当两个网络上的设备具有相同的静态 IP 地址时,VPN 如何保持它们的一致?
示例:我的家庭办公室有一个小型网络,其中有 3 台计算机。我经常使用主机上的 Sinicwall VPN 客户端连接到拥有带 VPN 的 Sonicwall 路由器的远程办公室。连接后,我仍然可以访问两个网络上使用静态 IP 的设备(它们是服务器)。
两个 LAN 都使用 192.168.0.x 寻址。当我指定使用 192.168.0.10 的设备(如服务器或打印机)时,它如何确定是使用物理本地 LAN 上的地址还是远程 LAN 上的地址?
它是否进行与路由器连接互联网时类似的 NAT 转换?
我是不是只是“幸运”它能正常工作?
答案1
回答你的问题,是的,你很“幸运”,它正在发挥作用。
当您连接到 VPN 时,您的隧道接口会由该远程 DHCP 服务器分配一个 IP。因此,从技术上讲,您是从 VPN 服务器路由到远程设备的。您大概通过 DNS 名称或其他方式连接到您的服务器,这些名称由您的 DNS 服务器本地解析。在这种情况下,如果它找不到它,它会在您的远程办公室中搜索。
所以从技术上来说,这是可行的。但效率不高。
编辑**
例如,您的 VPN 客户端由 SSL VPN 分配一个地址。该地址可能是一个不同的网络地址范围。(例如 172.16.32.0/16)而您的远程网络在 192.168.1.0/24 范围内工作。可以配置 VPN 服务器以将两个网络桥接在一起。
您的 VPN 客户端获取的 IP 不是来自远程站点的系统/路由器的 DHCP 服务器,而是来自 VPN 服务器的 DHCP 服务器。
关于 DNS,我真的不知道该如何正确解释。它使用 DNS、ARP 和 RARP 请求的混合来确定正确的设备。希望这足以理解。
答案2
VPN 如何管理本地 IP 地址以及如何保持它们正确?
我也有同样的问题!
事实上,这完全取决于 VPN 技术,而 VPN 技术有十多种。我将讨论三种流行的技术。
- VTI(新,效果与 DMVPN 有点类似)
DMVPN = IPSec 隧道(进行加密)内的 GRE 隧道(允许 OSPF/EIGRP 路由协议)。以下是示意图:
在此 VPN 方案中,您保留来自本地 DHCP 服务器的 IP 地址,但路由器现在通过隧道路由到远程专用 LAN,您可以 ping 远程 LAN 的专用 IP 地址。(隧道能够绕过 NAT 和防火墙,隧道 = 本地路由器上的虚拟接口,通过虚拟以太网电缆连接到远程路由器上的虚拟接口。)OpenVPN(我认为其工作原理与 Sonicwall 类似):您在 PC 上安装客户端软件来创建虚拟适配器。因此,现在您的 PC 有一个物理以太网端口,该端口具有本地 LAN 上的 IP 地址,允许您 ping 到本地 LAN 上的静态服务器。当您连接到远程 VPN 时,您的虚拟网络适配器将获得一个虚拟 IP 地址。它从哪里获得这个虚拟 IP 地址?您不会从本地 DHCP 服务器获得它,也不会从远程网络上的 DHCP 服务器获得它。VPN 服务器有自己的 IP 地址池,仅用于 VPN 客户端,并且 VPN 服务器有一个位置来配置提供给远程 VPN 客户端的 DNS 信息。我认为 OpenVPN 使用 10.8.0.0/16。您的虚拟接口将从为远程 VPN 客户端保留的范围中获取虚拟 IP 地址。请注意,虚拟 IP 地址是远程专用 LAN 上存在的 IP 地址,这就是您可以 ping 远程专用 LAN 上服务器的静态 IP 地址的方式。因此,通过两个接口(一个物理接口和一个虚拟接口),您可以 ping 本地 LAN 服务器和远程 LAN 服务器,并且物理接口配置了本地 DNS 服务器,虚拟接口配置了远程 DNS 服务器。因此,您可以解析本地 DNS 和远程 DNS。