iKuai VPN跨VLAN访问应该怎么设置？

warcow

我的应用情况是这样的：在公司总部用的IKUAI路由器，配置了L2TP VPN服务端，华为S5700交换机，S5700上分了两个VLAN 80  81，网段分别为192.168.80.XX和192.168.81.XX，IKUAI路由器接的VLAN80，两个网段可以互访问，也都可以上网分公司电脑可以正常登录VPN，获取的IP为10.51.0.XXX，但登录VPN后，只能访问总部VLAN80的设备，VLAN81的设备不能访问，请问应该怎么样设置才能可以同时访问总部VLAN80 81？

爱快技术支持06

楼主，把你的网络拓扑结构图给画下，我就没整明白你的结构图

warcow

我的拓扑如下图所示，核心交换机是华为的S5700，GE01口接IKUAI路由器，GE02接部门1交换机，GE03口接部门03交换机，GE01与GE02划分在VLAN80内，GE03为VLAN81。


IKUAI路由器的LAN口地址为192.168.80.1，核心交换机的相关配置如下
vlan batch 80 81
ip pool 81                                
gateway-list 192.168.81.1               
network 192.168.81.0 mask 255.255.255.0  
lease day 10 hour 0 minute 0            
dns-list 192.168.80.1         

#     
interface Vlanif80                        
ip address 192.168.80.2 255.255.255.0   
#                                         
interface Vlanif81                        
ip address 192.168.81.1 255.255.255.0   
dhcp select global                       
#      
ip route-static 0.0.0.0 0.0.0.0 192.168.80.1         
爱快路由器上做了一条静态路由：目的地址192.168.81.0  网关 192.168.80.2   ，并且设置了L2TP VPN的服务端 ，VPN IP为10.51.0.XXX                  

在本地的话，部门1与部门2是可以连通的，并且都可以上网。
现在的问题是：我在外地，VPN登录成功后，获取到10.51.0.XX的IP地址，只能与VLAN80 内的设备通讯，与VLAN81内的设备PING不通，请问IKUAI路由器上要怎么样设置，才能使我VPN登录成功后，可以与VLAN80 VLAN81内的设备都可以通讯。

nullren

为什么要把lan的Ip段与vlan80的Ip段重叠？看得晕晕的先把它们分开再说吧

nullren

看着晕。其实嘛，可以简单一点，DHCP什么的交给爱快去搞。
在爱快里，建二个VLAN,绑到同一个LAN1口
VLAN80 IP:192.168.80.1  开DHCP
VLAN81 IP:192.168.81.1  开DHCP
----------------
三层交换机与爱快LAN1口的接口设成TRUNK
三层交换机里建VLAN80 VLAN81,都不用设地址，当二层来用。
----------------
完了，也不用什么静态路由了。VPN进来也会通的。

nullren

如果你非要拿三层来转发内网包，
---
那么爱快的LAN1上
LAN1的地址设成：192.168.254.254

三层交换机里,除了VLAN80,VLAN81 (DHCP照开)
再设置VLAN1:  IP:192.168.254.1

好了，现在就是做静态路由了：
爱快里：
目的地址192.168.254.0  网关 192.168.254.1
核心交换机里：
ip route-static 0.0.0.0 0.0.0.0 192.168.254.254
===
按我这几天对VLAN的理解，哈哈我没学过，都是猜测，这样就行了，VPN进来一样的都可以通的。

cdwangyu

用81网段的机器使用TRACERT追踪下以建立L2TP连接的10.51.0.X的地址，看看扔弃在什么地方。个人估计和静态路由有一定关系。可以测试下在路由上加一条静态路由10.51.0.0/24下一条L2TP服务器地址。

warcow

nullren 发表于 2015-12-24 00:02
看着晕。其实嘛，可以简单一点，DHCP什么的交给爱快去搞。
在爱快里，建二个VLAN,绑到同一个LAN1口
VLAN80  ...

兄弟，感谢你的回复，这个方法可行吗，我下次试一下
爱快里建2个VLAN，LAN口那端可以设成TRUNK吗，如果可以的话，确实要简单得多了

warcow

cdwangyu 发表于 2015-12-25 13:38
用81网段的机器使用TRACERT追踪下以建立L2TP连接的10.51.0.X的地址，看看扔弃在什么地方。个人估计和静态路 ...

兄弟，感谢回复，你说的L2TP服务器的地址，是指什么地址？是WAN口那个公网地址吗我VPN是可以登录的，并且可以访问VLAN80内的设备，就是不能访问VLAN81

cdwangyu

warcow 发表于 2015-12-25 23:21
兄弟，感谢回复，你说的L2TP服务器的地址，是指什么地址？是WAN口那个公网地址吗我VPN是可以登录的，并且 ...

你设置L2TP服务的时候不是要填写L2TP服务器地址吗？我说的就是那个地址。能访问到80网段我个人估计是因为路由器内网接口和L2TP服务虚接口都在同一台设备上，可能是用了ARP方式转发。但是由于81网段是夸三层的（下面有三层交换，并且配置了路由转发），在路由器上无法查找到对应ARP表，所以转发失败，估计L2TP虚接口没有生成直连路由信息。所以让你手动写条路由。当然了以上属于个人的猜测，只是给你一个参考。