酷!學園

今長官突來心血

嗯...請務必確定一下，是真的要這樣幹還是喊爽的.有很多人只是問問看可不可以，做為執行人員要清楚其意圖否則就白幹了

要我們看能不能用Notes所發出的Mail,可以自動帶出中文人名,而不是英文人名
小弟有問過維護廠商
可以在替代名稱上輸入中文人名就可以帶出

使用Alternate Name可以，但不是很建議這方式，原因是如送到國外，在無中文環境下會是亂碼
(正確的說法應該是增加一個Alternate Organization Name，就是增一個語言到Certificate中)

但因公司有在Notes上開發一些Flow AP
所以會變成以替代名稱上輸入的人名來做驗證,而不是Notes上的帳號來驗證
因此可能會有驗證上錯誤的狀況  :'(
因此想請問各位先進是不是真的會有驗證上的問題

使用AlternateName並不會造成驗證上的問題，只是多一個驗證用的名稱罷. 這點你倒是不用擔心

如果只是要給外部Internet Mail要顯示中文名，只要在Lotus Notes Client中的Location Document/Internet mail address改成 RFC 822的格式即可:
  李四<4_lee@mycompany.com>
或有空格的話
  "心血來潮 李四"<4_lee@mycompany.com>

PS:
上面的方法僅限於使用Notes Client , Domino Web Mail不適用

如果是對內Mail，比較麻煩，要改Mail Template, 這就不多說了, 總之就是想辦法去把Names中的中文名放進去或是去讀就對了

建議:

個人是非常不建議更動Cert.id, Certificate 的 Alternate Name是一個非常有趣的設計，但要每個環結都顧到才能使用順暢.
(請見諒，不是要賣關子，是解釋起來落落長，總之，能不用就不用)

想辦法告訴那位月經來的長官，考慮日後維護與管理的便利性，只有對外信才使用中文名，且可依各人需求自行再Location Document中填寫或管理. (要多個不同名，就多Copy幾個Location Document)

嗯...以網路開放情況來說，這樣做真的很沒意義.

既然台灣可以看得到，資料遲早會散布出去, 大家都知道只是遲早問題

真的做到資料管制，那就用註冊User管理，不過，還是一樣，遲早問題。

既然做購物網站，又要防止特定的查訪，頭殼洗一洗，思維改一下吧。

代碼: [選擇]

Network Destination        Netmask          Gateway       Interface  Metric
...
    192.168.1.0    255.255.255.0    192.168.1.250    192.168.1.250      1
...


1. 如果Windows 2003 Routing and Remote Access Service 有啟動(c:\> net start ，可以看到)，那問題應該是在dd-wrt的Routing Table上
2. 測試 :
2.1 從Win 2003上去Ping dd-wrt 的 LAN Interface的IP
---> 有通 表示Win2003 -> dd-wrt 的pptp是真的有連上
2.2. 從Win 2003上去Ping dd-wrt 的那端LAN PC的IP
--->有通 那表示 W2003->dd-wrt->pc 的routing 是正常, 問題應該在Win2003上的Routing service沒啟用
--->不通 表示dd-wrt的routing table 設不對，應該要加上 192.168.3.0  255.255.255.0 via 192.168.1.250
192.168.1.250這是dd-wrt 上pptp server 分配給Win2003 pptp的IP. 想辦法固定下來.(抱歉pptp的設定你要自己去研究看看)

useradd  -m hey
pure-pw useradd vftp -u hey -d /srv/ftp/ -m

因為一般都是將虛擬使用者的家目錄設定在指定-u xxx的家目錄下,因此不知道可不可以如前述的程式將家目錄設在別的地方!!!

可以，只要把File/Directory權限設對就好(設給hey)。

-u 的指令只是表示 vftp這user login的身份，其家的目錄必須要有這hey權限。

另外一般在設定Virtual User時，我們都讓ftp user只使用一個權限很低的共用身份，不會讓每個Virtual User都給一個Linux user account, 否則就失去Virtual User的用意。

設完後還是 client 2 site，其它電腦去 ping pptp server 網段，封包跑到 win2003 就沒回應了。
還是卡在 client 2 site ，大大可以指點我一下嗎？

1.Window 2003的Routing and Remote Access Service 有啟用嗎，從結果看起來是沒有啟用.

2.Windows 2003的 Firewall 是否有啟用.

3. 麻煩把Windows 2003的C:\>route print的結果送上來看看

如果你是要PC Client透過 VPN Client連到Remote LAN, 你既然已經連到VPN了, 其實你只差一小步了.
還記得我前面講的吧，你要做Static Routing.

1. 在VPN Server那端要加上 VPN Client端的LAN 的Routing Table. (這讓VPN Server能夠回應到VPN Client這端的PC)

2.VPN Client(Win2003)這裡要將Routing Server啟動，並且將VPN SERVER那端的LAN 加到Routing Table (W2003上加Static Route)

3. Win 2003所在的LAN中，你要在PC Client所用的Router (Default Gateway)上加上VPN Server那端的Route.

如此才能讓2端LAN互通.

