我们的远程办公室将搬到一个提供互联网的新地方。他们将位于一个进行 NAT 的路由器后面(我没有此路由器的管理员权限)。他们将与 LAN 上的其他人共享一台打印机,但需要通过 VPN 连接到我们的网络才能共享电子邮件和文件。
我原本想让他们运行 Windows VPN 客户端并通过 PPTP 进行连接,就像他们在异地时一样,但我读到从同一个 NAT 地址到同一个目的地的多个 PPTP 连接不能正常工作,甚至根本不能工作。
我认为需要某种站点到站点 VPN,这样就只有一个隧道。我是否可以只安装一个 VPN 网关,将其设置为连接到我们的 RRAS/PPTP 服务器,并让它们将其用作默认网关?也许甚至可以使用本地默认网关进行互联网流量传输。如果是这样,推荐使用哪种 VPN 网关/设备?
或者其他解决方案?谢谢。
答案1
他们有可能为您的办公室设置 VLAN 吗?由于他们只需要非常小的 VLAN 间路由(VLAN 1 是您的远程办公室的网络,VLAN 2 是与您共享网络的另一个办公室),因此单板路由器 VLAN 配置可以很好地工作(只有当您在 VLAN 之间进行大量路由时,您才需要真正的第 3 层核心路由器进行路由)。
通过采用单臂路由器拓扑结构建立两个隔离的 VLAN,您可以按照自己认为合适的方式在两个组织之间设置防火墙规则:两个组织甚至可以运行自己的 DHCP 服务器,并且两个组织都可以(也应该)位于不同的子网中。设置好这些规则后,您可以从边缘本身作为端点创建站点到站点的 VPN 隧道,并设置适当的防火墙规则,以仅允许您组织的 VLAN 访问它。
如果您无法做到这一点,那么没有理由不能进行双重 NAT——只需将您的两台远程机器放在一个可以执行 IPSec/OpenVPN 客户端到站点 VPN 的防火墙路由器后面(ALIX 上的 pfSense 效果很好*;请参阅 netgate.com),这样防火墙的“WAN”端就可以从共享网络获取 LAN IP,从而可以将任何连接路由出站(通过“第一个 NAT”)用于打印机等。互联网访问得到双重 NAT。只有两台机器,性能应该是可以接受的,但显然要先进行测试。这将隔离/保护您的工作站与其网络,就像防火墙/路由器在正常 WAN 场景中所做的那样(尽管没有任何保护作用他们的工作站,以防发生病毒爆发、篡改等情况)。
*使用 pfSense,它可以用作 OpenVPN 客户端,这意味着您不必从边缘路由器到路由器进行任何端口转发。如果您必须坚持使用 PPTP,我使用的另一款具有内置 PPTP 客户端的防火墙是 SnapGear SG560(http://www.snapgear.com/index.cfm?skey=1557) 尽管自从被 MacAfee 收购后,我认为它有其他名字。