Dịch vụ VPN vào mạng 192

Tôi đang suy nghĩ về việc thiết lập một phòng thí nghiệm kiểm tra bảo mật. Tôi làm việc trên một mạng chuyển mạch và điều đó chỉ gây ra những cơn đau đầu không cần thiết khi thực hiện kiểm tra.

Tôi muốn tạo một mạng 192 với một vài máy bên trong cho DB và AppServers, v.v. Tôi sẽ cần một máy xoay vòng kết nối với cả mạng bên ngoài và 192 (cho mục đích tự động hóa). Nhưng tôi muốn có thể kết nối vào mạng 192 bằng máy riêng của tôi từ mạng bên ngoài dưới dạng máy "tấn công" (thay vì có các máy tấn công chuyên dụng bên trong mạng 192). Do đó, tôi cũng muốn máy chủ trục là máy chủ VPN, để máy của tôi có thể VPN vào mạng 192 từ mạng bên ngoài.

Điều này thậm chí có thể? Tôi có thể có một máy tính duy nhất có hai NIC trong đó dịch vụ VPN cho phép kết nối từ xa vào 192 không?

BIÊN TẬP:

Đây là trong một môi trường văn phòng. Chúng tôi đang ở trên 10.xxx và trong khi tôi chắc chắn có 192 ở đâu đó, tôi muốn điều này hoàn toàn tách biệt, vì các cuộc tấn công có thể gây ra hậu quả không lường trước ở nơi khác. Đây sẽ là một bổ sung thuần túy cho mạng đang tồn tại (có thể trên máy chủ ESX).

Chà, trước tiên bạn cần một cái gì đó chạy máy chủ VPN và một cách để tiếp cận nó từ bên ngoài.

Nếu bạn không có cách nào để định cấu hình bộ định tuyến của văn phòng để chuyển một cổng từ Internet sang hệ thống của bạn (và cung cấp cho bạn một IP nội bộ cố định trong quy trình) hoặc yêu cầu ai đó thực hiện việc này, thì bạn sẽ cần chạy máy chủ VPN (Cụ thể là OpenVPN) bên ngoài mạng, đảm bảo liên lạc giữa khách và khách được bật và có một máy trong văn phòng của bạn kết nối với mạng. Sau đó, bạn có thể truy cập hệ thống bên trong mạng bằng cách kết nối với máy chủ OpenVPN.

Bạn cũng có thể sử dụng OpenVPN để tham gia bất cứ điều gì trong mạng. Nếu bạn phải đặt máy chủ bên ngoài mạng, nó sẽ không hiệu quả vì lưu lượng sẽ đi từ mạng của bạn, đến máy chủ VPN bên ngoài và quay lại. Bạn có thể thiết lập máy chủ OpenVPN thứ hai trên cùng một máy như máy chủ thứ nhất, một cho bên trong mạng của bạn và bên ngoài mạng khác.

Bạn vẫn có vấn đề về phạm vi địa chỉ IP để chọn. Điều tốt nhất là nếu bạn có thể bảo mật một loạt các địa chỉ IP không được sử dụng trong khối 10.xxx của văn phòng của bạn - điều này sẽ đơn giản nhất. Nếu bạn phải sử dụng lại thứ gì đó đã được sử dụng trên mạng của văn phòng, bạn sẽ cần thiết lập NAT trên máy chủ VPN (hoặc thực sự nên , thay vào đó).

Tôi có thể có một máy tính với hai NIC trong đó dịch vụ VPN cho phép kết nối từ xa vào 192 không

Có, và trong trường hợp này bạn sẽ cần nó. Một NIC sẽ được kết nối với mạng văn phòng của bạn, mạng kia sẽ được kết nối với các hệ thống bạn muốn cách ly trên mạng riêng của họ. Trên NIC thứ hai này, bạn sẽ cần phải gắn một công tắc và kết nối tất cả các hệ thống bạn muốn có đằng sau nó. Bạn đề cập đến một hệ thống "trục" trong câu hỏi của bạn - thuật ngữ bạn muốn sử dụng cho "bộ định tuyến" này - và, bạn sẽ phải thiết lập định tuyến và DHCP trên hệ thống này - Linux thực hiện định tuyến (là một phần của nhiều bộ định tuyến người tiêu dùng) và có nhiều gói DHCP cho Linux. (Tôi đã sử dụng một PC có hai NIC chạy Linux làm bộ định tuyến trong nhiều năm.)

Đây là một câu trả lời cấp cao, và vâng, nó có liên quan (bạn đang nói về việc cần phải làm quen với Linux, OpenVPN, các tính năng mạng của Linux và thiết lập máy chủ DHCP), nhưng chắc chắn là có thể.