由于公司搭建了Vpn服务器，一外地部门要vpn连入公司总部，但是外地只有一个公网ip，且有数十台pc要连专网，因此考虑用一台机器做代理，现在调试了半天还是不行，请高手指教。
1、公司总部服务器端，win2000 server做vpn服务器，网卡A：公网ip，网卡B：192.168.10.100，vpn网段：192.168.4.100
2、外地部门局域网配置为：192.168.200.X网段，现在一台ip为192.168.200.36做拨号连入公司vpn服务器，得到ip为192.168.4.101，且能ping通192.168.4.X和192.168.10.X网段
3、问题：局域网中其他机器，我做了一个静态路由为：route add 192.168.0.0 mask 255.255.0.0 192.168.200.36,做好之后，只能ping通192.168.4.101，不能通192.168.4.100，更别说192.168.10.x网段了
现请教，路由应该如何做能使得外地部门192.168.200,X的网段能通过192.168.200.36（vpn：192.168.4.101）的机器做代理，访问到vpn服务器端的内网网段192.168.10.x

你为什么不让拨入的ip为10.x呢？

领导要求网段隔离，安全。

192.168.200.36上安装ＩＳＡ，试下三网卡，或者双网卡。建立如下规则

route -p add 192.168.4.0 mask 255.255.255.0 192.168.200.36
route -p add 192.168.10.0 mask 255.255.255.0 192.168.200.36

[ 本帖最后由 kenknigh 于 2008-1-28 14:30 编辑 ]

引用:

原帖由 kenknigh 于 2008-1-28 14:24 发表
192.168.200.36上安装ＩＳＡ，试下三网卡，或者双网卡。建立如下规则

route -p add 192.168.4.0 mask 255.255.255.0 192.168.200.36
route -p add 192.168.10.0 mask 255.255.255.0 192.168.200.36

这种方式,不行.LZ的想法也是不行.因为机器拨号成功后,本机只是获得一个总部VPN虚拟的IP...理论不可作网关的

现在有两种比较简单的方式,一个硬件设备.这种设备价格有高有低.找找供应商,或许结果另人满意的..

第二种配置两边的两台服务器作为ＩＳＡ服务器，作为站点到站点的ＶＰＮ连接，下面的连接是配置说明．仔细看一下．实验一下．

http://www.isacn.org/info/list.php?sessid=&sortid=16

引用:

原帖由 kingstar 于 2008-1-29 09:03 发表

这种方式,不行.LZ的想法也是不行.因为机器拨号成功后,本机只是获得一个总部VPN虚拟的IP...理论不可作网关的

现在有两种比较简单的方式,一个硬件设备.这种设备价格有高有低.找找供应商,或许结果另人满意的..

...

我的想法来自这里》how to:配置ＩＳＡ防火墙作为网络间的路由器。你看完后也许会改变看法的。

http://www.isacn.org/info/info.php?sessid=&infoid=189

[ 本帖最后由 kenknigh 于 2008-1-29 09:19 编辑 ]

引用:

原帖由 kenknigh 于 2008-1-29 09:12 发表

我的想法来自这里》配置配置ＩＳＡ防火墙作为网络间的路由器。看完也许会改变看法的。

http://www.isacn.org/info/info.php?sessid=&infoid=189

你可能没有仔细看．．．

一个是一个区域内使用交换机连接．．可以说这里的ＩＳＡ的角色可能是三层路由交换机的路由角色而已，

一个是通过互联网连接的．不一样的．．．你想一下，假如你的想法是真的．．．你的ＩＳＡ三个网卡，接什么？如何设置

ＩＳＡ本来应该放在internet网关处，这里的ＩＳＡ只作了路由器，作为一个解决方案，他有取巧的地方，不过应该很合身。

可以设定三块网卡的ＩＰ分别是192.168.200.36，接网卡Ｂ:192.168.10.100（如果192.168.200.36一直作ＶＰＮ服务器的话，可以使用内网地址192.168.4.0/24，这样拨入192.168.200.36的192.168.200.0/24的内网机器可以以192.168.4.0/24互相ping到）
192.168.4.1,接交换机（这块网卡或者不需要）
192.168.10.1.接交换机

声明：如果成功或失败都要告诉我哦，我无法作实验，sorry!!!

[ 本帖最后由 kenknigh 于 2008-1-29 10:28 编辑 ]

引用:

原帖由 kenknigh 于 2008-1-29 09:30 发表
ＩＳＡ本来应该放在internet网关处，这里的ＩＳＡ只作了路由器，作为一个解决方案，他有取巧的地方，不过应该很合身。

可以设定三块网卡的ＩＰ分别是192.168.200.36，按网卡Ｂ:192.168.200.100,
...

给你晕死．．．１０段是总部的ＩＰ段．这边设置没有用的．．

即使你想的使用ＶＰＮ拨号获得的ＩＰ作为ＩＳＡ为外网的ＩＰ．．．

然后内部直接２００．Ｘ,两张网卡的方式也未必行．．．因为是ＩＳＡ是网卡实物绑定的．．．更何况是ＶＰＮ拨号的．．

还是看ＬＺ实验过再说．没有听说过这种做法．．．

引用:

原帖由 kingstar 于 2008-1-29 09:37 发表

给你晕死．．．１０段是总部的ＩＰ段．这边设置没有用的．．

即使你想的使用ＶＰＮ拨号获得的ＩＰ作为ＩＳＡ为外网的ＩＰ．．．

然后内部直接２００．Ｘ,两张网卡的方式也未必行．．．因为是ＩＳＡ是网卡实物 ...

kingstar,我把８楼的内容重新修改了一下，请帮忙设想一下是否可行。我认为自己提供了一个让ＩＳＡ作路由器和ＶＰＮ服务器来让内网互相ＰＩＮＧ到的解决方案，值得一试。

[ 本帖最后由 kenknigh 于 2008-1-29 10:34 编辑 ]

我认同192.168.10.0/24无法ＰＩＮＧ通192.168.200.36,但192.168.200.36可以ping通192.168.10.0/24.


在192.168.200.36本机上作的设置对192.168.10.0/24没有影响

引用:

原帖由 kenknigh 于 2008-1-29 10:07 发表

kingstar,我把８楼的内容重新修改了一下，请帮忙设想一下是否可行。我认为自己提供了一个让ＩＳＡ作路由器和ＶＰＮ服务器来让内网互相ＰＩＮＧ到的解决方案，值得一试。

不行.分布的机器上不能设置192.168.4.X的IP...否则拨入VPN是不行的...

这种最好的方案是我上面提到的...

你的方案中整理一下就是建立一个VPN连接...然后ISA视这个为一个固定网段的地址,然后让其他客户机的与之通讯...

没有实验.90%不成功...

使192.168.200.36作ＶＰＮ服务器。其它192.168.200.X机器拨入192.168.200.36.这样不行吗。


192.168.200.36拨入192.168.10.100。楼主也说没问题的。

呵呵，继续，等你们结果

两位版主的讨论让我大开眼界，希望更多人能参加进来。

我也做了一个VPN，不过我们是用OpenVPN做！比Windows的稳定的多！你可以看一下这方面的资料！

关注中，如果能不用买硬件设备就能实现比较稳定的vpn的话，我也要尝试一下。顶。。。。