V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
lichao
V2EX  ›  Linux

问下有关 L2TP/IPSec 和路由器端口映射的问题

  •  
  •   lichao · 2013-10-28 15:46:41 +08:00 · 12285 次点击
    这是一个创建于 4043 天前的主题,其中的信息可能已经有所发展或是发生改变。
    准备用局域网里一台 Ubuntu 做 L2TP/IPSec 服务器,只分配局域网 IP 地址,然后外网通过路由器映射 500,4500,1701 端口抵达这台 VPN Server。

    现在遇到的问题是:
    配置 VPN 的时候,都提到了 /etc/ipsec.conf 和 /etc/ipsec.secrets 文件中需要设置服务器 IP 地址,请问我这里应该输这台服务器局域网 IP 地址,还是广域网 IP 地址?

    我现在是在这两个文件中设置了局域网 IP,然后从局域网中可以拨通这台 VPN 服务器,但是通过广域网却拨不通。

    请问正确的方式应该是什么?
    17 条回复    1970-01-01 08:00:00 +08:00
    ijse
        1
    ijse  
       2013-10-28 15:57:59 +08:00
    在局域网里访问广域网IP,应该也能访问吧?
    所以换成广域网IP试试?
    lichao
        2
    lichao  
    OP
       2013-10-28 16:13:56 +08:00
    @ijse 我在想,是不是路由器映射这个环节有问题
    ijse
        3
    ijse  
       2013-10-28 17:26:47 +08:00
    @lichao 用DMZ 试下? 排除下端口映射配置问题
    lbright
        4
    lbright  
       2013-10-28 20:58:08 +08:00
    l2tp方式似乎在国内被电信屏蔽了
    lichao
        5
    lichao  
    OP
       2013-10-28 21:29:35 +08:00
    @lbright 不会吧,我只是在我们公司内部搭建 VPN Server,方便分公司的人拨进来,不涉及GFW的,应该不是这个原因。
    lbright
        6
    lbright  
       2013-10-29 00:35:47 +08:00
    @lichao 我测试过两个国内的服务器是这样的情况 pptp能连 l2tp都连不上
    carrionlee
        7
    carrionlee  
       2013-10-29 08:27:56 +08:00 via iPhone
    应该不会和gfw有关,我家里局域网内的nas可以通过pptp和l2tp连上。路由器要设置端口映射和ddns。
    ijse
        8
    ijse  
       2013-10-29 08:31:42 +08:00
    @lichao 可以试下hamachi
    lichao
        9
    lichao  
    OP
       2013-10-29 09:42:37 +08:00
    @carrionlee 公司是固定 IP,应该不需要 ddns


    @ijse 方案选型已经定了
    fucker
        10
    fucker  
       2013-10-29 14:36:52 +08:00
    1,此服务器设置在DMZ区
    2,此服务器有双网卡,其中一个网卡要有外网IP

    以上满足一个就可以建立连接,如果1和2都不能满足,只靠端口映射,是不行的。
    vibbow
        11
    vibbow  
       2013-10-30 07:40:38 +08:00
    @fucker 在DMZ的话局域网怎么连?
    fucker
        12
    fucker  
       2013-10-30 09:34:39 +08:00
    @vibbow DMZ还是内网IP啊,只不过你在这台机器上ipconfig或者ifconfig只看得到内网的ip,但是外网机器ssh或者mstsc的时候用的是外网ip。
    fucker
        13
    fucker  
       2013-10-30 09:36:26 +08:00
    @vibbow 我现在用的就是DMZ设置vpn,外网pptp外网ip,内网pptp内网ip,都可以成功拨号。
    vibbow
        14
    vibbow  
       2013-11-01 22:12:17 +08:00
    @fucker DMZ的概念不是内网之间无法互通的么?
    lichao
        15
    lichao  
    OP
       2013-11-02 10:42:31 +08:00
    @fucker 你好,再问一下,L2TP/IPSec 情况下,似乎我局域网里拨外网服务器,同时只能有一台电脑可以拨通,是有这个限制吗,如果是,有解决方案吗?
    fucker
        16
    fucker  
       2014-01-05 18:17:19 +08:00
    @vibbow 这看你怎么设置了啊
    fucker
        17
    fucker  
       2014-01-05 18:22:28 +08:00
    @lichao 一般来说,不应该是这样的。即便是使用同一账号,也是可以多台机器同事拨的(PPTP是这样,L2TP应该也是可以的,我还没有论证,抱歉)。。
    我认为有一台可以拨通,那么防火墙一定是设置L2TP可穿透,不会是防火墙的问题。两台独立的内网机器分别拨也可以拨通,那也不会是那两台客户端的问题。
    可能性有两点:
    1,VPN服务器的问题,windows2003默认只允许5台客户端同时连接,如果设置只允许一台,或者仅剩一个拨号名额的情况下,你的两台当然只能有一个成功了。
    2,正如我之前所说的,我确实不清楚你两台机器是不是同一账号,也不清楚同一账号是否可以同时拨。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2830 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:24 · PVG 15:24 · LAX 23:24 · JFK 02:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.