• 首页
• 产品目录
  • 加密产品
    • 标准版
    • 标准版+
    • 专业版
  • 商用安全产品
    • 数据服务器
    • 安全U盘
    • Web 防篡改系统
  • 企业防泄密系统
    • 设计经典版
    • 管理平台版
    • 至尊企业版
• 解决方案
• 服务与支持
  • 在线支持
  • 软件下载
• 保密技术
• 关于我们

　　公司分处两地办公，两处都有一个局域网，分别都可以通过电信的宽带连接Internet。现在希望两个局域网通过公网建立VPN互联互通，各终端之间实现完全透明的访问。局域网B中的IIS服务器应能记录来访内网的真实IP地址。

要求：

　　1. 两地局域网都能上外网；
　　2. 两个局域网之间能相互访问；
　　3. 访问对方服务时必须保持真实的IP地址。

方案：

以MikroTik ROS 6.19为例，
　　1. 在ROS路由器上做NAT规则，使得内网能上外网；
　　2. 两个路由器一个架设为PPPoE 服务器，一个架设为PPPoE客户端，用VPN实现外网连接；
　　3. 建立路由规则，访问对方内网；
　　4. 在访问对方内网时建立NAT排除规则。

环境：

局域网A
　　路由器外网地址：121.238.x.x（电信随机分配地址）
　　路由器内网地址：172.16.1.1

局域网B
　　路由器外网地址：63.125.x.x（电信随机分配地址）
　　路由器内网地址：10.0.0.1

一、 局域网访问外网

　　用WinBox登陆路由器，在IP→Firewall→NAT 中增加一条规则，使得内网能上外网，两个路由器都这样设值。

　　General->Chain设置为srcnat，Action设置为masquerade，这条NAT规则添加后，就能访问外网了。

二、 路由器B接入路由器A

　　1. 路由器A架设PPPoE服务器

　　1)  创建地址池
　　用Winbox登陆路由器A，在IP→Pool中添加地址池，供外部PPPoE接入时分配IP

　　　　Name:  pool       (随意取)
　　　　Address: 172.16.1.150-172.16.1.200  (按实际情况分配)

　　2) 创建用户权限

　　　　Name:   Profile   (随意取)
　　　　Local Address: 172.168.1.1  (本地内网地址)
　　　　Remote Adress: pool    (之前创建的地址池)
　　　　DNS Server:  可以按实际的设置，如果没有DNS Server，不必设置

　　3) 创建用户

　　4) 创建 PPPoE Server

　　2. 路由器B架设PPPoE Client

　　用WinBox登陆路由器B，进入PPP

　　至此完成路由器B到路由器A的PPPoE连接，在路由器A的 IP→PPP→Active Connections 中可以查看连接情况。

三、 两个内网相互访问

　　建立访问对方内网的路由规则：进入IP→Routes，新建路由
　　路由器A，Gateway选wan或者lan

　　路由器B，Gateway选wan或者lan

　　设置完成后，从局域网A中的172.16.1.3的机器上访问局域网B中的IIS服务器，可以查看到其“Remote_Addr”为局域网A的路由器地址“172.16.1.1”，而不是访问机器的真实内网地址。如果需要查看到访问机器的真实地址，还需要做第四步的设置。

四、 内网以真实地址相互访问

　　为了上外网，一开始我们就做了全局的NAT，现在要排除访问内网时NAT
　　进入路由器，IP→Firewall→NAT→之前已设的全局规则
　　路由器A，叹号！表示排除

　　路由器B

　　以上都设置完成后，在从172.16.1.13的机器访问局域网B的IIS服务器，已经可以查看到访问机器的真实地址了。

　　至此，设置全部完成。