18. maj 2004 - 14:31Der er
9 kommentarer og 1 løsning
VPN mellem to ens subnet
Problem: Serveren står i 192.168.1.x, mask 255.255.255.0, gateway 192.168.1.1 Klienten har 192.168.1.y, mask 255.255.255.0, gateway 192.168.1.1
- men det er to fysisk adskilte net!
De to netværk befinder sig på hver sin lokation og jeg kan kun i yderste nødstilfælde få lov til at ændre det ene net. Jeg er derfor på jagt efter en metode, hvor jeg kan fortælle klienten, at hvis der kaldes på 192.168.1.x er det altså IKKE på det lokale net, men i stedet skal der oprettes en VPN via routeren.
Der er altid en løsning. Men der mangler flere oplysninger før vi kan komme videre.
- Hvilken routere snakker vi om ? - Hvor er VPN oprettet (i router eller client) ? - Har begge net public IP tildelt ? - Der kommer nogle flere spørgsmål undervejs :)
Det løste sig selv, da jeg fik dem overtalt til at lade mig omdøbe det ene subnet.
Men lad os for teoriens skyld fortsætte - måske andre kan have gavn af det.
Det drejer sig om ZyWall2 hos klient, Zywall10 hos server - og det er her at VPN etableres.
Begge net af WAN adgang via almindelige ISP'ere, server fast IP, klient dynamisk, hvilket ikke er noget problem, da 'trafikken' kun skal gå den ene vej.
Hvis ZyWall2 understøtter det, kan du lave en NAT, det gør at ZyWall10 tror at det er en andet net der kommer ind. Det gøres ved at lave NAT / VPN på al trafik til den IP, som serveren har.
Men Jeg ved ikke om det kan lade sig gøre i ZyWall, da jeg normalt arbejder med cisco
Problemet opstår vel egentlig allerede før. Jeg skal jo have trafikken dirigeret igennem Zywall2, når det drejer sig om lige præcis den specifikke netværksadresse 192.168.1.x, der ønskes kontakt med.
De kan begge køre SUA/NAT, så det del er i orden.
Jeg tror for øvrigt du har misforstået mig. Jeg ønsker at komme fra klienten på Zywall2 og koble mig på serveren. Resten af det 'fjerne' netværk er ligegyldigt.
For at få VPN delen til at virke på en Zywall, så skal det være to forskellige subnets f.eks. 192.168.1.x og f.eks. 192.168.2.y Det vil næppe komme til at virke på andre måder.
Man kan ikke med ZyWalls lave VPN forbindelse mellem 2 netværk som kører på samme netsystem da hvis 2 PCer med samme ip adresse skulle være på begge netværk, ville dette give en konflikt. Derfor skal alle PCer være på forskellige netværk i en VPN sammenhæng.
mandrake666: Nej, det kan ikke lade sig gøre at skifte ud med en softwareløsning! Det handler om sikkerhed. Målet skulle være at få den vilkårlige (men dog fastsatte) ip til at gå via router og derved aktivere tunnellen. Jeg kan ikke umiddelbart se løsningen med NAT.
wandaxp: Der må ganske rigtigt ikke være ens ip'ere på de to net, men derfor kan de jo godt have samme subnet! I den sammenhæng er det eneste krav at der ikke forekommer gentagelser af ip. Men det forhindrer mig jo ikke i at have 192.168.1. på begge net.
Nej det forhindre ikke dig, men det forhindre at de opfylder de forskellige certificerin ger, og det kan derfor ikke lade sig gøre det er sådan ved samtlige produkter jeg kender til VPN og det er over 8 forskellige fabrikater og mange produkter fra hver fabrikat... så jeg tror ikke du vil kunne finde nogen !!!! Beklager :-(
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
