顯示文章

這裡允許您檢視這個會員的所有文章。請注意, 您只能看見您有權限閱讀的文章。


文章 - aknine

頁: [1] 2
1
不知道現在的 iptables 是否能根據 domain 來判定封包?
我的認知是:
在規則裡(memory)只能設 IP,就算是指令上面用 domain,但必須要解釋為IP才能成為規則。
是的,iptables不建议用域名,因为会增加他的解析负担。即便是用a.com的ip,我的规则仍不生效。不知道是不是还缺少规则。

嗯,你的用意是要轉內部訪問a.com,還是外部訪問a.com ?

看起來你是要把內部訪問外部 Web 都轉向到一個類似 Captive Portal 的網頁吧.
參考這篇
http://tldp.org/HOWTO/TransparentProxy-6.html
使用其中6.2 Second method (more complicated, but more general)

    * iptables -t mangle -A PREROUTING -j ACCEPT -p tcp --dport 80 -s squid-box
    * iptables -t mangle -A PREROUTING -j MARK --set-mark 3 -p tcp --dport 80
    * ip rule add fwmark 3 table 2
    * ip route add default via squid-box dev eth1 table 2

PS: 將squid-box當成你的Web就是了.

你如要過濾domain name, 使用iptables 是不太可能辦到,iptables只有在載入時轉換domain name為IP, 所以如果domain name的IP有變化是不會察覺的。

要過濾 domain name最簡單是用Squid Proxy來控制.

我的做法是用Liunx當Router+Squid Proxy, 直接將Web轉到Proxy上去過濾。會簡單很多。

其原理是把 要訪問a.com的需求 轉給另一台web. 就是Reverse Proxy的代理啦,
這種做法可以應付所有 1.a.com, 2.a.com, ....等相同Domain的轉向。

2
今長官突來心血

嗯...請務必確定一下,是真的要這樣幹還是喊爽的.有很多人只是問問看可不可以,做為執行人員要清楚其意圖否則就白幹了


要我們看能不能用Notes所發出的Mail,可以自動帶出中文人名,而不是英文人名
小弟有問過維護廠商
可以在替代名稱上輸入中文人名就可以帶出

使用Alternate Name可以,但不是很建議這方式,原因是如送到國外,在無中文環境下會是亂碼
(正確的說法應該是增加一個Alternate Organization Name,就是增一個語言到Certificate中)
但因公司有在Notes上開發一些Flow AP
所以會變成以替代名稱上輸入的人名來做驗證,而不是Notes上的帳號來驗證
因此可能會有驗證上錯誤的狀況  :'(
因此想請問各位先進是不是真的會有驗證上的問題

使用AlternateName並不會造成驗證上的問題,只是多一個驗證用的名稱罷. 這點你倒是不用擔心

如果只是要給外部Internet Mail要顯示中文名,只要在Lotus Notes Client中的Location Document/Internet mail address改成 RFC 822的格式即可:
  李四<4_lee@mycompany.com>
或有空格的話
  "心血來潮 李四"<4_lee@mycompany.com>

PS:
上面的方法僅限於使用Notes Client , Domino Web Mail不適用

如果是對內Mail,比較麻煩,要改Mail Template, 這就不多說了, 總之就是想辦法去把Names中的中文名放進去或是去讀就對了

建議:

個人是非常不建議更動Cert.id, Certificate 的 Alternate Name是一個非常有趣的設計,但要每個環結都顧到才能使用順暢.
(請見諒,不是要賣關子,是解釋起來落落長,總之,能不用就不用)

想辦法告訴那位月經來的長官,考慮日後維護與管理的便利性,只有對外信才使用中文名,且可依各人需求自行再Location Document中填寫或管理. (要多個不同名,就多Copy幾個Location Document)









3
把 sshd的tcp port 22改到其他port ,單是這樣就可以免去99%以上的 不正常 login.

在Internet上, sshd使用default的tcp port 22 實務上實在是不太建議啦.

純粹是個人的一點經驗...參考看看..


