Archive

Posts Tagged ‘network’

使用isa client后通过OpenVPN不能正常访问网络问题解决

July 24th, 2007 No comments

在“使用VPN来保证网络监控下的信息安全”中提出了使用vpn来避过网络监控的方案,并且在其中提到了,在安装有isa client的机器上,利用OpenVPN建立vpn隧道之后,对于外部网络可以ping通,但是所有的tcp和udp都不能连接的问题,今天终于找到一个间接的解决办法。

背景说明:

ISA是MS的网络防火墙,功能比较强大。而且通过在客户端机器上安装ISA Client软件,可以完全控制客户端机器上的网络访问情况。ISA Client接管了网络链接,把所有的网络访问都转接到ISA Server上,然后由Server来判断是否允许链接。

使用VPN之后,无论是OpenVPN还是IPSec VPN,在安装了ISA Client的机器上,正确的设置了路由之后,对于外部网络可以正常的ping通,但是所有连接都失败。通过网上搜索得知,可能由于ISA造成的MTU不匹配所致。

个人水平有限,找了很久也没有找到定制MTU的方法。不过今天发现一个另类的解决办法,步骤如下:

1)启动ISA Client

2)启动OpenVPN,建立vpn隧道,配置好路由(这个可以在配置文件中设置,主要就是修改默认的网关,然后制定VPN Server的路由为通过原来的网关)

3)关掉ISA Client

经过上面3步之后,网络就可以正常访问了。除去特定的内部网络以及VPN服务器之外,所有的其他通讯都走vpn通道,这样就省去了对外部代理服务的需求,性能和稳定性都有所提高。

如果vpn链接中断的话,只需要重复上述3步即可。

附路由表的配置:

1. 默认网管的修改,在OpenVPN Server的配置文件中增加指令

push “redirect-gateway”

2. 在vpn客户端配置文件中设置VPN Server的路由和内部局域网路由

# the vpn server
# sever.vpn.net is the vpn server host
#10.8.1.1 is the default gateway
route server.vpn.net 255.255.255.255 10.8.1.1 20

# the intranet net
# 10.0.0.0/8 is the company intranet
route 10.0.0.0 255.0.0.0 10.8.1.1 20

Categories: 技术讨论 Tags:

使用VPN来保证网络监控下的信息安全

July 18th, 2007 No comments

在去年11月的时候写了一篇“突破公司网络封锁,畅游无限网络”的文章,说明了在某公司那种严酷条件下如何上网。但是目前局域网监控日益流行,采用前面所述的裸奔的方法很难保证信息的安全。

在不加密的情况下,浏览的网页、收发的邮件以及聊天记录都会一览无余。msn和gtalk都是明文传输的,如何避免这个问题?

那就是在电脑和公司网络之外的服务器之间的数据进行加密。VPN是一个优秀的选择,如果服务器是Windows2003之类的操作系统,OS本身就提供的VPN功能,在此不展开说明。

如果是其他的系统,可以采用OpenVPN这个软件来搭建VPN服务器。OpenVPN是一个开放的免费软件,官方主页在http://www.openvpn.net,上面有详细的说明文档。OpenVPN有两种模式,分别是Bridge和Route方式,各有优缺点。

按照常理来说,采用vpn的tunnel之后,通过修改路由就可以直接上网,可以兼容各种协议而不需要在软件里面设置代理。但是在我的实际应用过程中,由于是安装了Microsoft ISA client,然后通过ISA Server出去,所以无论是Birdge还是Route的方式,所有的网站都可以ping通,但是除了vpn服务器之外,连接其他服务器的任何端口都会接失败。利用tracert来跟踪路由也是失败,所以不得已只好在服务器上再开ccproxy。

利用vpn的优点就是,只有vpn在ISA所开放的25或者110端口上跑,ccprxoy的代理服务则可以在任意端口都可以。这样对于服务器在另外一个私网内的情况来说,只需要在路由器上转发一个端口就可以了,从而也保证了代理服务器的安全性。

关于OpenVPN的安装以及配置在网上随便一搜就会有很多,不过还是推荐看官方网站的Mannual和HowTo,基本上所有的问题都解答了。当然我这个除外,如果有谁知道问题的解决办法,还请赐教。

Categories: 技术讨论 Tags: , ,

超汗,连花生壳服务器都会被DDOS!

