前言:
目前中国南方地区很多公司总部使用电信专线连接Internet,而其在北方的分公司或子公司使用网通专线,因为众说周知的电信与网通连接慢的问题,使得子公司访问总公司的服务器很慢。为此我们可以建立一个双线路VPN解决此问题。
服务器安装
1、可以使用windows2003 server或Linux,服务器具体2个IP地址,一个是电信地址,一个是网通地址。网络示意图如下:
2、获取电信及网通或其它ISP的IP地址段,运行如下程序或以获得
#!/bin/sh
FILE=/root/study/apnic/ip_apnic
rm -f $FILE
wget http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest -O $FILE
grep 'apnic|CN|ipv4|' $FILE | cut -f 4,5 -d'|'|sed -e 's/|/ /g' | while read ip cnt
do
echo $ip:$cnt
mask=$(cat << EOF | bc | tail -1
pow=32;
define log2(x) {
if (x<=1) return (pow);
pow--;
return(log2(x/2));
}
log2($cnt)
EOF)
echo $ip/$mask>> cn.net
NETNAME=`whois $ip@whois.apnic.net | sed -e '/./{H;$!d;}' -e 'x;/netnum/!d' |grep ^netname | sed -e 's/.*: \(.*\)/\1/g' | sed -e 's/-.*//g'` case $NETNAME in CNC) echo $ip/$mask >> CNCGROUP ;; CHINANET|CNCGROUP) echo $ip/$mask >> $NETNAME ;; CHINANET|CNCGROUP) echo $ip/$mask >> $NETNAME ;; CHINATELECOM) echo $ip/$mask >> CHINANET ;; *) echo $ip/$mask >> OTHER ;; esac done |
4、 如果用户拨入VPN服务器后要求通过VPN服务器连接Internet,则需设置NAT规则。对于windows,设置网络地址转换,配置public接口和private接口。对于linux,可以加入iptables规则:iptables -t nat –A POSTROUTING –o eth2 –s x.x.x.x/xx –t SNAT --to IP (x.x.x.x/xx为客户端获取的IP地址段,IP为NAT转换后的IP地址)
5、 如果VPN服务器是某windows2003域中的一台服务器,准备采用域帐户进行验证,则需配置Internet验证服务(IAS)(除了验证外还可以设置访问权限)
