话说去年W办事处的D-Link DFL 210防火墙电源坏了之后,和总部之间的VPN就不通了。在Amazon上订了一个电源,等了很长时间才到,收到后发现在运输过程中摔掉一小块。连上防火墙之后的指示灯忽闪忽闪的也不稳定。于是联系买家重新发了一个,又是好长时间的等待,收到后还是不稳定,这就不可能还是电源的问题了。好在手上有备用的防火墙,一连没问题,原来是旧的防火墙有故障,后来打开仔细看电路板,有一个小元件烧坏了。
转过年来,W办事处又搞装修,工作人员调到其他办事处,重新连接VPN的事情就一直搁置了。
数日前装修完毕,我先过去一趟,从管理处那取回Bell的Modem和TP-Link的AP。去之前把210调试了一下,把Finch的配置文件导入,然后把相关的设置改动一下。为了在Bell Modem后面接防火墙,Modem的设置还要改动一下,就是设置成桥接模式,具体就是关掉WiFi和DHCP,在用户名处随便填写,忽略报错。从Modem的LAN口接网线到D-Link的WAN口,由防火墙存好的用户名和密码拨号。天色已晚就打道回府了。
第二天回到总部查看,VPN通了。下一步要连接原来两台台式机和一台网络复印机及AP。
带着原属于W的笔记本和投影二次过来,想起防火墙要设置DHCP,配置后却没有起作用,导致AP也不灵了,改来改去,防火墙的管理界面都看不到了。
本以为VPN也会断了,第二天回总部却发现远程是可以登录到管理界面的。
本周开始,W要正式开展工作,所以2号要加班把VPN,WiFi和几台机器设置好。
兵马未动,粮草先行。准备工作要提前做好。找出以往另外一个和W情况类似的原M办事处的配置备份,并且下载相关的说明手册,以备不时之需。周六下午带齐所有东西来到Woodside,在本地l还是无法登录到管理界面,干脆就初始化。防火墙后面有一个按钮,好像也不怎么起作用,打开盒子,主板上还有一个二级按钮,按完之后看到初始设置界面。导入另外一个办事处的配置文件,没什么问题,尝试导入一下Woodside先前的配置文件,还是看不到界面,再重设置, 有意思的是,只回到上一个办事处的配置,而不是最初始化的界面。这样也省事了,把相应的地址和设置都改好,AP可以了,发现VPN不通,一查是另外一端的IP不正确,改好就通了。接下来就是把电脑和复印机连起来,开始复印机的网络不通,以为是墙上端口的问题,后来发现是一根网线的问题,害得我把复印机推来推去的。
这里重新装修后,多了几间教室,也多了三台电脑。没有在墙上布线,就用WiFi。接上USB网卡信号也很好。主管经理提出一个要求,想在W和L办事处之间再建立连接.只要再增加一个IPSec Tunnel即可.一路弄下来, VPN不通, 总部和两个地方都通,而且210可以支持100个Tunnel啊. 后来看了一眼log,提示remote peer的Pre-Shared Key不对,再看总部ASA上的key真就不一样,新建一套key就可以了.有的设置不能图省事,照搬照抄,最好还是建新的.
W办事处最初是动态IP,VPN经常断,后来变成固定IP,好了很多.再后来,电源不稳定,VPN也受影响,现在换了新的电源,不仅恢复了对总部的VPN,还增加了办事处之间的VPN,终于尘埃落定了.
捎带手把所有的DLink防火墙都升级到最新的Firmware,然后备份配置文件.完成了年初规划的这个项目.