所以我陷入的情况是这样的:
我有一个客户,他有一处乡村房产,我们为他新房建设做了一些自动化和网络工作。我们遇到的问题是,为了更好地支持客户,我们需要远程访问现场。
他的 ISP?Xplornet(我不需要多说)
这栋楼里还有另一栋建筑,由不同的 ISP 提供静态公共 IP,他们只有小型套餐,所以我们认为对于远程访问来说,它非常适合所需的少量流量。选择使用我们已经安装的路由器的双 WAN 功能,结果发现它只是一个故障转移功能。
因此,我希望借助我的想法中的细节来帮助解决我们的问题。
第一个路由器将维持 xplornet 连接、DHCP,并用作流媒体/上网相关任务的主要连接。我通过一些 google-fu 发现,只要我不更改网关,所有本地用户流量都应该通过这个路由器。对吗?
我想部署第二个路由器并使用静态 ISP。将路由器设置为静态,关闭 DHCP,启用我需要的端口转发规则,然后在此路由器上打开 OpenVPN 客户端。严格使用此连接进行网络远程访问。
我对这个计划主要关心的是,我是否需要更改我希望远程访问的任何自动化设备上的网关。(即需要直接连接而不是通过 VPN 的手机应用程序)
编辑:澄清支持 OpenVPN 的路由器位于环境中。不是单独的服务器。
答案1
您的内部设备需要知道如何将数据包路由回 OpenVPN 原始客户端,否则它会将“不在 LAN 上”的所有内容发送到主路由器。
如果默认路由是通过主路由器,也许可以为辅助路由器上的 OpenVPN 子网提供静态路由。如果做不到这一点,您需要在 LAN 上的每个设备上为 OpenVPN 设置显式路由。
答案2
最简单的解决方案是在主路由器上添加静态路由,以便来自 VPN 端点远程端的客户端的流量被重新路由到 VPN 路由器。
话虽如此,如果可以选择,我会以不同的方式处理。我会为客户端设置 VPN 客户端而不是服务器,并将 VPN 客户端集成到路由器中(或将整个网络置于第二个支持 VPN 的路由器后面)。这样,VPN 客户端就不需要静态 IP 地址,也不会出现路由黑客攻击或更改。(但是,它确实将远程访问限制在可以连接到 VPN 服务器的人员范围内)