这就是我想做的,但我觉得我错过了一些东西
2 个地点 (A,B) 通过 VPN 隧道连接
外部客户端不应该知道位置 B 的存在,而只需连接到所有资源,就像连接到位置 A 本地一样,如果资源位于 B,则流量应通过 A - VPN -> B 进行路由
客户端不需要知道 VPN 对吧?他们为什么要知道?如果客户端位于 VPN 后面或位于 A 本地,则可以访问所有内容?
我感觉我遗漏了以下内容:我该如何在 A 设置路由才能使路由正常工作?因为流量应该在必要时通过 VPN 路由,但当然并非总是如此,而且由于 VPN 和本地网络的 IP 应该位于同一个 IP 子网中,所以在这种情况下我无法理解路由。
谢谢,我真的不知道该寻找什么,所以任何指点都是有帮助的
扩展场景,这可能很有用,也是我想要做的:将服务器临时迁移到 2. 站点,而无需更新任何硬编码 IP 或类似的东西。服务器或可能服务器应该保留其可访问的 IP,只是现在可以通过 VPN 隧道访问 2. 站点,但客户端不必知道这一点。
我猜这意味着任何重新定位的服务器都需要一个 Roadwarrior 设置。
答案1
您可能会遇到两个问题。您提到的第一个问题是路由。您没有提到的第二个问题是名称解析。
您没有提到您设置了哪种 VPN 隧道,因此我假设您有两个边缘设备(路由器/防火墙/UTM)正在执行 VPN 隧道,它们也是本地 LAN 的网关。如果不是您的网关设备,那么您将需要在网关上设置路由以路由回内部 IP 地址。如果您的网络内部有一个设备作为 VPN 端点,例如 OpenVPN 或防火墙内的 Windows Server,这种情况很常见。
首先对局域网进行一些快速定义,以便我们有一些真实的 IP 地址和路由可以用作示例。
地点 A
子网:10.10.0.0/24
网关:10.10.0.1
站点 B
子网:10.10.10.0/24
网关:10.10.10.1
两个站点的默认路由应为其本地互联网连接。然后每个站点都需要一个到彼此子网的路由。
因此,站点 A 的路由器应设置一条到 10.10.10.0/24 的路由,以便通过 VPN 隧道。同样,站点 B 的路由器应设置一条到 10.10.0.0/24 的路由,以便通过 VPN 隧道。具体操作方法可能因所涉及的硬件而异。例如,使用我们的 Fortigate 硬件,您还必须设置防火墙规则来加密流量。我的 snapgear 东西将路由设置为 IPSEC 配置的一部分。
但是,一旦完成设置,您就应该能够 ping 隧道两侧的计算机。只要这些计算机没有防火墙规则限制它们响应任何非来自其本地子网的流量。
因此,为了使名称解析正常工作,您可能需要设置一些 WINS 服务器或做一些 DNS 相关的事情,以便在不同的子网之间解析名称。
我不知道这是否能帮助您实现最终目标,但它应该能为您指明正确的方向。