我已经重新设置了我的网络,并开始使用 VLAN 来隔离我的普通设备、家庭实验室和 IoT 设备。家庭实验室 VLAN 中有一个设备,我希望它始终连接到 VPN。我使用的是 PIA over OpenVPN。问题是,一旦设备连接到 VPN,它就会断开与我的设备(在默认 VLAN 上)的 SSH 连接,我无法再连接到它。我可以通过家庭实验室 VLAN 中的另一台机器跳转到它,但从长远来看这不是很好,因为我还需要在 VPN 连接的设备上设置一个 Web 仪表板。
我对这种类型的网络不太熟悉。我知道需要在客户端设备上做一些事情来允许来自默认 VLAN 的连接,但我不确定是什么。有关更多信息,我的路由器是 Dream Machine SE,我已经制定了允许默认 VLAN 访问 homelab VLAN 的有效流量规则。
答案1
这主要只是路线优先级的问题。
每个设备都使用其子网掩码来为自己的子网派生一条路由,该路由优先于通过 PIA 的“默认”路由(仅仅因为“更具体”,例如 /24 路由总是优先于 /0 路由),因此尽管有 VPN,设备也始终能够访问自己的子网。
为您其他子网,但这并不会自动发生 - 子网 A 中的设备不知道子网 B 或 C,也不会自动拥有到这些子网的任何特定路由;它只是使用其“默认”路由来访问它们。因此,如果您的 VPN 客户端覆盖了“默认”路由,则该设备将无法再访问除其所在子网之外的任何其他子网。
您可以通过手动将所有子网的路由添加到该设备(通过其常规网关,即使乍一看似乎有些多余)来避免这种情况。例如,如果您的所有 VLAN 都是 192.168.x.0/24,则可以添加路由192.168.0.0/16 via 192.168.5.1。(无论您是为每个子网添加精确路由还是添加聚合路由,都没有关系;无论哪种方式,它仍然会比“默认”/0 路由更具体。)
一些设备可以从 DHCP(选项 121“无类静态路由”以及旧设备的等效预标准选项 249)中获取此类路由,从而无需到处进行手动配置。