最近为新公司组网,具体需求如下几点:
1、内外网物理隔离
2、某些机器能够上外网
3、外网上网机需要有向内网机器传输文件的渠道
4、内网机器不能向外传输
折腾了两天时间终于搞定了。期间分别卡壳在下面三大问题上:
1、双网卡服务器的路由设置
2、内网连接VPN来访问Internet的设置
3、共享文件夹的权限设置
感慨一下,国内网络上的东西真的是很不完整,对一些特殊问题的解决方案也没有很好的描述,都是一样的做法和说法,然而你就是卡在某个关键点没过去。
下面我会详细描述我的环境配置,以及我如何解决的这3个问题。
先看网络拓扑图:
192.168.1.*为内网的网段,192.168.0.*为外网的网段,所谓内外网,即指是否可以连接Internet的局域网段。不能上Internet的网段是内网,员工使用的机器就是这样的网段,其主机都是在外层加了个保密箱上了锁的,不可以插拔任何线,也没有任何USB接口暴露在外面。我的构思就是用两台二层交换机提供数据互通,再用两台路由器分别为两个网段提供dhcp服务。而为了让内网某些机器能够连接Internet,我提供了VPN的解决方案,通过架设一个横跨两个网段的VPN服务器来达到目的,为内网部分机器提供链接Internet的隧道。
那么,前面所说的三个问题,我是如何解决的呢?
1、双网卡VPN服务器的路由设置
这个问题到现在为止仍然没有一劳永逸的解决方案,目前每次启动后都要删除一些活动路由,然后再添加0.0.0.0的路由,我只能通过自动运行bat文件来暂时的做到不用手动设置。我按照网上提供的方法,做了如下命令:
route delete 0.0.0.0
route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1
route -p add 192.168.1.0 mask 255.255.255.0 192.168.1.1
然后我在跨网段的服务器上打开网页进行测试,结果完全没用!我可以ping通192.168.0.1,也可以ping通192.168.1.1,但是,我打不开任何网页。有人说了,不能在连接的属性中设置网关,然而我并没有设置。然后我研究了好几个小时,尝试了无数方法,最后成功的方法,就是重新编写最后一行的route命令为:
route -p add 192.168.1.0 mask 255.255.255.0 0.0.0.0
看见了没?路由命令中不能设置有两个网关,否则就会出错。这个问题网上根本没人提起过,至少中文技术社区并没有。当你将网关设置为0.0.0.0,那么你用route print看到的就是“在链路上”,然后你就成功了。
2、内网连接VPN来访问Internet的设置
网上都是告诉你各种VPN的设置步骤,全都是说的如何用外网机器通过VPN访问企业内网,然而我的需求是相反的,同样没有找到这方面的方案。仍然是自己摸索着架设,甚至一度怀疑自己对网络原理的理解是错误的......然而这是不可能的,我还是解决了这个问题。除了最基本的在windows server上架设VPN的步骤以外,需要有变通的地方无外乎两点:1)手动为内网的VPN客户端提供IP地址池,不要借助DHCP; 2)设置DNS、DHCP服务从外网网卡接入。由于你手动设置了IP地址池,所以这里的DHCP服务就是忽略的,而DNS是有效的,之前这里就是因为DNS用的是内网路由器上的,所以一直不通,改成了外网网卡转发DNS之后,DHCP服务也随之转过去了,又是个问题,所以最终IP用手动的,而DNS用的是外网的。
3、共享文件夹的设置
外网机器可以向文件夹中存放数据,而内网机器只能读取,不可修改和添加文件。基本的设置没什么好说的,我给每台机器设置了一个账号,外网机器用的账号可以读写,而内网机器用的都是guest账号,只能读取,这样就限制了内网向外网传输保密文件。
而我遇到的问题则是在我设置映射驱动器后,每次重新启动机器,则需要输入账号密码。研究了一下,发现可以在控制面板内的“用户帐户”-->“管理你的凭据”-->“添加Windows凭据”,然后将共享文件夹的url和账号密码输入进去。
记录这些东西,为了自己以后不用花时间走那么多弯路,如果有幸能帮到遇见同样问题的朋友,那就更好了。
