使用CentOS系统搭建VPN服务器遇到的问题
在我们公司使用PacketiX VPN(派克斯VPN)的时候,出现了一个问题。困扰了很久都没有解决,于是找了他们的技术人员通过完全模拟我司的网络环境,才找出问题所在,很有代表性,分享给大家。 网路环境如下: 公司的总部采用了Juniper的硬件防火墙,内网的网关是10.50.201.1,在一台CentOS的服务器(10.50.201.3)上安装了PacketiX(派克斯)VPNServer端。新建两个虚拟HUB,一个用于桥架物理网卡,一个用于站点端的拨入。 并建立三层交换机,设置桥接用的HUB的虚拟接口地址是10.50.201.2,负责VPN拨入的HUB的接口地址是10.50.203.2,(此HUB提供站点端的VPN拨入,所以是相当于与站点端的一个物理交换机,需要设置成站点端的局域网地址)。
分部采用了CentOS作为网关服务器。内网网关地址是10.50.203.1,在内网的一台CentOS服务器(10.0.203.3)上安装派克斯VPNBridge端。建立与物理网卡的桥架桥接。建立到VPNServer端的VPN连接。并连接成功。 在两端的物理网关上设置静态路由,指定访问VPN对端网络的数据都转发到VPNServer的三层交换机上。 此时理论上两个局域网内的所有电脑都应该已经互通,但是packetiX(派克斯)VPN是安装在CentOS系统上,这个系统是基于linux的,由于内核的机制,VPN对端的电脑无法和安装VPNServer(或Bridge)的服务器本身的ip进行通信。此事无法避免。属正常情况。但是两端局域网内的其他电脑都可以互相通信。 出现的问题是:除了安装VPNServer(或VPN Bridge)服务器不能ping到,其他的地址都正常。只有VPN ridge端的物理网关10.50.203.1也无法ping到。这个物理网关也是采用CentOS服务器。这就出现了问题。因为网络管理员需要通过VPN进行远程管理。此时却无法ping到,而且无法找出原因所在。 在他们的技术人员模拟搭建了这个网络环境后,确认了这个问题的存在。在排除了派克斯VPN产品功能上会出现的不完善的情况、和各类物理网络可能存在的问题。 最后他们建议不要采用ping的方式测试是否连通。而是直接用IE浏览器访问VPNBridge端网关的管理界面。结果神奇的事情发生了,竟然打开了CentOS的管理页面。 虽然ping不到网关的问题还存在,但是这不影响实际网络中的应用需求。由于我们都习惯采ping的方式测试网络的连通性,忽略了其他的测试方式。 在实际的网络,ping的这种测试方式是不完全可靠的。很多防火墙默认是不响应ping数据包的。而在这个典型网络环境中,VPNBridge端的网关就是采用了基于Linux的CentOS服务器。防火墙默认是开启的。屏蔽了来自另一个网络的ping数据包。 (责任编辑:IT) |