上面寫得可能讀起來很累. 你將目前的網路狀況寫出來吧. 這樣比較好回答.

小弟在還沒有用 open VPN 之前，原本只想用簡單的 PPTP VPN 來完成 site 2 site，
但是看別人的教學都要 static key，再搞 ipsec ，才要完成 site 2 site。
自己只完成了 client 2 site。
也就是 client 端的 PC 如何透過 router （這裡是指 vpn client）連出去，
這部份的觀念不是很清楚。
再者我找不到如何產生 dd-wrt 用的 static key 。

http://www.dd-wrt.com/wiki/index.php/OpenVPN
你如果要做Site-to-Site VPN, 使用OpenVPN可能會比較好做..

至於Windows 2003只有1 NIC可不可以做, 讓我猜一下吧, 你是要把這台2003當做Site-To-Site的 VPN點吧.

答案是可以的，甚至用XP就可以了, 因為我就是這樣做的(要把XP的Routing功能打開)。

重點有2個.
1.Windows 2003和DD-WRT OpenVPN的 Routing Config要寫對. 簡單來說. 你要讓DD-WRT知道有個網段在Windows 2003這個OpenVPN Client上, 設定檔放在一個ccd的目錄下
2. 在Windows 2003這端「LAN」的Router上, 要指明到dd-wrt那端網路的Routing要透過2003.
PS:
你無須在Windows 2003上做靜態路由, OpenVPN Client會在連上後, 根據Config把Routing建起來.

OpenVPN 的static key是對稱型的Key, 或者你可以改用比較正式CA Key方式，

方法很簡單，就在Windows 2003上裝個有Admin功能的OpenVPN Client, 他可以幫你產生 ca, 還有client要用的Key,

產生完成後.放到dd-wrt上就可以了. 還有client的key放到config目錄下就可以了.

小弟要架 site to site 的 vpn ..
Server 端是用 DD-wrt ...client 端是 windows server 2003
....
...
我主要是參考 "FreeS 建立 LAN-To-LAN VPN 及 Windows client VPN connection" 來作
希望各位大大能補上臨門一腳，讓我得分吧！

感謝大大..
還有一個問題就是..
為何我在
群組原則的電腦設定 / Windows 設定 / 安全性設定 / 本機原則 / 安全性選項中設定超過登入時數就自動將使用者登出原則。
為何到了設定時間還是....無法...讓USER登出呢?
我也試過在AD中設GPO

Force User logoff - Server 2008
http://social.technet.microsoft.com/Forums/en/winserverGP/thread/a3b78bcd-3b04-480c-994e-1e066765582b

從討論中看來，GPO目前還是辦不到，你要的功能可能要搭配下面的方法

Windows 自動登出逾時未操作的使用者
http://www.wretch.cc/blog/josephphoto/4041898

注意喔，是Idle的才會被登出，所以要強制退出，可能真的要用下面這軟體，否則你要自己去寫script去kick out user.

Active Exit for Windows 7, Vista, XP, Servers
http://www.winability.com/active-exit/


PS: 為何時間到仍無法將User登出，反過來想一個問題，User在做一件很重要的工作，如果你強制Logoff 他/她，那後果是蓋恐怖的.

各位先進好
 
小弟有一台 3 張網卡的 Linux host 當閘道 router，其路由表已設定如下：
第 1 張網卡 eth0 接通 192.168.1.0/24，是我服務單位的內部網路。
第 2 張網卡 eth1 接到 VPN Virtual IP 網段（10.0.0.0/8、172.16.0.0/12、192.168.0.0/16），連往各分公司。
第 3 張網卡 eth2 接到 Internet。
 
這種路由分配平常皆相安無事，內外網上網愉快。但問題來了，我內部有一台特殊機器（192.168.1.100）「必需」把所有的路由/封包都導到 eth1 上面去（原因和技術無關，所以就不多說了），也就是不可以由 eth2 出去（所有192.168.1.0/24 的 IP 都可由 eth2 出去、但 192.168.1.100 這一台全部要走 eth1）

所有192.168.1.0/24 的 IP 都可由 eth2 出去、但 192.168.1.100 這一台全部要走 eth1

就這敘述，應該就是不允許192.168.1.100連上Internet吧，這不是考題吧，敘述也繞得太大圈了吧　

因為routing是正常的，所以用Iptables就可以了。
如果你的iptables 沒有做特別的-j REDIRECT用這個就可以了
iptables -t mangle -I FORWARD -i eth0 -s 192.168.1.100 -o eth2 -j DROP（為何能這樣做的原因和技術無關，所以就不多說了）

如樓上所說, 勤做備份，且至少測試還原一次，

你所想知道的Cache問題，對你的災難還原計畫沒有直接的影響

在計畫中，規劃系統還原方式和需時就好，不要把問題糾結在這種事上，

我這二台DC都是裝在VM中，這樣的話Cache問題根本就不存在，

隨時可以找電腦重建.

