我对网络还很陌生,以下问题可能看起来很明显。
我正在尝试在我的家和办公室之间建立 VPN - 使用两个 Teltonika RUT240 路由器和 TLS OpenVPN。网络图如下:
路由器4用作 OpenVPN 服务器和路由器2作为 OpenVPN 客户端运行。我想要实现的是让两个连接的设备(5和6) 位于同一个虚拟局域网中。
我根据Teltonika 指南,并将两个路由器配置为指南中指出。
我似乎无法从这两个路由器连接,这引发了一些问题:
- 我需要在路由器或站点安装任何 OpenVPN 软件才能使其正常工作吗?
- 我是否需要打开任何端口来连接这两个设备?
- 我是否需要两个路由器,或者我是否可以仅使用一个路由器作为服务器并使用工作站本身作为客户端来创建 VPN?
- 有没有那个站6可以在域中(连接到路由器的 DNS 服务器3)如果它已连接到路由器4)
- 如果我最终能够创建此 VPN,将站5能够看到来自路由器的任何流量3?同样,车站6能够看到来自路由器的任何流量或数据1?
提前谢谢您,如果您需要我提供更多信息,请告诉我。
答案1
我需要在路由器或站点安装任何 OpenVPN 软件才能使其正常工作吗?
不,只有终止 OpenVPN 隧道的设备(路由器 2 和 4)才需要关心它。
我是否需要打开任何端口来连接这两个设备?
OpenVPN 在服务器端使用标准 UDP,默认端口为 1194(您也可以选择其他端口),因此服务器必须可通过该端口访问 – 允许通过防火墙、“端口转发”等。
另一方面,客户端不需要任何明确“打开”的端口 - 它们只需依靠防火墙记住连接状态并允许响应数据包返回(就像它们对所有其他基于 UDP 的协议所做的那样)。客户端 OpenVPN 配置很可能需要启用keepalive,因为空闲的 UDP 流往往会很快被防火墙遗忘。
我是否需要两个路由器,或者我是否可以仅使用一个路由器作为服务器并使用工作站本身作为客户端来创建 VPN?
是的,工作站可以是 VPN 客户端;这可能是使用 OpenVPN(使用个人用户帐户)的最常见方式。
服务器端配置实际上会稍微简单一些。使用站点到站点 VPN,OpenVPN 服务器需要iroute告知它特定客户端背后有整个 192.168.2.0/24 网络。使用基于主机的 VPN,每个客户端仅处理自己的流量,服务器无需告知即可知道这一点。
如果站点 6 连接到路由器 4,那么它是否可以位于域中(连接到路由器 3 的 DNS 服务器)
如果你指的是活动目录域,只要您的工作站与域控制器有 IP 连接,无论距离多远,它们都将保持“在域中”。经常重复的“视线”并不意味着 DC 必须位于同一子网(这仅适用于基于 NetBIOS 的 WinNT4 域),它只意味着 DC 必须通过 TCP 和 UDP 保持可达,这就是您的 VPN 的用途。
类似地,您可以使用任何具有 IP 连接的 DNS 服务器 - 路由器仅提供一些“标准”服务器作为 DHCP 租约的一部分(通常是它自己),但并不强制只能使用这些服务器。
(此外,“在域中”并不严格要求主机始终使用该域的 DNS 服务器……如果请求通过代理解析器(如 Unbound 或 dnsmasq)进行,只要它知道将查询转发到该特定域的位置,那就没问题。因此,完全可以有一个 DNS 解析器来处理全部内部域,无论是 AD 还是非 AD。
如果我最终能够创建此 VPN,那么站点 5 是否能够看到来自路由器 3 的任何流量?同样,站点 6 是否能够看到来自路由器 1 的任何流量或数据?
不,至少不容易。这些路由器没有正确的路线朝向 VPN,尽管可以手动添加,但是路由器 2/4 的防火墙很可能会默认丢弃“来自 WAN”的数据包。
(即使增加了路线,由于 IP 地址冲突,车站也可能无法响应,并且回复将留在“本地” 192.168.1.x 网络中,而不是返回到“远程” 192.168.1.x,除非进行了一些花哨的 NAT 来消除两者的歧义。)