前言:
目前中國南方地區很多公司總部使用電信專線連接Internet,而其在北方的分公司或子公司使用網通專線,因為眾說周知的電信與網通連接慢的問題,使得子公司訪問總公司的服務器很慢。為此我們可以建立一個雙線路VPN解決此問題。
服務器安裝
1、可以使用windows2003 server或Linux,服務器具體2個IP地址,一個是電信地址,一個是網通地址。網絡示意圖如下:
2、獲取電信及網通或其它ISP的IP地址段,運行如下程序或以獲得
#!/bin/sh
FILE=/root/study/apnic/ip_apnic
rm -f $FILE
wget http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest -O $FILE
grep 'apnic|CN|ipv4|' $FILE | cut -f 4,5 -d'|'|sed -e 's/|/ /g' | while read ip cnt
do
echo $ip:$cnt
mask=$(cat << EOF | bc | tail -1
pow=32;
define log2(x) {
if (x<=1) return (pow);
pow--;
return(log2(x/2));
}
log2($cnt)
EOF)
echo $ip/$mask>> cn.net
NETNAME=`whois $ip@whois.apnic.net | sed -e '/./{H;$!d;}' -e 'x;/netnum/!d' |grep ^netname | sed -e 's/.*: \(.*\)/\1/g' | sed -e 's/-.*//g'` case $NETNAME in CNC) echo $ip/$mask >> CNCGROUP ;; CHINANET|CNCGROUP) echo $ip/$mask >> $NETNAME ;; CHINANET|CNCGROUP) echo $ip/$mask >> $NETNAME ;; CHINATELECOM) echo $ip/$mask >> CHINANET ;; *) echo $ip/$mask >> OTHER ;; esac done |
4、 如果用戶撥入VPN服務器后要求通過VPN服務器連接Internet,則需設置NAT規則。對于windows,設置網絡地址轉換,配置public接口和private接口。對于linux,可以加入iptables規則:iptables -t nat –A POSTROUTING –o eth2 –s x.x.x.x/xx –t SNAT --to IP (x.x.x.x/xx為客戶端獲取的IP地址段,IP為NAT轉換后的IP地址)
5、 如果VPN服務器是某windows2003域中的一臺服務器,準備采用域帳戶進行驗證,則需配置Internet驗證服務(IAS)(除了驗證外還可以設置訪問權限)