4
Linux 討論版 / 回覆: 阻擋台灣以外的ip
« 於: 2011-04-09 14:53 »
嗯...以網路開放情況來說,這樣做真的很沒意義.

既然台灣可以看得到,資料遲早會散布出去, 大家都知道只是遲早問題

真的做到資料管制,那就用註冊User管理,不過,還是一樣,遲早問題。

既然做購物網站,又要防止特定的查訪,頭殼洗一洗,思維改一下吧。


5

雷電MAIL沒用過,但可以給一點想法你去測看看.
1. 查一下雷電Mail Server對於IP Binding的運作,因為Windows在多IP設定的連線時,只會用1個IP對外連,除非Mail Server會針對不同Domain去Binding 你所對應的IP,否則他也只會用一個IP連出去
2. 你下方的IP對應是出去還是進來的,如果是進來的,那問題就是前述的情況。
本地端IP -> 對應網址 -> 外部IP
192.168.0.3 -> a.com -> 1.2.3.251
192.168.0.4 -> b.com -> 1.2.3.252
192.168.0.6 -> c.com -> 1.2.3.250
mail.a/b/c.com 已申請反解,並且剛剛檢查了一下,反解是正確的。
3. 找個軟體可以做Addaress Binding連線的 如 wget
代碼: [選擇]
C:\>wget --bind-address=192.168.0.3 --output-document=myip.htm http://www.whatismyip.com/然後看看myip.htm 內容的ip 是否是 1.2.3.251, 這樣可以得知你的Firewall有沒有做正確的SNAT.

PS:
題外話,實在沒有必要這樣設一IP對一Domain的收信方式,多Domain單一IP就好了。



6
代碼: [選擇]
Network Destination        Netmask          Gateway       Interface  Metric
...
    192.168.1.0    255.255.255.0    192.168.1.250    192.168.1.250      1
...
1. 如果Windows 2003 Routing and Remote Access Service 有啟動(c:\> net start ,可以看到),那問題應該是在dd-wrt的Routing Table上
2. 測試 :
2.1 從Win 2003上去Ping dd-wrt 的 LAN Interface的IP
---> 有通 表示Win2003 -> dd-wrt 的pptp是真的有連上
2.2. 從Win 2003上去Ping dd-wrt 的那端LAN PC的IP
--->有通 那表示 W2003->dd-wrt->pc 的routing 是正常, 問題應該在Win2003上的Routing service沒啟用
--->不通 表示dd-wrt的routing table 設不對,應該要加上 192.168.3.0  255.255.255.0 via 192.168.1.250
192.168.1.250這是dd-wrt 上pptp server 分配給Win2003 pptp的IP. 想辦法固定下來.(抱歉pptp的設定你要自己去研究看看)



7
代碼: [選擇]
          0.0.0.0          0.0.0.0      192.168.3.1     192.168.3.10     20
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
      192.168.3.0    255.255.255.0     192.168.3.10     192.168.3.10     20
     192.168.3.10  255.255.255.255        127.0.0.1        127.0.0.1     20
    192.168.3.255  255.255.255.255     192.168.3.10     192.168.3.10     20
        224.0.0.0        240.0.0.0     192.168.3.10     192.168.3.10     20
  255.255.255.255  255.255.255.255     192.168.3.10     192.168.3.10      1
Default Gateway:       192.168.3.1

上面沒看到pptp連線的route. 請將Win2003連上 dd-wrt pptp server然後把 route print再帖一次
(順便把 ipconfig /all也送上來 , 這樣判斷資料差不多就夠了

8
useradd  -m hey
pure-pw useradd vftp -u hey -d /srv/ftp/ -m

因為一般都是將虛擬使用者的家目錄設定在指定-u xxx的家目錄下,因此不知道可不可以如前述的程式將家目錄設在別的地方!!!

可以,只要把File/Directory權限設對就好(設給hey)。

-u 的指令只是表示 vftp這user login的身份,其家的目錄必須要有這hey權限。

另外一般在設定Virtual User時,我們都讓ftp user只使用一個權限很低的共用身份,不會讓每個Virtual User都給一個Linux user account, 否則就失去Virtual User的用意。

9
會顯示Session setup problem, abort.
使用root下login指令則是會自動登出

https://bugzilla.redhat.com/show_bug.cgi?id=495192

這是一個Bug, 不過,請你老師不要太堅持,就用su 代替吧。

10

設完後還是 client 2 site,其它電腦去 ping pptp server 網段,封包跑到 win2003 就沒回應了。
還是卡在 client 2 site ,大大可以指點我一下嗎?