March 8th, 2007 No comments

今天上午发现在办公室上不了网,原先一直都是跑得好好的。心里想,肯定是昨天睡得不好,所以早上匆忙走得时候没有打开花生壳。等中午回家检查,发现网络是好的,但是花生壳无法连上服务器,后来13点过的时候,发现正常了,就没有再理。

晚上在ITExpress上听说,原来是被DDOS了。真想不通,为何花生壳的服务器也会被DDOS,这里面似乎没有太多的经济利益在上面。

附oray.net的声明:

2007年3月7日Oray受攻击影响公告
因Oray服务器群出现被攻击的情况,影响到部分地区的Oray服务正常运作.3月7号晚20:00分我们已恢复所有专业级别用户的服务使用。
目前因网络服务尚未完全修复,我们仅向部分地区开放标准服务级别的花生壳客户端登陆。
Oray工程师继续抢修服务器,并尽快开通标准级别服务的使用。敬请广大Oray用户谅解 !

Categories: 技术讨论 Tags:

需要赞一下“迅雷”

January 30th, 2007 3 comments

由于“迅雷”老爸的原因,原先一直对其有一些抵触的情绪,但是不管怎么说,“迅雷”还是一个不错的下载工具,它与“FlashGet”等工具相比,最大的优点就是它有着非常庞大的后台“镜像”数据库,使得用户可以同时数个不同的地点下载,这在即使原来站点上的文件已经没有的时候,也还是有可能下载得到。“FlashGet”则只能通过有限的几个搜索地址来查找类似官方镜像,可用性就差了很多。

虽然“迅雷”的这种技术,不可避免的带来的“盗链”的问题,影响了一些小站点的流量收入,但是对与最终用户来说,下载的优势还是非常明显的。

在带来方便的同时,“迅雷”的广告有点过于让人讨厌了,从窗口上的广告块,到无处不在的“迅雷资讯”,严重的影响了用户的体验。

下面这个链接是去掉了窗口广告的迅雷,不需要安装。但是它并没有阻止“迅雷资讯”。

点击这里下载

上面这个链接下载有些困难,不过可以先装个广告版的迅雷,下载完后在拿这个覆盖。:)

后记:FlashGet也还是非常不错的下载软件,在网络蚂蚁之后统治了下载工具这么多年,而且也算是成功走向世界并且切实获得不错收益的国产软件。它的最新版本增加了基于BT的下载方式,尚不十分成熟。

Categories: 技术讨论 Tags: ,

利用SSH tunnel技术访问维基百科

January 27th, 2007 No comments

维基百科作为利用wiki技术,集合全部网民之力量建立的世界上最大的知识库,由于众所周知的原因不能访问,实在是非常遗憾。知识是无界的,而人为的这一道墙剥夺了这个权利。

帽子盖完,总还是需要找些法子来访问的。以前经常使用的tor已经慢得无法忍受了,访问一些镜像或者强制得hosts文件里指定域名的ip又是非常的麻烦。忽然想到,为何不用dreamhost提供的ssh帐号来建立一个ssh tunnel来访问呢? “自己动手,丰衣足食”嘛。

说做就做,其实建立ssh tunnel非常简单,利用免费的putty+FreeCap软件即可,它对ssh tunnel的支持非常完美。

FreeCap以前也介绍过,就是一个包装socks5代理的工具,是大名丁丁的SocksCap的代替产品,一个俄罗斯人写的,免费的。

然后驱动ie或者别的就可以上网了。

网络基本上恢复正常

January 25th, 2007 No comments

从昨天开始,从我所在的位置连接美国的网站已经基本上正常,速度也已经恢复到光缆中断之前的水平,甚至略有提高。BJ网通1M的ADSL的持续速度达到100KB/s。

这一次网络恢复正常的原因可能是网通继续调整路由或者光缆已经逐步修复投入使用。不过后者目前尚未见到报道。

希望好势头能继续保持下去。

Categories: 快乐每一天 Tags: ,