这更像是一个一般性的“这能做到吗”的问题,所以虽然我对每一个有助于设置这一点的实际配置感到高兴,但我的主要目的是首先了解这是否可行。
考虑这样一种情况,笔记本电脑在多个地点使用。虽然它们定期连接到办公网络,但团队成员在家办公、仅使用互联网连接也是常见的做法(为此,我们想忽略任何其他 VPN 解决方案)。
现在考虑一下公共云中的资源,该资源应该可以通过笔记本电脑访问。虽然可以通过公共互联网访问,但更好的选择是依靠办公网络现有的 MPLS 连接。
是否可以有一个仍然易于使用的 WireGuard 设置(对于使用笔记本电脑的最终用户而言)并且只要笔记本电脑有网络连接,就通过 MPLS 路由针对云系统的 VPN 流量。
笔记本电脑将在办公室和家庭办公室使用无线网络,我们无法保证办公室网络 IPv4 范围是唯一的,并且不会与家中私人路由器定义的范围冲突。
请注意,这当然是一个简化的设置。这里的主要问题是,当计算机处于某个网络中时,我们是否可以利用 MPLS 连接,否则将返回到互联网连接。从技术角度来看,当且仅当可以通过私有 IP 地址访问时,它才应该通过办公室服务器对等点路由针对云的数据包。
答案1
最简单的方法是办公网络通过私有 MPLS 链路路由您的云服务器的公共 IP 地址范围(即通过公共 WAN 的默认路由的例外)。
这对用户来说是完全透明的,并且可以适用于任何类型的流量,而不仅仅是 WireGuard 隧道。(有了 OSPF 或 BGP 之类的东西,如果 MPLS 链路出现故障,它还可以透明地故障转移到公共互联网链路。)