1.Window 2003的Routing and Remote Access Service 有啟用嗎,從結果看起來是沒有啟用.

2.Windows 2003的 Firewall 是否有啟用.

3. 麻煩把Windows 2003的C:\>route print的結果送上來看看

11
是的,請記得加static route在 dd-wrt, 讓dd-wrt知道在那裡可以找到client site 的 LAN
http://www.dd-wrt.com/demo/Routing.asp

我不知要如何把pptp client的IP固定,這個你要自己去查(應該可以).



大大的意思若是我要用 pptp vpn 產生 site 2 site 跟本不須要管 static key
更不用提 ca 憑證,單憑帳號密碼就夠了嗎?。

12
如果你是要PC Client透過 VPN Client連到Remote LAN, 你既然已經連到VPN了, 其實你只差一小步了.
還記得我前面講的吧,你要做Static Routing.

1. 在VPN Server那端要加上 VPN Client端的LAN 的Routing Table. (這讓VPN Server能夠回應到VPN Client這端的PC)

2.VPN Client(Win2003)這裡要將Routing Server啟動,並且將VPN SERVER那端的LAN 加到Routing Table (W2003上加Static Route)

3. Win 2003所在的LAN中,你要在PC Client所用的Router (Default Gateway)上加上VPN Server那端的Route.

如此才能讓2端LAN互通.

上面寫得可能讀起來很累. 你將目前的網路狀況寫出來吧. 這樣比較好回答.



小弟在還沒有用 open VPN 之前,原本只想用簡單的 PPTP VPN 來完成 site 2 site,
但是看別人的教學都要 static key,再搞 ipsec ,才要完成 site 2 site。
自己只完成了 client 2 site。
也就是 client 端的 PC 如何透過 router (這裡是指 vpn client)連出去,
這部份的觀念不是很清楚。
再者我找不到如何產生 dd-wrt 用的 static key 。



13
嗯,手上目前沒有dd-wrt可以試,但就 http://www.dd-wrt.com/demo/PPTP.asp
中所示,你有2種選擇,pptp或是openvpn

要是對openvpn不熟悉的話,那改用pptp好了,dd-wrt那端設為pptp server, Windows 2003這端
做pptp client, 並且要啟動Routing。(可能要手動加Routing table)

當然你的Windows 2003這台不是要做ip 分享, 是做Site to site的Router吧, 所以要把Routing 啟用,如不做Routing, 那就只是一單純VPN  Client.


PS:
http://www.dd-wrt.com/demo/PPTP.asp 中有關OpenVPN的設定,是將各Key的內容直接貼上,和一般Linux或是Windows所架的OpenVPN Server其實沒有什麼不同。以Linux為例那個CCD目錄是在openvpn下一個放Client Routing設定的地方,其目錄下的檔名以Client的Common Name命名。 例如: ccd/ClientA
=======ClientA=========
iroute 10.100.1.0 255.255.255.0

=====================
以上表示 client A連入後,那端的可連到Network 10.100.1/24 (注意是iroute ,多一個i, 這是給VPN Server內部辯認用)

最後一句話,設定檔放在一個ccd的目錄下
我看不是很懂,可以說明一下嗎?
附帶一提,我並不是用 Server 2003 來作 ip 分享哦!
一邊是 dd-wrt 另一邊也是無線路由器,
我指的 Server 2003 是在內部。用 DMZ 讓它和外部通。



14
http://www.dd-wrt.com/wiki/index.php/OpenVPN
你如果要做Site-to-Site VPN, 使用OpenVPN可能會比較好做..

至於Windows 2003只有1 NIC可不可以做, 讓我猜一下吧, 你是要把這台2003當做Site-To-Site的 VPN點吧.

答案是可以的,甚至用XP就可以了, 因為我就是這樣做的(要把XP的Routing功能打開)。

重點有2個.
1.Windows 2003和DD-WRT OpenVPN的 Routing Config要寫對. 簡單來說. 你要讓DD-WRT知道有個網段在Windows 2003這個OpenVPN Client上, 設定檔放在一個ccd的目錄下
2. 在Windows 2003這端「LAN」的Router上, 要指明到dd-wrt那端網路的Routing要透過2003.
PS:
你無須在Windows 2003上做靜態路由, OpenVPN Client會在連上後, 根據Config把Routing建起來.

