我正在考虑建立一个安全测试实验室。我在交换网络上工作,这只会在测试时带来不必要的麻烦。
我想创建一个 192 网络,里面有几台机器用于 DB 和应用服务器等。我需要一台枢轴机器,它既连接到外部网络,又连接到 192(出于自动化目的)。但我希望能够使用来自外部网络的我自己的机器作为“攻击”机器连接到 192 网络(而不是在 192 网络内有专用的攻击机器)。因此,我希望枢轴服务器也是 VPN 服务器,这样我的机器就可以从外部网络通过 VPN 连接到 192 网络。
这有可能吗?我能否拥有一台配备两个 NIC 的计算机,并且 VPN 服务允许远程连接到 192?
编辑:
这是在办公室环境中。我们使用的是 10.xxx,虽然我确信某处存在现有的 192,但我希望将其完全分开,因为攻击可能会在其他地方产生意想不到的后果。这将是对现有网络的纯粹补充(可能在 ESX 服务器上)。
答案1
好吧,您首先需要运行 VPN 服务器,以及一种从外部访问它的方法。
如果您无法配置办公室路由器以将端口从 Internet 转发到您的系统(并在此过程中为您提供固定的内部 IP),或者请别人这样做,那么您需要在网络外部运行 VPN 服务器(特别是 OpenVPN),确保启用客户端到客户端通信,并在办公室内有一台机器连接到它。然后,您可以通过连接到 OpenVPN 服务器访问网络内的系统。
您也可以使用 OpenVPN 连接网络内部的任何内容。如果您必须将服务器放在网络外部,那么效率会很低,因为流量会从您的网络流向外部 VPN 服务器,然后再流回。您可以在与第一台 OpenVPN 服务器相同的机器上设置第二台 OpenVPN 服务器,一台用于网络内部,另一台用于网络外部。
您仍然面临选择哪个 IP 地址范围的问题。最好的办法是,如果您可以在办公室的 10.xxx 块中保护一系列未使用的 IP 地址 - 这将是最简单的。如果您必须重复使用办公室网络上已在使用的某些地址,则需要在 VPN 服务器上设置 NAT(或确实应该, 相当)。
我可以有一台带有两个网卡的计算机,其中 VPN 服务允许远程连接到 192
是的,在这种情况下,您将需要它。一个 NIC 将连接到您的办公网络,另一个将连接到您想要在其自己的网络上隔离的系统。在第二个 NIC 上,您需要连接一个交换机,并在其后面连接您想要的所有系统。您在问题中提到了一个“枢轴”系统 - 您想要使用的术语是“路由器” - 并且,您必须在此系统上设置路由和 DHCP - Linux 可以进行路由(它是许多消费者路由器的一部分),并且有许多适用于 Linux 的 DHCP 软件包。(多年来,我一直使用一台带有两个运行 Linux 的 NIC 的 PC 作为路由器。)
这是一个有点高级的答案,是的,它很复杂(你说的是需要熟悉 Linux、OpenVPN、Linux 的网络功能以及设置 DHCP 服务器),但绝对是可能的。