所以, 我有一个在VPC中运行的应用程序,当前有一个VPN连接到开发位置。 比如,10.0.2.25(内部ELB的IP,只能通过VPN访问)可以访问该应用。 我所拥有的支持VPN的路由器(又名客户端网关)没有BGPfunction。 我所在networking的CIDR(客户端networking是192.168.1.0/24),在VPC上有一个虚拟专用网关(vgwA)和一个相应的路由规则(目标192.168.1.0/24;目标wgwA)。 我可以访问应用程序没有任何问题(所有的ACL /安全组已正确configuration)。 我的问题是,当我想创build另一个VPN连接到不同的站点,但其networking具有相同的CIDR块(192.168.1.0/24)或可能重叠(或包含)它的CIDR块(例如192.168.1.0 / 16)? 这是否成功 – 客户端networking上的用户是否可以访问该应用程序? 基本上,我需要怎样才能将VPN连接到具有相同(或部分共同)CIDR的不同networking? 支持BGP的客户网关? 不同的虚拟网关在同一个VPC上? (我不认为AWS允许这样做,而且没有任何意义)基于客户网关外部IP的路由规则? (例如目的地:87.44.75.124目标:vgwA; – 没有意义)
我的工作是向远程员工推出一个名为springbrook的新应用程序(HR,Payroll等)。 该应用程序运行在我们的一台物理服务器(Win 2008 R2)上并在本地使用,我必须将networking驱动器映射到本地员工计算机上的服务器。 我创build了一个应用程序的桌面快捷方式,以便用户不必进入映射的驱动器,并以这种方式运行。 他们只需点击桌面快捷方式。 Springbrook使用LDAP协议(在我们的例子中是Active Directory)来validation用户是否尝试loginSpringbrook内部的loginID,因此当会话build立时,它需要用户login并通过身份validation与LDAP连接器build立连接,validation用户信息并允许他们访问。 我们的硬件防火墙是Sonicwall TZ210设备。 我有该设备中的VPN设置。 在使用Springbrook的用户工作站的远程站点,我已经正确设置了sonicwall VPN客户端。 在远程工作中,我可以build立到我们networking的连接,映射networking驱动器并打开Springbrooklogin页面。 当我input证书时,会popup一个Springbrook错误消息,告诉我我input的密码不正确。 事实并非如此,因为我知道凭据是正确的。 我联系了Springbrook,技术人员告诉我,authentication不会在VPN隧道中发生。 好的。 我知道,哈哈 他然后说,他们使用思杰为他们的远程员工。 我相信思杰有一个非常好的WebApp工具,但是如果我能通过VPN隧道来做到这一点,并节省我们的钱,那就太好了。 任何build议我的技术人员? 服务器:Win 2008 r2 Firewall \ VPN:Sonicwall tz210 Active Directory域 我在我们的防火墙中启用了LDAP,得到了相同的结果。 这没有用。 除此之外,我还没有尝试过任何东西。 远程工作站运行与运行springbrook的本地工作站相同的“东西”就好了。
我的公司在192.168.1.0 / 24子网上有一个PPTP VPN(我知道它不是很安全)。 对于从家庭networking连接的人,如果其子网是192.168.1.0 / 24,则文件共享不起作用。 一些(并且只有一些)SMB服务器在Windows 7上没有正确响应。 从我的家庭networking(192.168.4.0 / 24),一切按预期工作。 那么可能是什么问题呢? 在两个networking上重叠IP? 路由? 我怎么能解决这个问题,而不要求人们改变他们的家庭networking(我不想被解雇),而不改变公司的子网? 谢谢你的帮助。
是否可以使用ASA 5520 / Cisco 1841 DSL路由器将本地VLAN扩展到通过IPSEC VPN连接的远程站点。 我们可以在ASA之间build立多个VPN隧道吗? (从每个VLAN每个VPN?) 如果没有任何其他选项/组合可用?
