双线路VPN部署

network

双线路VPN部署

(2006-08-10)

前言：

目前中国南方地区很多公司总部使用电信专线连接Internet，而其在北方的分公司或子公司使用网通专线，因为众说周知的电信与网通连接慢的问题，使得子公司访问总公司的服务器很慢。为此我们可以建立一个双线路VPN解决此问题。
服务器安装1、
可以使用windows2003 server或Linux，服务器具体2个IP地址，一个是电信地址，一个是网通地址。网络示意图如下：


2、
获取电信及网通或其它ISP的IP地址段，运行如下程序或以获得：
#!/bin/sh
FILE=/root/study/apnic/ip_apnic
rm -f $FILE
wget http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest -O $FILE
grep 'apnic|CN|ipv4|' $FILE | cut -f 4,5 -d'|'|sed -e 's/|/ /g' | while read ip cnt
do

echo $ipcnt

mask=$(cat << EOF | bc | tail -1
pow=32;
define log2(x) {
if (x<=1) return (pow);
pow--;
return(log2(x/2));
}
log2($cnt)
EOF)


echo $ip/$mask>> cn.net

NETNAME=`whois $ip@whois.apnic.net | sed -e '/./{H;$!d;}' -e 'x;/netnum/!d' |grep ^netname | sed -e 's/.*:
\(.*\)/\1/g' | sed -e 's/-.*//g'`

case $NETNAME in

CNC)

echo $ip/$mask >> CNCGROUP

;;

CHINANET|CNCGROUP)

echo $ip/$mask >> $NETNAME

;;

CHINANET|CNCGROUP)

echo $ip/$mask >> $NETNAME

;;

CHINATELECOM)

echo $ip/$mask >> CHINANET

;;

*)

echo $ip/$mask >> OTHER

;;

esac
done
3、
VPN服务配置完成后，可以在服务器上或网关上加载路由表。编辑上面获取的IP地址文件，修改为route add –net x.x.x.x/xx gw x.x.x.x（对于linux）或route add x.x.x.x mask x.x.x.x x.x.x.x（对于windows）格式的行，然后运行。并到启动项中。
4、
如果用户拨入VPN服务器后要求通过VPN服务器连接Internet，则需设置NAT规则。对于windows，设置网络地址转换，配置public接口和private接口。对于linux，可以加入iptables规则：iptables -t nat –A POSTROUTING –o eth2 –s x.x.x.x/xx –t SNAT --to IP (x.x.x.x/xx为客户端获取的IP地址段，IP为NAT转换后的IP地址)
5、
如果VPN服务器是某windows2003域中的一台服务器，准备采用域帐户进行验证，则需配置Internet验证服务（IAS）（除了验证外还可以设置访问权限）
客户端安装1、
使用CMAK工具制作客户端程序：client_internet.exe将用于用户拨入后可以通过VPN服务器访问Internet，client_internal.exe将用于用户拨入后访问公司的服务器，如ERP、OA及其它系统（程序中包含有路由表及服务器IP信息）制作工程参考我的其它文章，或发邮件给我
2、
在客户端双击运行客户程序，安装完成后将出现验证窗口，提示输入用户名和密码及域名信息，这时点击属性，选择我已经连接到Internet，然后选择VPN选项卡，选择对应的服务器，确定后输入用户名和密码即可。
技术说明1、
与统一加速器的区别
原理是一样的，只是统一加速器做了一些界面的开发
2、
我自已对VPN程序进行了一些修改，提高了界面的友好性，不过暂不公开
3、
服务器采用Windows2003或linux是一样的，稳定性差不多，并不是网上谣传的那样windows没有linux稳定。当然安装的服务器以linux较多，这只是我的习惯而已。（还有一个原因，在linux下通过shell编程可以实现很多功能）

network

network