Hi mọi người,
Hmm, gần đây nhu cầu VPN site-site càng ngày càng lớn, và Hot đến nỗi Vnpro phải có cả 1 box riêng cho chủ đề VPN này. SD cũng có chút kinh nghiệm về việc thiết lập và sử dụng VPN. Tuy nhiên có 1 vấn đề mà theo SD là thường gặp nhưng sau khi suy nghĩ wài vẫn chưa tìm được cách giải quyết nào thấu đáo. Nay post lên mong nhận được sự đóng góp ý kiến của mọi người.
Tạm thời bỏ qua chi tiết về kỹ thuật làm sao để xây dựng được 1 mạng VPN nhe (nó đã được thảo luận quá trời rồi, chắc ai cũng đã rành).
Giả sử SD đã có một sơ đồ đấu nối mạng VPN như hình dưới đây:
Như các bạn đã biết, trong mạng VPN thì sẽ tồn tại 3 lớp địa chỉ khác nhau:
- Public: đây là địa chỉ thật, địa chỉ của nhà cung cấp dịch vụ internet cấp cho. Với khách hàng ADSL, đó thường là địa chỉ của modem/router ADSL nhận được sau khi kết nối PPP thành công.
- VPN: đây là phần địa chỉ ảo trên mạng VPN.
- Private: địa chỉ của các máy bên trong mạng nội bộ.
Thông thường, sau khi đã cấu hình ngon lành phần vpn server và router adsl thì mình đã có thể từ Office B mở kết nối connect sang Office A. Lúc đó ở 2 đầu máy kết nối sẽ có 2 địa chỉ thuộc lớp mạng VPN (100.x) và đã có thể truy xuất dữ liệu trên những máy có địa chỉ 100.x rồi. Máy của ông B ở office B (VD: đang có địa chỉ Internal là 192.168.1.30) đã có thể truy xuất lấy dữ liệu ở máy chủ VPN server ở địa chỉ 192.168.100.100.
Vấn đề đến đây thì chưa có gì đặc biệt.
Tuy nhiên, khi phát sinh nhu cầu cần cho phép máy của ông B ở Office B truy cập đến máy của ông A ở Office A (có địa chỉ internal là 192.168.1.150). Vấn đề routing sẽ như là thế nào? Làm sao để nó nhận biết được
"àh, cần truy cập là đến máy 192.168.1.150 ở bên kia đầu tunnel VPN, nghĩa là cần phải đi wa cái lỗ 192.168.100.x trước, chui ra bên kia rùi tìm thằng 1.150 chứ ko phải là ở sân nhà mình la làng lên tìm cái máy in mạng đang set địa chỉ 192.168.1.150 ở office B???"
Theo SD suy nghĩ thì dường như là potay, ko có cách nào ngoài chuyện gán thêm cho ông nội A ở office A một địa chỉ thuộc lớp VPN (có nghĩa là đưa máy của ông A này vào khu vực DMZ, vào khu vực có thể truy cập) như 192.168.100.150 để ông B khi cần thì tìm địa chỉ 100.150 chứ ko tìm 1.150.
Nhưng đó là suy nghĩ riêng của SD. Không biết mọi người nghĩ sao, liệu có giải pháp routing nào có thể làm việc đó mà ko phải assign thêm 1 địa chỉ 100.x cho máy của ông A?
Thanks.
Hmm, gần đây nhu cầu VPN site-site càng ngày càng lớn, và Hot đến nỗi Vnpro phải có cả 1 box riêng cho chủ đề VPN này. SD cũng có chút kinh nghiệm về việc thiết lập và sử dụng VPN. Tuy nhiên có 1 vấn đề mà theo SD là thường gặp nhưng sau khi suy nghĩ wài vẫn chưa tìm được cách giải quyết nào thấu đáo. Nay post lên mong nhận được sự đóng góp ý kiến của mọi người.
Tạm thời bỏ qua chi tiết về kỹ thuật làm sao để xây dựng được 1 mạng VPN nhe (nó đã được thảo luận quá trời rồi, chắc ai cũng đã rành).
Giả sử SD đã có một sơ đồ đấu nối mạng VPN như hình dưới đây:
Như các bạn đã biết, trong mạng VPN thì sẽ tồn tại 3 lớp địa chỉ khác nhau:
- Public: đây là địa chỉ thật, địa chỉ của nhà cung cấp dịch vụ internet cấp cho. Với khách hàng ADSL, đó thường là địa chỉ của modem/router ADSL nhận được sau khi kết nối PPP thành công.
- VPN: đây là phần địa chỉ ảo trên mạng VPN.
- Private: địa chỉ của các máy bên trong mạng nội bộ.
Thông thường, sau khi đã cấu hình ngon lành phần vpn server và router adsl thì mình đã có thể từ Office B mở kết nối connect sang Office A. Lúc đó ở 2 đầu máy kết nối sẽ có 2 địa chỉ thuộc lớp mạng VPN (100.x) và đã có thể truy xuất dữ liệu trên những máy có địa chỉ 100.x rồi. Máy của ông B ở office B (VD: đang có địa chỉ Internal là 192.168.1.30) đã có thể truy xuất lấy dữ liệu ở máy chủ VPN server ở địa chỉ 192.168.100.100.
Vấn đề đến đây thì chưa có gì đặc biệt.
Tuy nhiên, khi phát sinh nhu cầu cần cho phép máy của ông B ở Office B truy cập đến máy của ông A ở Office A (có địa chỉ internal là 192.168.1.150). Vấn đề routing sẽ như là thế nào? Làm sao để nó nhận biết được
"àh, cần truy cập là đến máy 192.168.1.150 ở bên kia đầu tunnel VPN, nghĩa là cần phải đi wa cái lỗ 192.168.100.x trước, chui ra bên kia rùi tìm thằng 1.150 chứ ko phải là ở sân nhà mình la làng lên tìm cái máy in mạng đang set địa chỉ 192.168.1.150 ở office B???"
Theo SD suy nghĩ thì dường như là potay, ko có cách nào ngoài chuyện gán thêm cho ông nội A ở office A một địa chỉ thuộc lớp VPN (có nghĩa là đưa máy của ông A này vào khu vực DMZ, vào khu vực có thể truy cập) như 192.168.100.150 để ông B khi cần thì tìm địa chỉ 100.150 chứ ko tìm 1.150.
Nhưng đó là suy nghĩ riêng của SD. Không biết mọi người nghĩ sao, liệu có giải pháp routing nào có thể làm việc đó mà ko phải assign thêm 1 địa chỉ 100.x cho máy của ông A?
Thanks.
Comment