如何处理多个客户端 VPN

如何处理多个客户端 VPN

因此,我以前使用管理服务器,在该服务器上,我可以使用与网络上的防火墙的站点到站点连接来访问我所有客户端的不同 VPN 连接。不幸的是,由于安全升级,他们现在决定仅切换到 (10+) 个客户端 VPN 连接。

由于我已经使用其他几个客户端 VPN 连接到其他具有冲突 IP 配置和子网的网络,因此几乎无法在我的 PC 上本地安装这些连接。作为临时解决方案,我现在运行几个虚拟机,每个虚拟机都在客户机的 Windows 操作系统中设置了 VPN 连接。但是,随着所需连接数量的增长,为每个虚拟机使用所有这些资源似乎几乎是荒谬的。

有谁有过这种情况的经历和/或对如何更有效地处理这种情况有什么建议吗?

答案1

你的问题似乎很棒,很抱歉之前没有得到足够的重视。不幸的是,它缺少一些细节,使这个问题更容易回答。无论如何,我还是想尝试回答一下。

首先,我要解决这个信息请求。

您提到了“客户端”的 VPN 连接。客户端指的是客户。然后您说“客户端 VPN 连接”,但我想知道,此时您指的不是客户,而是客户端/服务器模型中的最终用户工作站。

如果您的问题包含有关当前子网图的更多详细信息(当然,对敏感信息进行了适当的虚构),这将会有所帮助。

例如,我们谈论的是 3 个站点、13 个还是 73 个?这些站点归谁所有?看起来您是在支持客户的网络,但客户却对您施加了技术网络规则。那么,谁在控制?(在我工作的多家小型 MSP 企业中,提供技术人员的公司几乎完全控制着所有细节,当然也完全控制着更具体的细节,例如 VPN 的实施方式。)

如果没有这些细节,对于一个环境来说非常好的答案可能对于另一个环境来说就非常不适合。

但现在,我不会只提出问题,而是尝试提出一些建议来解决这个问题。

让此类方案更容易实施的关键之一是拥有一个干净且运行良好的网络设计。如果当前各个子网的布局不适用,则可能需要重新设计。不幸的是,“重新编号”以昂贵和具有挑战性而闻名。(尽管该行为看似免费,但设计方案需要时间,实施起来可能需要更多时间。)

思考一下“对于可能处于类似情况的人来说,什么方法有效?”通常会有所帮助。我指的不是拥有大量 VPN 的情况。我指的是,更广泛地说,在不同站点上拥有多台计算机的情况。

通常,目标是让您自己的内部网络运行良好。至于连接到其他公司拥有的远程网络,存在一些 IP 子网重叠的风险。如果人们能够相当好地尝试随机化第三个 IPv4 八位字节,则可以减少重叠的可能性,但如果有足够多的网络,这种情况肯定仍然会发生(尤其是 192.168.low-number 或 192.168.168,这些很受欢迎)。

处理多个客户端的典型解决方案是不需要同时连接它们两个。

最终,有时会发生冲突,并导致痛苦。

当然,随意重新编号子网并不是一个合适的选择。通常更合理的方法是实施 NAT。

编辑1:在讨论 NAT 之前,让我先考虑一下另一种可能的方法。如果您正在使用 IPv4 并且可以采用 IPv6,但尚未采用,那么使用该技术可以引入另一组数字,同时也会感觉相当有成效,因为您的解决方案比仅仅移动 IPv4 子网以避免冲突提供了更多好处。

简要介绍一下如何实现 NAT 的各种方法,其中一种方法是使用 PNAT(基于端口的网络地址转换,有时称为 PAT 或 NAT),通常通过只让一个 IP 地址“过载”来实现,只需使用不同的端口号即可用于多种类型的连接。但是,您也可以使用“一对一 NAT”,其中一个位置的 X 地址块对应于另一个位置的 X 地址块。(如果您可以识别可用的网络地址块来实现这一点,这可能是最容易使用和维护的方法。)使用一对一类型的 NAT 可能比“动态 NAT”解决方案更容易设置,在“动态 NAT”解决方案中,地址块的大小可能不相等,可能类似于 PNAT,但使用子网中的多个地址,而不是具有 IP 地址的多个端口。如果您使用 PNAT 映射多个端口,那么您也可以映射多个地址,但这种灵活性通常会带来不必要的额外复杂性。

实施此类 NAT 通常需要花费一些时间考虑应该使用哪些地址,并且可能需要花费更多时间和技能在基础设施设备(路由器/防火墙等)上实施规则。这可能很痛苦。但是,一旦在基础设施设备上设置好,对于最终用户工作站来说,体验可能就很轻松了。

这听起来可能有点痛苦。正如我之前所说,“最终,有时会有冲突,这会导致痛苦。”我看到思科官方培训材料承认了这一点,这些材料是为培训网络专业人员的大学设计的。因此,如果世界上最大的组织无法完全避免痛苦,你可能也无法做到。

有关技术设计的更多具体细节,我想知道您是否最好在 NetworkEngineering.StackExchange.com 上提问

如果你觉得客户的要求与你想要实现的目标不太吻合,那么寻求更多建议的一个有效途径可能是将你的客户视为雇主,并在 Workplace.StackExchange.com 上询问如何处理此类冲突

答案2

我们一次只连接到一个远程网络,主要使用 Cisco Anyconnect,因此 IP 地址/范围冲突不是问题。我们的本地笔记本电脑在远程网络上被分配了一个新 IP 地址,所有流量都通过 VPN 隧道路由。不允许本地流量,但这是可配置的。多台本地机器可以同时连接,每台都是一个独立的连接。

我们有时确实会使用其他 VPN 客户端,尽管我们在同一台机器上使用多个客户端时确实遇到了问题。

我们使用的其他客户端对我们进行身份验证,然后与远程网络建立 RDP 连接。所有管理和支持都在远程会话上执行。

相关内容