OpenVPN 的static key是對稱型的Key, 或者你可以改用比較正式CA Key方式,

方法很簡單,就在Windows 2003上裝個有Admin功能的OpenVPN Client, 他可以幫你產生 ca, 還有client要用的Key,

產生完成後.放到dd-wrt上就可以了. 還有client的key放到config目錄下就可以了.



小弟要架 site to site 的 vpn ..
Server 端是用 DD-wrt ...client 端是 windows server 2003
....
...
我主要是參考 "FreeS 建立 LAN-To-LAN VPN 及 Windows client VPN connection" 來作
希望各位大大能補上臨門一腳,讓我得分吧!

15
以這情況, 有二個做法
1. 是的. 回答你的問題. "需要換不同Port給LAN Web",

OR
1.使用Reverse proxy . 但Web連線要使用Host name 不能用IP, 這情況下你要架幾台都可以. Reverse Proxy也可為你的Web Server多一層保護.

Hello,

ISP只給了一個fix IP, 現在Linux內有web service和Lan內亦都有web service, 80port已經開了給Linux內的web service.
想請問可否再用PREROUTING給Lan內的web service ? 是否需要改port ?

Thanks !


16
感謝大大..
還有一個問題就是..
為何我在
群組原則的電腦設定 / Windows 設定 / 安全性設定 / 本機原則 / 安全性選項中設定超過登入時數就自動將使用者登出原則。
為何到了設定時間還是....無法...讓USER登出呢?
我也試過在AD中設GPO

Force User logoff - Server 2008
http://social.technet.microsoft.com/Forums/en/winserverGP/thread/a3b78bcd-3b04-480c-994e-1e066765582b

從討論中看來,GPO目前還是辦不到,你要的功能可能要搭配下面的方法

Windows 自動登出逾時未操作的使用者
http://www.wretch.cc/blog/josephphoto/4041898

注意喔,是Idle的才會被登出,所以要強制退出,可能真的要用下面這軟體,否則你要自己去寫script去kick out user.

Active Exit for Windows 7, Vista, XP, Servers
http://www.winability.com/active-exit/


PS: 為何時間到仍無法將User登出,反過來想一個問題,User在做一件很重要的工作,如果你強制Logoff 他/她,那後果是蓋恐怖的.


17
Linux 討論版 / 回覆: 來源IP可以路由嗎?
« 於: 2011-01-28 17:05 »
aknine 大大您猜錯囉~~

我還是說一下原因好了, 因為這台機器要到(eth1)遙遠的 300 公里外的分公司 mapping 到一個固定 real IP, 而其它機器只需上網, 所以就從 local 的 eth2 出去囉, 為何不在 eth2 mapping ?? 因為沒有固定的 real IP~~~


如果你是用RedHat系列的Linux, 可採用以下做法
在 3 NIC的Linux上.
vim /etc/iproute2/rt_tables
加入
代碼: [選擇]
100 remote_site
vim /etc/sysconfig/network-scripts/route-eth0
加入
代碼: [選擇]
default via <eth1所連到遠端的IP> table remote_site
vim /etc/sysconfig/network-scripts/rule-eth0
加入
代碼: [選擇]
from 192.168.1.100/32 table remote_site
最後下指令讓設定生效
代碼: [選擇]
service network restart
另外 遠端的Server要幫192.168.1.100做 SNAT (假設 eth0是那server的Internet nic)
代碼: [選擇]
iptables -t nat -I POSTROUTING -s 192.168.1.100 -o eth0 -j SNAT --to <real_ip>
就可以了.以上做法,讓192.168.1.100 走遠端的Real IP出去. (注意,是出去, 不是連進來)
(假設遠端的gatway認得192.168.1.0/24的網路)


18
Linux 討論版 / 回覆: 來源IP可以路由嗎?
« 於: 2011-01-28 06:17 »
各位先進好
 
小弟有一台 3 張網卡的 Linux host 當閘道 router,其路由表已設定如下:
第 1 張網卡 eth0 接通 192.168.1.0/24,是我服務單位的內部網路。
第 2 張網卡 eth1 接到 VPN Virtual IP 網段(10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),連往各分公司。
第 3 張網卡 eth2 接到 Internet。
 