所以才會說對你的計畫沒有影響。

把規劃的精力花在發生其他部分吧(如火災事件-硬體採購,人員分工. 廠商連絡....等)

SSL Explorer 在2008-11-17被  Barracuda 收購了,  Barracuda很GY的把SSLExplorer變成 連機販賣的SSL VPN,

所以SSLExplorer 基本上是死了.軟體不再更新了,  Addon的Package你要下載也不好找了,

在SSLExplorer 被斷頭後，Open Source分支出了一個叫Adito的Clone 版, 功能基本上是一樣.

Adito 現已改稱OpenVPN ALS, http://sourceforge.net/projects/openvpn-als/

不過, 不管是SSLExplroer or OpenVPN ALS. 其免費版的功能是一樣. 但SSLExplroer 付費版多一些

File Sharing, Disk Mapping, Advance Routing等功能,在使用上有其便利性.

OpenVPN ALS, 是完全Open Source, 所以功能也比較陽春一點點. 你如考慮Open Source+日後更新問題

就用這個吧. 他也是很久沒更新了. 不過至少還沒死吧..哈

請問有經驗的大大，如果我想用iptable管理區域LAN裡的電腦IP(我用DHCP SERVER分配給用戶，一個IP對一張網卡MAC)，就是設規則 符合IP和MAC的電腦才可連上線，如設定規則，要二個條件符合才可以通過，知道的大大，能否告知一下，如果可以，煩請po個範例，謝謝。感激不盡

先決條件，Linux和Client PC必須是在同一個Network，否則無法取得MAC

example:
eth0: Internet
eth1: LAN
LAN Network: 192.168.1.0/24
# 允許共享上網
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

# 允許LAN DHCP
iptables -t mangle -A PREROUTING -i eth1 -p udp --dport 67 -j ACCEPT

# 允許 MAC 和 Source IP
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.1.2 -m mac --mac-source 00:11:33:44:55:66 -j ACCEPT
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.1.3 -m mac --mac-source 00:11:33:44:65:66 -j ACCEPT
iptables -t mangle -A PREROUTING -i eth1 -s 192.168.1.4 -m mac --mac-source 00:11:33:44:77:66 -j ACCEPT

# 也可用更單純的做法, 只允許MAC, 但.管理追蹤上會不方便
iptables -t mangle -A PREROUTING -i eth1 -m mac --mac-source 00:11:33:44:77:66 -j ACCEPT

# 拒絕所有IP/MAC未對應的連線

iptables -t mangle -A PREROUTING -i eth1 -j DROP

架設VPN目的 主要是要當跳板 玩台灣遊戲

有什麼方法可以做到 8個固定IP綁定在一台電腦上 並且每個IP都可以都可以走VPN

例如其中一個 IP是 1.2.3.4 

大陸那邊利用XP 的PPTP撥號  撥了 1.2.3.4 這個VPN  他等於就是利用了1.2.3.4 這個IP上網

如果撥了 5.6.7.8 就會用 5.6.7.8 這個IP上網

但是只能用一台電腦

請問WIN2003可以實現這個功能嗎?>

或者是 用VMware 來建立7個2003 OS 來實現這功能?

在你還沒搞大前，先告知你，PPTP的VPN 連線，在大陸很多地區，是連不到台灣的PPTP Server....
(沒記錯的話.2004年後，就不能用了)
請先確用單機 Windows PPTP server測試是否可以自中國大陸連回台灣，你再想你的大計畫吧

如果總公司附近的點可以一口氣提升到雙向22M  就算繞回總公司再出去應該也是比較快的
所以就CP值來算應該不錯

是的，當時的情況和你幾乎一樣，就在公司對面，卻因馬路相隔(剛鋪好，不給挖)，只好用一般ADSL各自連線上網，

後來改用G.SHDSL.後，相連的點就集中上網，成本上省了非常多。更重的的是不用去搞VPN連線或設備，方便不少。

大大.. 請問一下 一台$16000是指原廠建議售價是嗎?? 有沒有認識北部的網路公司有賣這種設備的? 我網路上問了間網路公司跟我報一台說是vdsl2的設備, 兩台報價將近六萬耶 也是走電話線路的方法.. 不知道是否跟大大的G.shdsl 是否一樣??

NT$16000一台是二年前買的價錢，我們是購買4對(8Wries)的型號http://www.c-com.com.tw/c-com-products-pamspan-5000.htm。這型號比較貴，總速度可達22M，你也可考慮買2 Wires的型號(11M)。

1. 購入之前，建議先請線路施工廠商以測線器幫你測一下二端的線距，以免超過設備的限制(3KM, 但要考慮中間線路的品質)
2. 這東西是對稱式(所以要成對買)，一端設為Master,另一端設為Slave，然後就可通了....
3. VDSL2的速度比這高，所以比較貴，但一樣，要注意線距的問題。
4. 這東西比較好的地方是速率是雙向的，上下行速度一樣，這也是當時會採用的因素之一。
5. NT$ 16000是當時的價錢，現在應該比較便宜(照理說啦!!!.)，或是有更好的產品可用，你可連絡廠商看看有無新的東東...

PS: 這東西廠商不做安裝服務(因為他們很少對Enduser賣)，還好.真的很簡單(比家用共享器還簡單).你可以先把二台放到一起,使用Web進去設定，設好後，連通後，再各自安放就可以了。