我在外出办公室和AWS VPC之间build立一个VPN有一些真正的问题。 “隧道”似乎是起来的,但我不知道他们是否正确configuration。 我正在使用的设备是一个Netgear VPN防火墙 – FVS336GV2 如果您在从VPC(#3隧道接口configuration)下载的configuration中看到,它给了我隧道的一些“内部”地址。 设置IPsec隧道时,我是否使用内部隧道IP(例如169.254.254.2/30)还是使用我的内部networking子网(10.1.1.0/24) 我尝试了两个,当我尝试本地networking(10.1.1.x)时,tracert停在路由器上。 当我尝试使用“inside”ips时,到Amazon的VPC(10.0.0.x)的tracert通过互联网发送。 这一切都引导我到下一个问题,对于这个路由器,我如何设置阶段#4,静态下一跳? 这些看似随机的“内部”地址是什么,亚马逊从哪里产生的呢? 169.254.254.x似乎很奇怪? 像这样的设备,防火墙后面的VPN是什么? 我调整了下面的任何IP地址,以便它们不是“真实的”。 我完全知道,这可能是措辞不当。 请如果有任何进一步的信息/截图将帮助,让我知道。 Amazon Web Services Virtual Private Cloud IPSec Tunnel #1 ================================================================================ #1: Internet Key Exchange Configuration Configure the IKE SA as follows – Authentication Method : Pre-Shared Key – Pre-Shared Key : — – Authentication Algorithm : sha1 […]
有没有办法在less数几个节点(4)之间创build点对点的虚拟专用服务器?每个数据包直接到达目的地? 每个节点都有一个公共地址,并将在专用networking上托pipe一些带有地址的虚拟机。 每个节点将能够直接连接到其他节点抛出其公共地址。 需要将是: 无中心networking(没有单点故障) 数据包直接到达目的地(节点到节点) 它应该是一个单一的networking(没有路由) 我可以想出一些解决scheme,但是他们不检查这三点: 第一个解决scheme(图像中的S1)将在节点上创build桥接VPN,并将其他节点连接到该节点。 这两点是不被尊重的。 事实上,有一个单点故障(VPN服务器),一个从VPN客户端到另一个的数据包将不得不抛出VPN服务器(点2)。 另一个解决scheme(图中的S2)将是在每个节点(使用VPN客户端 – 服务器)之间build立一个桥梁,并启用生成树清除循环。 在这里,我们尊重第一条规则,因为在节点故障的情况下,STP将重塑networking,但是由于生成树协议会切断某些链路,所以我们仍然不尊重第2点。 对于第三个(图像中的S3)解决scheme,可以创build3个不同的专用networking(例如,节点1为10.1.0.0/16,节点2为10.2.0.0/16 …,路由数据包服务器使用节点到节点链接,这个解决scheme将满足需要1和2,但是,当然,不是3。 实际上,我希望所有节点都作为一个分布式交换机,通过只发送数据包到持有目的IP的节点。 有没有一个解决scheme能够匹配这三点?
我正在通过调查一个VPN来慢慢学习更多关于IP路由和ip工具集的知识。 当我启动一个特定的VPN客户端后, ip route show显示的(新)路由之一是 128.0.0.0/1 via 10.144.1.8 dev ppp0 proto none metric 1 我想知道,这是什么意思 ? 我相信我明白(但纠正我错在哪里) 128.0.0.0/1是CIDR “匹配左边的第一位的所有地址” via 10.144.1.8表示将所有的stream量(目标地址匹配为128.0.0.0/1 ) 128.0.0.0/1到IP#= 10.144.1.8 dev ppp0意味着使用interface = ppp0 (推测使用点对点协议 )将所有stream量路由到该主机。 proto none表示没有路由协议适用于这条路由。 不确定在这种情况下会有什么影响。 metric 1意味着“ 优先select此路由到任何其他路由,但metric = 0的路由除外”。 所以, IIUC ,这个路由有这样的语义:“如果我收到一个包含最左边一位的目标IP地址的数据包,我将把它发送到IP = 10.144.1.8上,我的接口= ppp0 … 除非我得到一个路由匹配相同的目标IP地址, metric=0 ,在这种情况下,我将使用其他路由。 那是对的吗? 如果不是,我错在哪里? 如果正确:VPN客户端为什么要设置此路由? 这可能是为了什么用途呢?
如果默认网关IP是dynamic的,我可以添加静态路由到VPNnetworking吗? (Windows 7的) 如果默认网关没有改变,那么使用永久路由很容易解决这个问题: route add 10.0.0.0 mask 255.255.255.0 192.168.117.232 -p 但是,由客户防火墙创build的VPN会为VPN的默认网关分配一个dynamicIP地址,因此IP的最后一个块可能会更改。 有没有办法通过适配器做到这一点? 或者使用IP范围?
我有一个pfSense路由器,它是站点到站点IPSec VPN的端点。 在pfSense中,主LAN接口是10.0.2.1/24,并且具有虚拟IP 10.0.125.1/24 IPSec阶段2将10.172.0.0/16(从另一端)连接到10.0.125.1/24networking。 现在我想从另一端连接到一个IP,但是从10.0.2.0/24networking的一个IP连接 所以所需的连接是10.0.2.27到10.172.0.119 我尝试添加10.0.125.1作为pfSense中的网关,并将所有stream量路由到另一个networking上,当我这样做时,我可以ping pfSense主机的另一端,但不能从10.0.2.0/24networkingping通。 我试图添加出站NAT,但这也没有帮助。 我究竟做错了什么?
我是一个小企业主,一个电子商务公司,面临以下问题。 现在的情况。 我们有一个办公室和一个物理位置。 该办公室有一个思科ASA防火墙/路由器连接到外部世界。 路由器也configuration为VPN。 一些远程员工,login到VPN访问一些本地networking资源等。我也使用我们的办公室的VPN和内部IP来保护许多其他的东西。 例如,我们有非现场生产服务器。 对这些服务器的RDP和FTP访问仅限于实际在办公室或VPN中的人员。 基于办公室的知识产权。 我们正在寻求虚拟,没有更多的办公室。 本地networking资源将被移动到像AWS这样的东西。 但是,我不知道如何保护我的生产Web服务器了。 我真的很喜欢RDP和FTP仅限于一个IP地址的事实。 如果我没有物理位置,我会丢失该IP地址。 这就是为什么我想知道是否有像“虚拟VPN”这样的服务,远程工作人员可以login并进行身份validation。