這種路由分配平常皆相安無事,內外網上網愉快。但問題來了,我內部有一台特殊機器(192.168.1.100)「必需」把所有的路由/封包都導到 eth1 上面去(原因和技術無關,所以就不多說了),也就是不可以由 eth2 出去(所有192.168.1.0/24 的 IP 都可由 eth2 出去、但 192.168.1.100 這一台全部要走 eth1)


所有192.168.1.0/24 的 IP 都可由 eth2 出去、但 192.168.1.100 這一台全部要走 eth1

就這敘述,應該就是不允許192.168.1.100連上Internet吧,這不是考題吧,敘述也繞得太大圈了吧 

因為routing是正常的,所以用Iptables就可以了。
如果你的iptables 沒有做特別的-j REDIRECT用這個就可以了
代碼: [選擇]
iptables -t mangle -I FORWARD -i eth0 -s 192.168.1.100 -o eth2 -j DROP(為何能這樣做的原因和技術無關,所以就不多說了)




19
關於win server 2008 r2中 AD GPO與權限設定的問題

最近公司客戶有一些設定需求,需要設定,所以想問一下各位大大
這樣的需求是否可以逹到,又要如何去做呢

1.
能否設定USER只能讀取檔案但不能另存新檔之本機呢?

以Windows 2008 R2 建置AD RMS保全企業內部office文件安全
http://www.dotblogs.com.tw/dotjason/archive/2010/01/08/12923.aspx

基本上來說,Can ready = Can Copy ,真的要防copy是不可能

所要做的手段以目前來說,僅能對檔案加密,然後透過一些外掛解密程式來做管理

或許你會說用Terminal,嘿...就算是透過Terminal也不是完全保全,

上面URL,最後一張圖就說明了不管如何防,都逃不過這個最後手段...



20
如樓上所說, 勤做備份,且至少測試還原一次,

你所想知道的Cache問題,對你的災難還原計畫沒有直接的影響

在計畫中,規劃系統還原方式和需時就好,不要把問題糾結在這種事上,

我這二台DC都是裝在VM中,這樣的話Cache問題根本就不存在,

隨時可以找電腦重建.

所以才會說對你的計畫沒有影響。

把規劃的精力花在發生其他部分吧(如火災事件-硬體採購,人員分工. 廠商連絡....等)


22
Network 討論版 / 回覆: 免費的SSL Vpn server
« 於: 2010-12-01 13:07 »
SSL Explorer 在2008-11-17被  Barracuda 收購了,  Barracuda很GY的把SSLExplorer變成 連機販賣的SSL VPN,

所以SSLExplorer 基本上是死了.軟體不再更新了,  Addon的Package你要下載也不好找了,

在SSLExplorer 被斷頭後,Open Source分支出了一個叫Adito的Clone 版, 功能基本上是一樣.

Adito 現已改稱OpenVPN ALS, http://sourceforge.net/projects/openvpn-als/

不過, 不管是SSLExplroer or OpenVPN ALS. 其免費版的功能是一樣. 但SSLExplroer 付費版多一些

File Sharing, Disk Mapping, Advance Routing等功能,在使用上有其便利性.

OpenVPN ALS, 是完全Open Source, 所以功能也比較陽春一點點. 你如考慮Open Source+日後更新問題

就用這個吧. 他也是很久沒更新了. 不過至少還沒死吧..哈



23
代碼: [選擇]
Thu Aug 12 08:49:07 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)

這情況通常是Firewall擋下了, 你的CentOS在內部的話. 要在外部Firewall上將udp 1194 forward 到內部的192.168.89.32

或是你的CentOS 5.5擋下了 udp 1194的連線

代碼: [選擇]
xp上的client.ovpn
client
dev tun
proto udp
remote 203.70.232.152 1194
resolv-retry infinite
user nobody
group nogroup
如使用OpenVPN GUI for Windows, user 和 group 可以去掉, 用不到

代碼: [選擇]
而在server 內的 server.conf 的內容
local 192.168.89.32
port 1194
proto udp
dev tun
tls-server
local 129.168.89.32 可去掉, 除非你的CentOS有多IP, 不寫local <ip_address>有個好處, 是可以允許使用不同IP連入.

