Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Routing kiểu gì trên mạng VPN

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Routing kiểu gì trên mạng VPN

    Hi mọi người,

    Hmm, gần đây nhu cầu VPN site-site càng ngày càng lớn, và Hot đến nỗi Vnpro phải có cả 1 box riêng cho chủ đề VPN này. SD cũng có chút kinh nghiệm về việc thiết lập và sử dụng VPN. Tuy nhiên có 1 vấn đề mà theo SD là thường gặp nhưng sau khi suy nghĩ wài vẫn chưa tìm được cách giải quyết nào thấu đáo. Nay post lên mong nhận được sự đóng góp ý kiến của mọi người.

    Tạm thời bỏ qua chi tiết về kỹ thuật làm sao để xây dựng được 1 mạng VPN nhe (nó đã được thảo luận quá trời rồi, chắc ai cũng đã rành).

    Giả sử SD đã có một sơ đồ đấu nối mạng VPN như hình dưới đây:


    Như các bạn đã biết, trong mạng VPN thì sẽ tồn tại 3 lớp địa chỉ khác nhau:
    - Public: đây là địa chỉ thật, địa chỉ của nhà cung cấp dịch vụ internet cấp cho. Với khách hàng ADSL, đó thường là địa chỉ của modem/router ADSL nhận được sau khi kết nối PPP thành công.
    - VPN: đây là phần địa chỉ ảo trên mạng VPN.
    - Private: địa chỉ của các máy bên trong mạng nội bộ.

    Thông thường, sau khi đã cấu hình ngon lành phần vpn server và router adsl thì mình đã có thể từ Office B mở kết nối connect sang Office A. Lúc đó ở 2 đầu máy kết nối sẽ có 2 địa chỉ thuộc lớp mạng VPN (100.x) và đã có thể truy xuất dữ liệu trên những máy có địa chỉ 100.x rồi. Máy của ông B ở office B (VD: đang có địa chỉ Internal là 192.168.1.30) đã có thể truy xuất lấy dữ liệu ở máy chủ VPN server ở địa chỉ 192.168.100.100.

    Vấn đề đến đây thì chưa có gì đặc biệt.

    Tuy nhiên, khi phát sinh nhu cầu cần cho phép máy của ông B ở Office B truy cập đến máy của ông A ở Office A (có địa chỉ internal là 192.168.1.150). Vấn đề routing sẽ như là thế nào? Làm sao để nó nhận biết được

    "àh, cần truy cập là đến máy 192.168.1.150 ở bên kia đầu tunnel VPN, nghĩa là cần phải đi wa cái lỗ 192.168.100.x trước, chui ra bên kia rùi tìm thằng 1.150 chứ ko phải là ở sân nhà mình la làng lên tìm cái máy in mạng đang set địa chỉ 192.168.1.150 ở office B???"

    Theo SD suy nghĩ thì dường như là potay, ko có cách nào ngoài chuyện gán thêm cho ông nội A ở office A một địa chỉ thuộc lớp VPN (có nghĩa là đưa máy của ông A này vào khu vực DMZ, vào khu vực có thể truy cập) như 192.168.100.150 để ông B khi cần thì tìm địa chỉ 100.150 chứ ko tìm 1.150.

    Nhưng đó là suy nghĩ riêng của SD. Không biết mọi người nghĩ sao, liệu có giải pháp routing nào có thể làm việc đó mà ko phải assign thêm 1 địa chỉ 100.x cho máy của ông A?

    Thanks.
    Attached Files
    Last edited by saudoi; 29-01-2007, 02:00 PM.
    Contact me:
    Y!M: anhtai_yms
    MSN: anhtai83@hotmail.com

  • #2
    Cái này là dạng Remote Access mà bác, có thuật ngữ Office Mode đó bác. Tức là khi bác truy cập vào mạng LAN qua VPN bác được cấp 1 IP trong mạng LAN và làm việc như 1 máy trong mạng LAN. Phần này, theo em hiểu sẽ do VPN Gateway và VPN Client hỗ trợ, bản thân trong VPN Gateway sẽ có phần routing & NAT để map 1 IP ảo cho máy VPN Client kết nối vào. Các máy trong mạng LAN làm việc với máy VPN Client qua địa chỉ ảo đó (hơi giống tạo ra các alias interface thì phải ^_^). Ko hiểu em hiểu vậy có đúng ko nhưng em cũng đang mắc VPN với con Celestix Checkpoint đúng vụ Office Mode này đó T.T

    Comment


    • #3
      Àh wên, mình hổng chơi set cái default gw wa cái cổng VPN này (nếu check thì đúng là về dạng office mode). Lý do: đổi GW zìa cổng VPN thì máy ở B ko có chạy ra Internet được mà lúc đó tất cả traffic nó đều dồn qua Tunnel đến đầu kia. :D
      Contact me:
      Y!M: anhtai_yms
      MSN: anhtai83@hotmail.com

      Comment


      • #4
        chả hiểu ý của 2 bác ... nhưng mà bài này là các bác muốn chia sẽ một thông tin kỹ thuật hay một problem hay là mong muốn làm gì với nó ... ?
        Dĩ nhiên là dù là gì thì bác cũng phải config routing cho mạng đúng mới có được ...
        Ví dụ nếu bác đi VPN site to site bằng IP A cho mạng A thì routing của LAN A phải trỏ ra con IP này ... thì bên mạng B mới thấy máy bên mạng A ... còn ngược lại cũng vậy

        Hướng dẫn cài đặt cấu hình Data Loss Prevention - MyQLP Appliance (Open Source)


        Hướng dẫn cài đặt và cấu hình Mdeamon 12.x

        Hướng dẫn cài đặt cấu hình ISA 2006 và Exchange 2003 - Mô hình Front-End Back-End

