Định tuyến VPN cho máy chủ có nhiều địa chỉ IP [đã đóng]

7

Tôi sử dụng Mikrotik RouterOS làm bộ định tuyến NAT. Một số máy chủ phía sau bộ định tuyến cũng có kết nối trực tiếp với Internet và các máy chủ này có tuyến mặc định đến cổng của ISP thay vì RouterOS. Tôi đã thiết lập máy chủ OpenVPN ở chế độ điều chỉnh trên một trong những máy chủ này với ip công khai. Vấn đề là các máy khách VPN không thể giao tiếp với các máy chủ có IP công cộng vì chúng có tuyến mặc định đến ISP. Tôi có thể đặt tuyến tĩnh trên RouterOS nhưng tôi không kiểm soát được bộ định tuyến của ISP. Vì vậy, các gói được gửi đến máy khách VPN được gửi đến liên kết WAN thay vì máy chủ VPN. Tôi có những lựa chọn nào?

pool DHCP riêng 172.16.10.0/24, gateway 172.16.10.1 (RouterOS)

Bể bơi OpenVPN 172.16.11.0/24

  1. chế độ nhấn, rất nhiều chi phí
  2. chế độ điều chỉnh, nhóm VPN bên trong nhóm DHCP và proxy máy chủ OpenVPN-ARP cho nhóm VPN trong mạng LAN
  3. chế độ điều chỉnh, thêm một tuyến tĩnh cho nhóm OpenVPN trên mỗi máy chủ có IP công cộng. Điều này không có quy mô tốt, quá nhiều công việc trong một môi trường hỗn hợp
  4. IPv6. Vấn đề là rất nhiều ứng dụng Windows (ví dụ các sản phẩm VMware) có hỗ trợ kém cho IPv6. Tất cả các máy chủ đều có kết nối IPv6 nhưng máy khách VPN có thể gặp khó khăn khi nhận IPv6.

Tôi biết có lẽ tôi nên đặt mọi thứ phía sau tường lửa. Tôi sẽ làm điều đó sau khi tôi nhận được Juniper SRX. Tôi không có đủ IP công khai cho mọi máy chủ. Và RouterOS / pfSense không phù hợp với môi trường có IP công cộng / riêng. Tôi phải thừa nhận đây là một thiết kế tồi để bắt đầu, bất kỳ con đường di chuyển nào mà không phá vỡ ngân hàng? Đó không phải là sản xuất, chỉ là một mạng gia đình hơi phức tạp.

Tôi đánh giá cao đầu vào của bạn.

Edit1 (Phản hồi câu trả lời của JelmerS): Điều này có thể thực hiện được nhưng không thực sự mở rộng như tôi đã đề cập trong OP. Trong môi trường tôi có các hương vị khác nhau của BSD, Linux, Windows và các thiết bị độc lập không có vỏ (ví dụ: máy in, thiết bị giám sát mạng, điện thoại). Tôi sẽ thử tùy chọn DHCP 33 và tùy chọn 121, không chắc chúng được hỗ trợ tốt như thế nào trên các thiết bị khác nhau.

Edit2 (Trả lời câu trả lời của Joseph Drane): 1. Hiện tại các máy chủ có IP công cộng có liên kết đến RouterOS LAN và một liên kết khác đến ISP (bỏ qua RouterOS)

  1. Có bất kỳ biện minh cho việc làm NAT tĩnh? Có vẻ như không cần thiết (phạt hiệu suất nặng)

  2. Tường lửa tôi đang tìm kiếm có thể hoạt động tốt ở chế độ trong suốt. DHCP / NAT hoàn toàn có thể được thực hiện bởi một hộp khác. Nhưng hầu hết các tường lửa tôi đã sử dụng không hỗ trợ / hoạt động tốt ở chế độ trong suốt và khó khắc phục sự cố (thiếu tầm nhìn)

Edit3: RouterOS chạy bên trong ESXi. Có một số hệ điều hành khách khác. Môi trường được trộn lẫn với các máy chủ vật lý / ảo. Tôi có đủ giao diện NIC trên hộp ESXi. Tôi muốn sự linh hoạt để cho phép các máy chủ dễ dàng chuyển đổi giữa địa chỉ công cộng / riêng tư.

vpn  routing 
sdaffa23fdsf
nguồn

Câu trả lời:

3

Các tuyến đường luôn được chọn theo thứ tự cụ thể. Giả sử một máy chủ có tuyến đến 10.0.0.0/8 qua bộ định tuyến A và 10.0.1.0/24 qua bộ định tuyến B. Ngay khi muốn gửi gói đến 10.0.1.1, nó sẽ thích bộ định tuyến B hơn bộ định tuyến A. Mặc định tuyến đường là tuyến đường cụ thể nhất mà bạn có thể có. Bất kỳ tuyến nào khác bạn thêm sẽ được ưu tiên hơn một tuyến mặc định. Vì vậy, câu trả lời rất đơn giản: thêm một tuyến đường cụ thể vào nhóm VPN DHCP thông qua bộ định tuyến Mikrotik. Đừng quên làm cho các tuyến đường liên tục, vì vậy chúng sẽ tồn tại khi khởi động lại. Giả sử nhóm DHCP của bạn là 10.0.1.0/24và Mikrotik của bạn có IP 1.1.1.1và được kết nối eth0, Đây là lệnh cho Windows:

route add -p 10.0.1.0 MASK 255.255.255.0 1.1.1.1

Đối với Linux, một tuyến đường liên tục được thêm vào bằng cách chỉnh sửa /etc/sysconfig/network-scripts/route-eth0tệp để xác định các tuyến tĩnh cho eth0giao diện.

GATEWAY0=1.1.1.1
NETMASK0=255.255.255.0 
ADDRESS0=10.0.1.0
JelmerS
nguồn
2

Vì vậy, như bạn đã biết, các máy chủ có địa chỉ IP công cộng được gán là không tốt. Tôi đang tham khảo ý kiến ​​của bạn về việc đặt một tường lửa ở phía trước.

Tôi sẽ sử dụng bộ định tuyến của bạn, thêm giao diện khác cho mạng DMZ. Mạng DMZ này sẽ sử dụng các địa chỉ IP riêng không công khai.

Sau đó, bên trong bộ định tuyến của bạn, chỉ cần NAT công khai địa chỉ IP riêng đó.

Vì vậy, cấu hình hiện tại: [internet] ----> RouterOS -----> Máy chủ w / IP công cộng

Cấu hình / thiết lập mới: [Internet] ---> RouterOS <---> NAT công khai IP 60,70,80,90 <- đến -> 192.168.100.90 ----> Máy chủ w / IP riêng 192.168.100.90

Vì vậy, bây giờ bạn chỉ có thể đặt một tuyến đến mạng con / mạng 192.168.100.90 sẽ là mạng con / mạng DMZ.

Bạn có thể thực hiện một số nội dung thú vị với Bảng IP liên quan đến việc có tường lửa "thay đổi" nhưng tôi không phải là người giúp đỡ điều đó. Tôi là một chàng trai của Cisco.

Joseph Drane
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.