我在希腊的一个社会福利中心工作,该中心由 5 个独立机构组成,半径范围约为 150 公里。其中 4 个通过有效连接西泽菲西斯这是一项面向各电信部门的国家项目,包括为每个机构分配一个 255.255.255.0 子网。也就是说,我们能够轻松实现 4 个机构之间的 LAN 访问,这确实改善了数据集中化等。
为了澄清我的立场,我是一名 PHP 开发人员,在软件开发方面有一点背景,在网络和管理方面的经验也相对较少。作为唯一与技术相关的员工,我几乎管理整个网络, 还修复所有电脑(包括非常古老的),开发我们的网站并做与电子设备无关的任何事情, 一般来说。(此时,你应该已经对我有些同情了...说实话,他们让我修理所有东西,从网络交换机到空调遥控器,到穿孔机等)。
此时,我们网络的问题已经很明显了。我们的一个机构迫切需要访问我们的局域网。我们目前有两个选择:
A) 要么设置自己的 VPN-或者-
B) 要求我们的 ISP(SYZEFXIS)提供一个远程连接点(他们这样称呼它),这实际上是同一件事,但我们需要每月支付一定费用。
我很高兴听到您建议的任何其他选择,因为这是我们的真正问题。
我尝试在机构服务器上设置自己的 VPN,这也是我们的网络服务器、文件服务器、代理服务器以及唯一具有两个物理 IP 的机器。所有这些服务使用的 IP 都是 10.169.31.29。因此,我安装了“网络策略和访问服务”服务器角色,没有 RADIUS,并将其设置为其他 IP,该 IP 未被其他角色占用:10.169.31.31。
但是,有一些限制让我很难继续下去:
1)我无法自行进行端口转发。我只能要求我们的 ISP 开放一些端口,这需要花费数天时间在官僚主义上,所以我无法从 LAN 外部测试我的 vpn。2
)我们的服务器操作系统是 Windows Server 2008 R2,客户端机器是 Windows XP(可能是家庭版)。不幸的是,我无法改变这一点。3
) 一旦我将客户端计算机连接到第一个子网,我就需要以某种方式授予对所有 4 个子网的访问权限(这意味着可以访问 255.255.0.0)。4
)我们的 LAN 没有 DHCP。SYZEFXIS 内的所有 IP 都必须手动设置。
问题:
1)我可以从 LAN 内的另一个子网测试 VPN 吗?我尝试过这样做,但遇到了各种错误,我不确定这些错误是否与我尝试连接到我已加入的 LAN 有关,还是与现有配置有关。
其中一些错误如下:
- 错误 800:无法建立连接
- 错误 13806
- 错误 913
2) 鉴于该服务器已经发挥多种作用,是否最好避免在其上设置 VPN,而只采用我们 ISP 的付费解决方案?
3)尽管可能性极小,但如果我启动并运行此 VPN,它是否会自动允许客户端访问所有 4 个子网,还是我应该以某种方式进行配置?
我已经尝试在网上寻找错误的解决方案,但似乎无法理清思路。请原谅我的问题太长,感谢您花时间阅读。
答案1
从你的第一个问题来看,你似乎在使用微软的 PPTP。如果是这样,就此打住。多年来,PPTP 一直被认为是不安全的。你应该使用更安全的东西,比如 OpenVPN。
1)我可以从 LAN 内的另一个子网测试 VPN 吗?
只要服务器允许从该子网访问,这应该没有问题。
2) 鉴于该服务器已经发挥多种作用,是否最好避免在其上设置 VPN,而只采用我们 ISP 的付费解决方案?
为什么不设置一个小型 VPN?大多数 VPN 软件都可以处理非常小的安装 - 我最近刚刚在 RaspberryPi 上设置了一个 VPN。这种 VPN 非常便宜,您可以完全控制,而且不会受到任何官僚主义的阻碍。
3)尽管可能性极小,但如果我启动并运行此 VPN,它是否会自动允许客户端访问所有 4 个子网,还是我应该以某种方式进行配置?
您需要配置它。大多数 VPN 软件仅将路由推送到其自己的专用网络(最多)。别忘了,这意味着 VPN 服务器需要访问所有专用网络。
答案2
我可以从 LAN 内的另一个子网测试 VPN 吗?
是的,当然。这完全取决于您使用的解决方案和设置,但这与使用“外部”VPN 没有什么不同
鉴于该服务器已经发挥多种作用,我们是否最好避免在其上设置 VPN,而只采用 ISP 提供的付费解决方案?
是的,一定要使用另一台机器或付费解决方案。
尽管可能性很小,但如果我启动并运行此 VPN,它是否会自动允许客户端访问所有 4 个子网,还是我应该以某种方式进行配置?
您需要配置它。所有客户端都需要通过 VPN 服务器路由到其他子网。