免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2606 | 回复: 1

[其他] 讨论构建好PPTP二层隧道后,几种方式可以让IE低版本的VPN客户端仍然可以通过squid上网 [复制链接]

论坛徽章:
23
天蝎座
日期:2014-05-13 18:05:59IT运维版块每日发帖之星
日期:2015-11-26 06:20:00操作系统版块每月发帖之星
日期:2015-12-02 14:57:54IT运维版块每月发帖之星
日期:2016-01-07 23:01:56IT运维版块每周发帖之星
日期:2016-01-07 23:04:2615-16赛季CBA联赛之青岛
日期:2016-01-23 07:58:272016猴年福章徽章
日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控
日期:2016-03-23 14:20:06IT运维版块每日发帖之星
日期:2016-04-01 06:20:0015-16赛季CBA联赛之吉林
日期:2016-06-28 13:51:54IT运维版块每日发帖之星
日期:2015-11-23 06:20:00IT运维版块每日发帖之星
日期:2015-11-23 06:20:00
发表于 2015-02-05 19:26 |显示全部楼层
本帖最后由 woxizishen 于 2015-02-05 19:28 编辑

1.大家都知道如果一个用户(VPN客户端)IE版本8.0以下,使用PPTP 拨号到本地局域网的一台VPN服务端上。
假设该用户已经有通过squid代理上网的权限

问题:
大部分人都遇到那个windows用户(VPN客户端)就无法通过linux下的squid代理上网(当然的IE高版本已经解决VPN连接后无法使用代理上网的问题),。我们在不使用特殊的代理软件如CCproxy来解决,大家可以想出几种办法。以squid2.7的版本为例,不可以给用户开通nat上外网的方式。


解决方案:
楼主先给出一种解决方案
方案一:
在windows下的IE低版本8.0以下虽然在指定代理服务器后,依然是无法访问外网(实质无法访问squid)的噢,那么就替换浏览器,使用火狐浏览器或别的浏览器,然后在火狐浏览器设定代理服务器地址后,该VPN客户端用户就可以正常通过代理上网啦。



大家集思广益,想出别的办法,楼主提醒:用关闭虚拟vpn网关的方法,那个对nat可以,对squid行不通的噢,切记是IE8.0以下的版本。

论坛徽章:
23
天蝎座
日期:2014-05-13 18:05:59IT运维版块每日发帖之星
日期:2015-11-26 06:20:00操作系统版块每月发帖之星
日期:2015-12-02 14:57:54IT运维版块每月发帖之星
日期:2016-01-07 23:01:56IT运维版块每周发帖之星
日期:2016-01-07 23:04:2615-16赛季CBA联赛之青岛
日期:2016-01-23 07:58:272016猴年福章徽章
日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控
日期:2016-03-23 14:20:06IT运维版块每日发帖之星
日期:2016-04-01 06:20:0015-16赛季CBA联赛之吉林
日期:2016-06-28 13:51:54IT运维版块每日发帖之星
日期:2015-11-23 06:20:00IT运维版块每日发帖之星
日期:2015-11-23 06:20:00
发表于 2015-02-07 08:27 |显示全部楼层
本帖最后由 woxizishen 于 2015-02-07 09:33 编辑

微软的拨号PPTP/L2TP VPN使用的人还是比较少,看来都是SSL VPN的干活,那就结贴了。

当建立VPN连接后,根据微软自己的描述,自带的IE,当你勾选使用代理服务,无论是底版本还是最新版本IE11是不能生效的,也即他不会走隧道的。但是经过笔者抓包分析,实质微软有点言过其实。

第一种情况:2000/xp/2003环境下,开启使用远程网络做默认网关,也即所有数据全部走隧道。
确实如微软官方所言,无论你勾选不勾选代理,他是不会走隧道的,也即想通过代理途径,又想使用微软自带ie,那确实没方法。但是使用火狐浏览器,你指定了代理,他确实数据通过了代理访问的,至于火狐的原理,笔者时间有限,没去研究,有兴趣的朋友可以研究。

第二种情况:2000/xp/2003环境下,不使用远程网络做默认网关,也即只有访问外部的数据或不和VPN分配的ip地址,不在同一网段的数据会全部走隧道。
还是想都不要想,微软IE8.0以下如上面所说,你还是无法使用代理访问外网。但是,注意啦,当你在win7环境下勾选了微软的IE代理,哈哈,这家伙就无视了那字面上的意思,IE代理他的确是走了隧道。大家看上去是不是微软有点自我矛盾,一个在勾选代理那解释,不适用VPN网络,然后你勾选了,这家伙他的确就是走了VPN的网络,笔者有何凭证,凭证就是他的ip头被gre协议重新封装了,这就是凭证,如不相信,可以自己抓包去看。
不过笔者觉得应该不矛盾,因为建立VPN连接后,代理不能走隧道,这确实是有点扯淡,火狐浏览器就不受这影响,我想微软在WIN7和WIN8系统应该是做了点手脚。

第三种情况:那也就只有在WIN7和WIN8下才会发生的,当你使用远程网络做默认网关。
既然笔者说了,win7下微软动手脚代理可以走隧道,那么我就是用远程网络做默认网关,让所有数据走隧道,,嘿嘿不好意思,这次微软IE他又顽皮啦,他怂了,你又无法使用IE通过代理啦。问笔者,笔者也不知道,有兴趣的朋友可以研究研究,但是火狐浏览器还是不受影响,依然走隧道照样提供代理服务。这个小瑕疵还是能接受的

win7系统以后版本VPN客户端提供的隧道和本地网络完全分离的模式是非常不错的哦,可不像之前的winxp那么啃你,我相信大家日后老板或在外移动业务肯定用的到,毕竟大多数这些非IT专业户肯定是win窗口的用户,但是微软有时候也会啃你下,笔者极偶尔有那么一次,他怂了,既然数据全走隧道了,笔者一直查不到原因。

弄来弄去觉得VPN构建还是防火墙或专业VPN设备稳定,软件VPN真是不敢恭维了。













您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。




----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP