交流 › RouterOS › VPN客户端不能互访的解决方法

xiaoxiong353352 发表于 2013-2-18 17:39:57

VPN客户端不能互访的解决方法

本帖最后由 xiaoxiong353352 于 2013-2-18 17:44 编辑

这个问题困扰了我很久，今天终于解决了，
首先说下我的问题，
我用ROS 做了台PPTP服务器，然后很多ROS751 PPTP拨号到服务器，有时候需要管理ROS951,发现ROS951只能和服务器通讯不能和其他的客户端通讯，理论上讲，都已经在一个局域网里面了，路由也是对的可是却不能访问。

解决方法，首先是路由部分，客户端连接到服务器以后，服务器到每个客户端都是直连线路，不需要配置路由，客户端需要添加VPN网段的路由。

然后，如果没有目标地址伪装，那么客户端直接应该是可以相互访问的，但是还不能上网，因为还需要做地址伪装，但是在伪装的时候，要把VPN网段排除掉。

最后，ROS真是个好东西。希望ROS以后超过思科。

xiaoxiong353352 发表于 2013-2-19 11:59:39

自己顶一下

wgqwind 发表于 2013-2-22 13:16:43

写得不错，我刚刚试了一下，很好用。

bill_deng 发表于 2013-2-22 20:16:40

不错，支持探索。呵呵。

zh1000000 发表于 2013-3-18 12:02:08

客户端一个是XP，要访问另一个拨入PPTP服务器的ROS，我摸了很久都没解决。:L

edgesky 发表于 2013-3-18 14:44:40

zh1000000 发表于 2013-3-18 12:02 static/image/common/back.gif
客户端一个是XP，要访问另一个拨入PPTP服务器的ROS，我摸了很久都没解决。

nat里面加一条masquerade的srcnat就成了.

sealin 发表于 2013-3-18 16:37:11

edgesky 发表于 2013-3-18 14:44 static/image/common/back.gif
nat里面加一条masquerade的srcnat就成了.

确实可以，不过这样访问的源地址就伪装了，就只能看到接口地址了，比较纠结

rosabc 发表于 2013-3-18 16:54:21

"目标地址伪装"应该改为"源地址伪装"，注意：伪装规则中目的地址参数要排除VPN网段。

arainbow 发表于 2013-3-20 21:39:34

怪怪的问题！！我试了下，一个中心ROS，然后分别从XP和另一ROS拨入，相互没什么特殊设置，什么伪装统统用不到！！
互相访问没有任何的障碍！相互看到的都是对方的真实IP地址。

中心ROS本身就是有路由功能嘛，怎么能出现明摆着的路由而不通呢？

zh1000000 发表于 2013-3-21 11:33:24

不清楚。或许我自己ROS的问题，设置上有错误吧。就是不通。
网络环境
一台ROS带20多台机器，联通4线加电信1线。内网用户PPPOE上网，内网监控nat上网。ARP过滤，映射监控主机端口。由于这里的宽带拨号获取的是内网IP，因此原来的映射跟远程全部失效。无奈之下，在单位架了台ROS并开了VPN，让外面的那台ROS通过VPN连到单位的ROS，在单位的机子上能访问到拨入的这台ROS和监控。
在家里的XP机器拨入单位的VPN，可以访问到单位的机器，但是死活连不上拨入VPN的那台ROS。楼上各位所说的我都试过，都是摸了一整天都毫无头绪。
只要那边ROS一有问题，或者查点监控什么的，都要驱车一个多小时去到现场才行。懊恼啊。

不是因为联通电信改为内网IP也不用这么折腾了。:Q

聖雅 发表于 2017-2-13 11:22:16

:lol谢谢高手

lzw83 发表于 2017-2-14 10:52:38

我也说个情况
公司电脑VPN拨号到家里的ROS，获取的IP和家里电脑的IP是同一网段（此网段可上网）。公司电脑和ROS能互相PING通；公司电脑能PING通家里的电脑，家里的电脑却不能PING通公司电脑。
然后如果家里在电脑也拨VPN到ROS，那么家里电脑就能和公司电脑互相PING通了。我查看了此时ROS上的路由和家里电脑的路由，然后在不拨号的情况下设置相同的路由，却没效果。本来想省去家里电脑再拨号的麻烦都不行
有大神知道问题出在哪吗？

wanken 发表于 2017-2-16 08:38:20

本帖最后由 wanken 于 2017-2-16 08:41 编辑

在 ros网卡 开启arp-procy就可以解决....................ROS没问题是你们没读熟 ARP 原理，同一个网段是用 arpmac 定位，所以VPN进来的 IP 不是同一个网段的mac 只能开启 ros 的网卡来代理！

lzw83 发表于 2017-2-27 08:00:26

zh1000000 发表于 2013-3-21 11:33
不清楚。或许我自己ROS的问题，设置上有错误吧。就是不通。
网络环境
一台ROS带20多台机器，联通4线加电 ...

你的网络环境和我的一样，我今天算是弄懂了，也分享给你去学习一下吧。
   
网络环境大概是这样没错吧
ROS1 VPN－Server就设置：1、分配的IP2最好分配的是一个固定的IP，方便后面添加路由，而且不能对它SRC伪装；2、对分配的IP1（和IP2是在同一网段）进行SRC伪装的；XP拨号就好，不需要任何设置；3、ROS1添加路由：DST-Add＝（监控、PPPOE用户、PC等的网段）， gateway＝IP2.
ROS2设置：1、拨号吧；2、不需要添加路由；3、对IP2的网段进行SRC伪装
好了，这样就可以了
还有一些小技巧：如下图，取消掉XP VPN拨号的默认网关，就不影响上网和连接局域网了

banchen 发表于 2017-3-15 23:32:07

zh1000000 发表于 2013-3-18 12:02
客户端一个是XP，要访问另一个拨入PPTP服务器的ROS，我摸了很久都没解决。

加条静态路由OK

查看完整版本: VPN客户端不能互访的解决方法