代碼: [選擇]
push "route 192.168.89.0 255.255.255.0"
push "dhcp-option DNS 192.168.89.16"
push "redirect-gateway"

已使用 redirect-gateway. 那OpenVPN Server 會變成VPN Client的 Default Gateway, push "route 192...." 可以不用寫了, 另外, VPN Server所在的網路設定要允許 10.8.0.0/24的 ip 上網.且需設定相對的routing table, 否則該VPN Client是無法透過透過VPN Server的網路上網, 除非在 VPN Server上做 SNAT,

代碼: [選擇]
iptables -t nat -I POSTROUTING -o eth0 -s 10.8.0.0/24 -j SNAT --to 192.168.89.32

除非有特別需求(如本人要在大陸透過台灣上網), 一般是不建議做redirect-gateway.



24
Linux 討論版 / 回覆: 關於iptable
« 於: 2009-03-27 15:48 »
請問有經驗的大大,如果我想用iptable管理區域LAN裡的電腦IP(我用DHCP SERVER分配給用戶,一個IP對一張網卡MAC),就是設規則 符合IP和MAC的電腦才可連上線,如設定規則,要二個條件符合才可以通過,知道的大大,能否告知一下,如果可以,煩請po個範例,謝謝。感激不盡

先決條件,Linux和Client PC必須是在同一個Network,否則無法取得MAC

example:
eth0: Internet
eth1: LAN
LAN Network: 192.168.1.0/24
# 允許共享上網
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

# 允許LAN DHCP
iptables -t mangle -A PREROUTING -i eth1 -p udp --dport 67 -j ACCEPT

# 允許 MAC 和 Source IP
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.1.2 -m mac --mac-source 00:11:33:44:55:66 -j ACCEPT
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.1.3 -m mac --mac-source 00:11:33:44:65:66 -j ACCEPT
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.1.4 -m mac --mac-source 00:11:33:44:77:66 -j ACCEPT

# 也可用更單純的做法, 只允許MAC, 但.管理追蹤上會不方便
iptables -t mangle -A PREROUTING -i eth1 -m mac --mac-source 00:11:33:44:77:66 -j ACCEPT

# 拒絕所有IP/MAC未對應的連線

iptables -t mangle -A PREROUTING -i eth1 -j DROP


25
现在小弟进度卡在一个地方

就是一张网卡绑定多个实体固定ip  结果还是只有原本的那个ip  有通
其他的都没反应  我想我应该是漏了一些步骤......查不到资料 

因为一些特殊需求  所以一定要8个ip都用到 
很久沒用Windows的PPTP Server,不知道現在設定改了多少

但以觀念上來說,你需要做SNAT - Source NAT ,這部分你要在Windows的 Routing Service上做設定.

且你的設定思考方向要換成,PPTP端給User的IP當成你的SNAT來源. 而不是User端的Internet IP.

這樣說吧. 你把每個User撥到PPTP Server上.都給予指定的內部IP. 然後你針對各別IP設定SNAT 到各相應

的外部IP,就可以達成你要功能(前提是你的PPTP是設定成User的Default Gateway)。

所以,有人說以單網卡來達成多IP是真的可行,真的是沒必要用的多網卡,多網卡比較適合連接不同的ISP,

在設定上會比較好管理與理解,但以你的情況,8網卡(Port),應該是沒有必要.



26
架設VPN目的 主要是要當跳板 玩台灣遊戲

有什麼方法可以做到 8個固定IP綁定在一台電腦上 並且每個IP都可以都可以走VPN

例如其中一個 IP是 1.2.3.4 

大陸那邊利用XP 的PPTP撥號  撥了 1.2.3.4 這個VPN  他等於就是利用了1.2.3.4 這個IP上網

如果撥了 5.6.7.8 就會用 5.6.7.8 這個IP上網

但是只能用一台電腦

請問WIN2003可以實現這個功能嗎?>

或者是 用VMware 來建立7個2003 OS 來實現這功能?

在你還沒搞大前,先告知你,PPTP的VPN 連線,在大陸很多地區,是連不到台灣的PPTP Server....
(沒記錯的話.2004年後,就不能用了)
請先確用單機 Windows PPTP server測試是否可以自中國大陸連回台灣,你再想你的大計畫吧

27
MIS 討論區 / 回覆: 提 分公司連線方案
« 於: 2008-08-04 21:20 »

大大... 我聯絡過你介紹的那家公司www.c-com.com.tw, 小姐說他們的產品都已經停售..東西也不散賣給end user, 他們要轉型製造其他東西, 請問有沒有認識北部廠商 有負責安裝到好的??

