请教选用什么vpn

xuxi3201

一、公司一个服务器，宽带是pppoe拨号。。。
外面好几个门店，
在门店直接访问公司服务器。
二、
1、很多年前用端口转发，
2、过去几年用 windows xp自带的pptp拨号到公司ros的vpn，
3、最想改进以下，每个门店配个rb941小路由器，想实现路由器自动联网。

三、想实现门店电脑直接输入公司服务器内网ip 就可以打开，
请问：门店rb941 和公司ROS之间通讯，选什么vpn最好？



(我看ros里：  EoIP Tunnel 、IP Tunnel 、 GRE Tunnel 、还有传统的pptp)

9939781

会用什么用什么，小流量性能都差不多。

adslcool

公司宽带pppoe  ，门店 rb941 这样的装备也未免太寒酸了吧，
当然技术上没什么实现不了的

cspm333

給您個想法,您共有4地. 您希望是1vs1 ,還是1vs3 ?
1vs1 即本地只要透過一個VPN連接對端,若要連接另一個對端即透過對端路由表到另一地.
1vs3 即本地同時發3個VPN到對端,連接對端時即透過使用的VPN至另一地.

1vs1 複雜在路由表,您要在路由表標示好路徑. 另外缺點只有一個點離線,就有可能無法跨線到達指定的的目標.

1vs3 因同時建立3筆VPN Site to Site,其實路由表複雜度不會比1vs1簡約.
但優點是就算有一地離線,也不會影響到其他地點(因為每個點連接都是彼此獨立,互不影響)

cspm333

撇去1vs1 ,1vs3的路由表建置,您先從1vs1開始學習.
個人認為最佳的site to site方案是ipsec ,您可以試試.做法如下:
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
RouterA:
Local(本地):1.1.1.1 (192.168.1.0/24)
Remote(遠端):2.2.2.2 (192.168.2.0/24)
secret(金鑰):aaa
匯入:
/ip ipsec peer add address=2.2.2.2/32 enc-algorithm=aes-128 local-address=1.1.1.1 nat-traversal=no secret=aaa
/ip ipsec policy add dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes
/ip firewall nat add chain=srcnat src-address=192.168.0.0/16 dst-address=192.168.0.0/16 place-before=0
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
RouterＢ:
Local(本地):2.2.2.2 (192.168.2.0/24)
Remote(遠端):1.1.1.1 (192.168.1.0/24)
secret(金鑰):aaa
匯入:
/ip ipsec peer add address=1.1.1.1/32 enc-algorithm=aes-128 local-address=2.2.2.2 nat-traversal=no secret=aaa
/ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes
/ip firewall nat add chain=srcnat src-address=192.168.0.0/22 dst-address=192.168.0.0/22 place-before=0
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
若您的RouterA / RouterB用的是浮動ip撥號,可搭配script修正:
您可用下面script抓取local / remote-address 然後與舊的address做比對並修正:

Local(本地):
:local RouterA
/interface pppoe-client monitor pppoe-out1 once do={:set RouterA $"local-address"}

Remote(遠端,利用ddns):
:local RouterB [:resolve aaa.noip.org]

xuxi3201

adslcool 发表于 2016-7-7 09:59
公司宽带pppoe  ，门店 rb941 这样的装备也未免太寒酸了吧，
当然技术上没什么实现不了的

一个门店， 就一台电脑，用于收银和简单的工作交流。收银软件的服务器在公司。
RB941 应该足够了。
.
.
公司是100M商务宽带。电脑路由器ros3.30。 宽带pppoe拨号的，所以ip是每天变化的。

tech

用带vpn功能的路由器比如ROS当然可以，技术上也没什么复杂的，masqu加进远端IP段即可。还有更简单的方式，不需要路由设置，XP客户端用win2003生成，win7用win2008生成，加进一条远程的内网ip段路由表即可，使用时拨号这个客户端

xuxi3201

当前的做法就是，xp直接PPTP拨号，不带网关。
RB941当傻瓜路由器使用。
其实，挺稳定的。

如果我换路由器拨vpn，
优点是 店里每天不用拨vpn，少双击2次鼠标；
缺点是  如果ddns错误，vpn就一直连接不成功。(xp里解决办法是 换ddns，一个花生壳 一个公云)
  

xuxi3201

解释以下 ，我说的 ddns错误，
我在服务器上安装了 一个花生壳客户端， 一个公云客户端，
昨天的"公司ip"是221.221.221.221， 花生壳 公云 都是正确的，
今天的"公司ip"是222.222.222.222， 有可能会这样： 在外网，
ping my.花生壳=221.221.221.221。
ping my.公云=222.222.222.222。

.
花生壳没有刷新ip地址，是因为 花生壳公司的问题，每个月都有有那么一两次

cspm333

xuxi3201 發表於 2016-7-8 08:34
解釋以下 ，我說的 ddns錯誤，
我在服務器上安裝了 一個花生殼客戶端， 一個公云客戶端，
昨天的"公司ip" ...

因為您有兩個ddns ,其實ros可用script交互驗正(假設pptp-client名稱為rb941),做法如下:
{
:local pptpc [/interface pptp-client get rb941 connect-to]
:local ddnsA [:resolve aaa.dyndns.org]
:local ddnsB [:resolve bbb.pubyun.org]

:if (![/interface get rb941 running]) \
    do={
            :if ($pptpc!=$ddnsA && [/ping $ddnsA count=3]>0) do={/interface pptp-client set rb941 connect-to=$ddnsA ; :set pptpc $ddnsA}
            :if ($pptpc!=$ddnsB && [/ping $ddnsB count=3]>0) do={/interface pptp-client set rb941 connect-to=$ddnsB}
            /ip dns cache flush
           }
}

xuxi3201

ROS6.30. 之后的版本可以输入域名，
我用的RB941是 6.30.4
   

zefa

l2tp pptp ipsec都可以

cspm333

假設要讓 門市A的Router-port2 與公司Router直連...
使用BCP bridging (PPP tunnel bridging)：

公司Router：
1.啟用pptp server
2./ppp profile新增bcp-profile:

除了bridge設置公司使用的Lan橋接器以外,其他則都省缺

3.新增橋接的bcp帳戶,profile指定bcp-profile


門市A：
1.新增bridge-office橋接器


2.將port2橋接到bridge-office


3./ppp profile新增bcp-profile:

bridge設置剛新增的bridge-office

4.設置pptp撥號 ,profile指定bcp-profile


pptp撥號成功後 ,RouterA-port2上的裝置會以layer2方式與公司進行連結.