志。 这是一个数据包转储,只有我的NAS捕获的L2TP IPsec通信的UDP数据包,所以看起来路由器相应地转发数据包: DiskStation> tcpdump -i eth0 -n udp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes 21:36:41.676327 IP 192.168.1.1.500 > 192.168.1.6.500: isakmp: phase 1 I […]