這真是糗了,抱歉,我真的沒有想到他們停產了。這樣的話,真的是難買了。(停產情況下,不推薦購買)

(你可能要找同型產品或其他方案了,這種東西我只用過這家的Pamspan5000。其他的,你找廠商幫你張羅吧,這樣比較保險)

或是這東西的使用條件真的要剛好遇到,否則會採用的真的不多。
Final tip..
如果你真的想買,或許你可以找他們主管談,不要和第一線人員接洽
(東西沒有所謂不可散買或整批賣的,這種時局,生意送上門,還沒有聽過有人嫌棄的)

28
MIS 討論區 / 回覆: 提 分公司連線方案
« 於: 2008-08-02 09:26 »
如果總公司附近的點可以一口氣提升到雙向22M  就算繞回總公司再出去應該也是比較快的
所以就CP值來算應該不錯

是的,當時的情況和你幾乎一樣,就在公司對面,卻因馬路相隔(剛鋪好,不給挖),只好用一般ADSL各自連線上網,

後來改用G.SHDSL.後,相連的點就集中上網,成本上省了非常多。更重的的是不用去搞VPN連線或設備,方便不少。

29
MIS 討論區 / 回覆: 提 分公司連線方案
« 於: 2008-08-02 00:13 »
目前公司都是直接跟數位聯合租用MPLS-VPN
使用G.SHDSL這一招  我很有興趣
因為公司有分點不過距離不遠
如何知道分點是否超過3KM
以總公司作圓心嗎
請問一下   有是用過的大大  是否可以教一下
還有它的穩定度是否可靠
另外是否可以慢慢加電話線路
看到這一招  覺得很適合公司使用



穩不穩...應該還OK吧,用了二年,除了曾因一電話線路被老鼠拿來練牙齒外,造成頻寬下降。機器本身與頻寬穩定性都還不錯,但因為22M和100M/1000M 光纖比較起來還是慢好幾截,所以有時User還是會靠北靠木,人心總是不足!!!

我們購入的是8Wires,可用1,2,4對(5M/11M/22M)的連線方式,所以你要慢慢加線路..也是可以啦,不過,這租線一條200/月,一次搞定比較快吧。

另外,有一點一直忘了說,當初就考慮到頻寬(22M)滿載時可能會使電腦回應變慢,在一端裝了Linux Router搭配控制頻寬(無硬碟的Devil-Linux).以確保重要資料與「長官」可得到比較高的傳輸順序。


30
MIS 討論區 / 回覆: 提 分公司連線方案
« 於: 2008-08-01 23:47 »

引用

大大.. 請問一下 一台$16000是指原廠建議售價是嗎?? 有沒有認識北部的網路公司有賣這種設備的? 我網路上問了間網路公司跟我報一台說是vdsl2的設備, 兩台報價將近六萬耶 也是走電話線路的方法.. 不知道是否跟大大的G.shdsl 是否一樣??

NT$16000一台是二年前買的價錢,我們是購買4對(8Wries)的型號http://www.c-com.com.tw/c-com-products-pamspan-5000.htm。這型號比較貴,總速度可達22M,你也可考慮買2 Wires的型號(11M)。

1. 購入之前,建議先請線路施工廠商以測線器幫你測一下二端的線距,以免超過設備的限制(3KM, 但要考慮中間線路的品質)
2. 這東西是對稱式(所以要成對買),一端設為Master,另一端設為Slave,然後就可通了....
3. VDSL2的速度比這高,所以比較貴,但一樣,要注意線距的問題。
4. 這東西比較好的地方是速率是雙向的,上下行速度一樣,這也是當時會採用的因素之一。
5. NT$ 16000是當時的價錢,現在應該比較便宜(照理說啦!!!.),或是有更好的產品可用,你可連絡廠商看看有無新的東東...

PS: 這東西廠商不做安裝服務(因為他們很少對Enduser賣),還好.真的很簡單(比家用共享器還簡單).你可以先把二台放到一起,使用Web進去設定,設好後,連通後,再各自安放就可以了。




頁: [1] 2