        Cài đặt và cấu hình Cacti - Giám Sát và Quản Lý Hệ Thống Mạng

        Hướng dẫn cài đặt cấu hình Retrospect Backup Server

        Cài đặt và cấu hình phần mềm FSA Audit Files Server

        CAMAPTRANG
        http://www.asterisk.vn

        Comment


        • #5
          Originally posted by saudoi View Post
          Àh wên, mình hổng chơi set cái default gw wa cái cổng VPN này (nếu check thì đúng là về dạng office mode). Lý do: đổi GW zìa cổng VPN thì máy ở B ko có chạy ra Internet được mà lúc đó tất cả traffic nó đều dồn qua Tunnel đến đầu kia. :D
          Office Mode thì các máy mạng LAN không cần phải đặt gw tới VPN Gateway chứ bác, vì lúc nó theo em các máy mạng LAN nhìn IP được gán cho VPN Client chính là VPN gateway luôn. Trong trường hợp sử dụng Transparent Mode thì các máy mạng LAN buộc phải có gw tới VPN gw vì IP của VPN client là IP local của mạng khác, cái này em thử rùi mà ^.^. Em thấy nếu phải có routing thì chính là khi gán hẳn 1 lớp mạng riêng cho các VPN client kết nối vào, tất nhiên chỉ là áp dụng cho VPN dạng Remote Access thôi ^_^
          chả hiểu ý của 2 bác ... nhưng mà bài này là các bác muốn chia sẽ một thông tin kỹ thuật hay một problem hay là mong muốn làm gì với nó ... ?
          Dĩ nhiên là dù là gì thì bác cũng phải config routing cho mạng đúng mới có được ...
          Ví dụ nếu bác đi VPN site to site bằng IP A cho mạng A thì routing của LAN A phải trỏ ra con IP này ... thì bên mạng B mới thấy máy bên mạng A ... còn ngược lại cũng vậy
          Em đang mắc vụ VPN với con checkpoint tương tự như vầy nên vào trao đổi tý ^_^. Ý trên của bác saudoi nghiêng về Remote Access bác à (Site to Site thì phải (^.^)), ko phải LAN to LAN đâu bác!

          Comment


          • #7
            Originally posted by camaptrang View Post
            he he he bó tay ....
            Em chưa hiểu ý bác, nếu em sai thì bác góp ý cho em chứ bác nói lấp lửng em ko hiểu gì cả T.T

            Comment


            • #8
              bó tay, hehe. Tui cũng hổng hiểu luôn T.T

              Nói túm lại là vầy nè: cái này hổng phải là problem, cũng chả phải có cái gì muốn chia sẻ. Chẳng wa là làm cái Remote Access VPN trên M$,tui gọi thành LAN-to-LAN hay gọi site-to-site hoặc cái xyz gì đó mà ý nghĩ tượng tự thế, gì cũng được. (Hix, nói một hồi lộn tùm fèo cả lên).

              Với cách làm thông thường, sẽ có 1 bên là Remote Access Server, bên kia là Client. 2 bên sau khi connect sẽ hình thành lên 1 cái mạng lơ lửng ở giữa gọi là VPN. Sau đó bà con có muốn chia sẽ gì thì tống nó vào 1 trong các máy thuộc lớp mạng lửng lơ này.

              Tuy nhiên, sự đời lắm khi lười!!! Tui tìm cách mần sao đó để bà con ở 2 mạng 2 đầu không cần phải tống "hàng" lên những máy nằm trong vùng "lơ lửng" kia thì đầu mạng bên kia mới "ấy" được. Suy nghĩ cách nào nhanh gọn để ông bên A có thể "ấy" trực tiếp "hàng" của ông bên B luôn.

              Nhưng để làm thế thì gặp 1 cái kẹt là làm sao máy tinh nó biết rằng ông A đang muốn nói chuyện với ông B ở đầu mạng bên B chứ không phải nói chuyện với thằng C đang ở cùng mạng với ông A (A, C thì cùng mạng, B và C có cùng địa chỉ?).

              Và càng điên đầu hơn nữa. Tui không thíchtất cả traffic cứ tống qua bên B để hỏi vì ngoài nhu cầu trao đổi với B thì tui còn có nhu cầu ra Internet chat chít >>> Ko thể set tống tất cả qua cái Tunnel đó mà chỉ tống những traffic có địa chỉ qua mạng đó thì sẽ vào tunnel, còn lại ra Internet.

              Mà mạng bên đó lại cùng lớp mạng với mạng bên này.

              Thế thì routing kiểu nào????

              hix.
              Contact me:
              Y!M: anhtai_yms
              MSN: anhtai83@hotmail.com

              Comment


              • #9
                Originally posted by saudoi View Post
                Àh wên, mình hổng chơi set cái default gw wa cái cổng VPN này (nếu check thì đúng là về dạng office mode). Lý do: đổi GW zìa cổng VPN thì máy ở B ko có chạy ra Internet được mà lúc đó tất cả traffic nó đều dồn qua Tunnel đến đầu kia. :D
                Thế thì ACL cho nó phát.
                The Mumble Fund
                Hanh trinh noi nhung vong tay.

                Vui long vao:
                http://groups.google.com.vn/group/tinhnguyen_vietnam hoac lien he Nguyen Huy Bac: 093 668 9866
                De cung ket noi.
                Yahoo: huybac_nguyen
                Mail: huybac.nguyen@gmail.com
                Techcombank: 13320037822012
                Vietcombank: 0611001454910

                "Ky thuc tren mat dat von lam gi co duong.
                Nguoi ta di mai thi thanh duong thoi."

                Comment

                Working...
                X