从一个VPN再到另一个VPN可行的吗？

大棵呆

是这样的。

我JB公司 （子公司）原本就有装置一个firewall 与 KL （母公司）用VPN连线。KL 的 Server 有一个application 不开放给internet user login 进来的。只能用intranet 进行。所以，我JB这边就须要建立一个VPN。我们双方都是用Fixed IP.

现在的问题是，JB 在外又设了一个小型的outlet。才两三职员而己的。他们除了要access JB这间的server外，也一样要access KL 那个application.
就是说，他们要去的地方有：1. JB Server, 2. KL Server.

这小型的outlet，他们不可能会去买一个firewall，也不可能去申请一个fixed ip 的 internet line的。
所以，我就叫他们用PPTP VPN 进来我JB 的Server。

但是，他们login 进来后，又想接用我的VPN 再到KL Server去就去不到了。

虽然，他们用PPTP VPN 进来后，已经可以拿到一个Virtual IP address 是我JB这边的 IP Range 来的。(例如：192.168.10.120)
可是即使这样，他们还是ping 不到KL 的那边的 ip. （例如：192.168.20.155), 他们ping 我JB 这边的 IP 就有反应。

想知道 client 用PPTP VPN 进来后又要怎样才可以去到KL Server?

chngck

没有问题，把Static Routing做好就可以，KL和JB的VPN Router需要设定

大棵呆

chngck 发表于 6-1-2014 04:55 PM
没有问题，把Static Routing做好就可以，KL和JB的VPN Router需要设定

请问你熟悉watchguard 吗 ？

chinkai80

一個問題， 你的 PPTP VPN 是設定在 client PC 上的嗎？

chinkai80

如果你是用 Windows 的 PPTP

Windows 的 PPTP 會默認 VPN 的 remote gateway 為 default gateway.
那麼當你做了 JP 的 PPTP, 那麼你的 user 在做 KL 的 PPTP 就會默認經過你的 JB office.

你可以試試看這樣, 去你的 Windows Network Connection
JP PPTP Connection Properties -> Networking -> TCP/IPv4 -> Advanced ->  Default gateway on remote network (uncheck).

這樣你就應該可以連去 KL 的 PPTP server 了。

不然， 你可以考慮買 Mikrotik RB750 的 router, RM200+ 罷了。
可以做 PPPoE dial up 也可以一併做 PPTP dial up. 一舉兩得。

大棵呆

chinkai80 发表于 7-1-2014 01:38 PM
一個問題， 你的 PPTP VPN 是設定在 client PC 上的嗎？

是的，我用的是Windows 7，用windows 的内定 setup PPTP VPN
domain 就是我的public ip, 在watchguard firewall 那里做Authentication, verified user id 和 password 对了就可以进到我的JB network了。
这架PC ping JB Network 里的每一台PCs 都有response, 都有reply, 但是，一ping KL 的 PC 就request time out了。

其实，我已经uncheck 那个Default gateway on remote network了的。所以我的这架client PC 是上得到网了的。确实，之前如果没有uncheck 就上不到internet.

再补充，KL office 和 JB office 都有安装firewall, 用的是ipsec.

chngck

那是因为KL那里你没有设定StaticRoute，你需要设定PPTP VPN的IP需要Route回来JB的router. 很简单的，不用那么复杂

大棵呆

chngck 发表于 7-1-2014 04:31 PM
那是因为KL那里你没有设定StaticRoute，你需要设定PPTP VPN的IP需要Route回来JB的router. 很简单的，不用那 ...

好。
我再想想要怎么搞。

chngck

对了，你KL和JB的VPN是怎样设定？IPSEC VPN? 如果里面有POLICY设定什么IP可以通过的话，你需要加你PPTP VPN的IP在里面。

大棵呆

chngck 发表于 8-1-2014 11:36 AM
对了，你KL和JB的VPN是怎样设定？IPSEC VPN? 如果里面有POLICY设定什么IP可以通过的话，你需要加你PPTP VPN ...

对! 用的是IPSEC 有个tunnel的，这个tunnel 就允许JB 的 LAN ip 进去，同时也只trusted 我JB这边的public ip (unifi 的fixed ip) 。
同样的，我也是允许KL 的LAN ip 进来我这里而己，我也只trusted KL那边的public ip (fixed ip)。

但是，PPTP VPN 先是进到我JB 这边，我会assign 一个 virtual LAN ip 给他。因为这时大家都是同在一组 ip range了，所以 client pc 是可以ping 到彼此的IP了。

你说，要我把PPTP IP 也加在policy 里面。但是，PPTP 的IP是dynamic ip (streamyx 啦，p1 啦...) 每天变来变去怎么加呢？
而且，当PPTP 进来以后就拿到一个virtual lan ip 了，这个virtual lan ip 是JB 这边的ip range了，而JB 的ip range 不是早在与KL 用的ipsec 设定好了吗？不是已经是允许进入了的吗？

hanching

multihome 听说过吗。小型的outlet用这个。但是Windows好像一次只可以进一个default router。

大棵呆

hanching 发表于 9-1-2014 12:53 PM
multihome 听说过吗。小型的outlet用这个。但是Windows好像一次只可以进一个default router。

不好意思，才疏学浅，没听过。
更重要的是，公司只会叫我用现有的设备去完成，没有很好很好的理由下是不会批准我买别的device的。

chngck

VPN的IP都是internalIP，PublicIP只是设定IPSEC Phase1 Handshake的时候才用，太久没有弄Ｗ牌防火墙了，忘记了。我的意思是有些防火墙在IPSEC Phase2 的时候会有类似access list给KL的internalIP去JB的InternalIP，还有JB的InternalIP去KL的InternalIP。

PPTP的IP最好用其他VLAN的IP。类似：-

KL - 192.168.10.1
JB - 192.168.20.1
PPTP- 192.168.30.1

KL的static route - ip route 192.168.20.0/24 JB VPN gateway 和 ip route 192.168.30.0/24 JB VPN gateway
JB的static route - ip route 192.168.20.0/24 KL vpn gateway

JB和PPTP是同一个防火墙，应该不用什么特别设定，Theory是这样跑，不过还是看用什么防火墙。最近我只弄Cyberoam和Fortinet的防火墙，Watchguard 。。。。。。Out了。现在最好用UTM (Unified threat management)

hanching

他的问题，有时候做几个subneting的时候都会遇到。A看不到B，有时候A看到B，或者反过来的问题。。。troubleshooting到会疯！

chngck

拍谢~弄错了 ........

JB的static route - ip route 192.168.10.0/24   KL vpn gateway

应该是这样~

qiangwaikan

中国好用的VPN很多，推荐这些翻墙软件
netflix vpn
vpn推荐
PC端vpn
台灣vpn
免费的vpn
mac翻墙
科学上网