交流 › RouterOS › 外网用户用VPN拨入后能访问内网内网的机器不能访问这个用户的机器资源怎么解决

deitx 发表于 2006-11-23 21:59:42

zooyo 发表于 2006-11-24 00:13:05

我模棱两可的回答？法律好像没有规定我有这个义务和责任免费给大家解答吧？我提的都是一个思路，需要你们自己去思考和探索，这是技术交流论坛，不是义务免费呈上脚本，再加附带图文并茂的最好，是不？

我本着，授人以鱼，不如授人以渔的原则，哪想世人皆懒惰。

jk0wg 发表于 2006-11-24 00:17:13

vpn client获取的IP地址和LAN client的IP地址在同一网段就能访问内网资源了。否则需要在vpn client添加静态路由.

专卖精品 发表于 2006-11-24 00:24:49

原帖由 jk0wg 于 2006-11-24 00:17 发表
vpn client获取的IP地址和LAN client的IP地址在同一网段就能访问内网资源了。否则需要在vpn client添加静态路由.

测试过了吗？

感觉上应该不行，就算相同的网段不出其他问题，当本网的机器输入VPN的网络地址的时候，这个包并没有去网关的机器，而是发到网络中进行广播，寻找这个机器，但是，能找到VPN上的网络机器吗？个人觉得根本不可能！

这个问题的解决只有用网桥！

seignior 发表于 2006-11-24 00:27:23

.........首先你表达就不清，又叫人如何解答？就例如这帖，可能导致的原因海去了，例如vpn和内网根本就不是同一个网段，例如ros火墙设置，例如客户端安全设置，例如...例如...例如...我想我能数出十个八个例如。
原理就是，你设置错了。

seignior 发表于 2006-11-24 00:29:02

原帖由 专卖精品 于 2006-11-24 00:24 发表


测试过了吗？

感觉上应该不行，就算相同的网段不出其他问题，当本网的机器输入VPN的网络地址的时候，这个包并没有去网关的机器，而是发到网络中进行广播，寻找这个机器，但是，能找到VPN上的网络机器吗？ ...

可以找到，vpn客户端在ros的掩码内就能找到(术语点说就是，vpn客户端同时存在于ros的物理和逻辑通路里)。

[ 本帖最后由 seignior 于 2006-11-24 00:30 编辑 ]

专卖精品 发表于 2006-11-24 00:30:46

原帖由 seignior 于 2006-11-24 00:29 发表


可以找到，vpn客户端在ros的掩码内就能找到。

真的？改天测试一下，呵呵

seignior 发表于 2006-11-24 00:40:24

不要执迷于ros或者路由或者别的东西，把视野放宽点，你只要理解物理通路和逻辑通路就可以了。
所有的一切接受制于物理通路，物理上没接通，啥都不用说，两台独立的机器，那怕放得很近，不通就是不通，距离比太阳和海王星的距离还要远，物理通的话，那怕一台机器在织女星一台在牛郎星，他们也一样有机会互相联系。
大家都知道网络就像蜘蛛网，广播起来真的要海浪滔滔了，所以要逻辑通路判断谁和自己在一起，和上面的话一样，放在一起的机器在逻辑上不在一起(简单的例子就是掩码，复杂的例子就是路由)，距离比太阳和海王星的距离还要远，逻辑在一起，并且物理连接完成的机器，才是可以通讯的机器。

独孤一狼 发表于 2006-11-24 00:43:11

果然模棱两可

专卖精品 发表于 2006-11-24 00:54:50

原帖由 seignior 于 2006-11-24 00:40 发表
不要执迷于ros或者路由或者别的东西，把视野放宽点，你只要理解物理通路和逻辑通路就可以了。
所有的一切接受制于物理通路，物理上没接通，啥都不用说，两台独立的机器，那怕放得很近，不通就是不通，距离比太 ...

说的正确，但是我的想法是，这个VPN连通后，难道就成了一个相通的广播域？只要2边网络使用一个网段就能相互连通了？感觉上应该不行啊！

seignior 发表于 2006-11-24 01:00:45

什么叫模棱两可？实际上在我眼里，除了2、7、9楼没有直接回答问题，其他的帖都已经把可以回答的都答了(在楼主提供的可以被分析的资料里)，3楼直接回答了最常见问题的解决办法，而我在8楼则提供了分析过程。

假设我就是楼主我提出的问题，用8楼的回复来分析问题
首先分析物理通路
因为vpn已经拨上去，可证物理上没有问题。
逻辑通路包括几个方面，首先是2楼提到的网段问题(包括在8楼说的掩码、路由)，如果不在同一个掩码内，就要静态router说明路径；
如果网络逻辑也是可通的，那么就要检查是什么东西拦截了通讯，检查ros火墙设置，检查vpn客户端火墙设置，检查内网客户端火墙设置。
完毕....还找不到症结点请再去投胎吧。

[ 本帖最后由 seignior 于 2006-11-24 01:01 编辑 ]

jk0wg 发表于 2006-11-24 01:00:47

我一直是这么做的. vpn client分配静态IP和lan client同属一网段.可以访问lan里的任何有权访问的资源.不同网段可以在客户机添加静态路由.就可以访问不通网段的资源了.

seignior 发表于 2006-11-24 01:03:21

原帖由 专卖精品 于 2006-11-24 00:54 发表


说的正确，但是我的想法是，这个VPN连通后，难道就成了一个相通的广播域？只要2边网络使用一个网段就能相互连通了？感觉上应该不行啊！

为什么“感觉上不行”，逻辑上他们已经在一起了啊。你理解一下ipip就能明了吧，ipip就是把两个属于不同网段的机器逻辑在一起的典型操作。

zooyo 发表于 2006-11-24 09:49:28

原帖由 jk0wg 于 2006-11-24 01:00 发表
我一直是这么做的. vpn client分配静态IP和lan client同属一网段.可以访问lan里的任何有权访问的资源.不同网段可以在客户机添加静态路由.就可以访问不通网段的资源了.


想讨论一下，是VPN客户端拨号获得的IP地址和VPN服务器内网的网段一样？还是VPN客户端的内网网段和VPN服务器端内网网段一样？

jk0wg 发表于 2006-11-24 10:30:29

原帖由 zooyo 于 2006-11-24 09:49 发表



想讨论一下，是VPN客户端拨号获得的IP地址和VPN服务器内网的网段一样？还是VPN客户端的内网网段和VPN服务器端内网网段一样？
VPN client是通过VPN Server获取到IP地址的，然后通过获取到的IP地址和远程VPN网络通讯。

查看完整版本: 外网用户用VPN拨入后能访问内网内网的机器不能访问这个用户的机器资源怎么解决