我管理一个小型办公室网络,但实际的网络知识/理解却很少。
该网络有一个消费级 wifi 路由器(Netgear DG834G)、几台 PC/Mac、一些通过 Wifi 连接的 iPad 和几个文件服务器(也是消费级 Netgear ReadyNAS 盒)
我已经使用 openVPN 在我们网络上的一台 PC(WinXP)和一个远程 VPS 盒(AWS EC2)之间设置了一个 VPN;我使用 VPN 连接来获得一个美国的 IP 地址(因为我不在美国)。
我想要做的是:我希望能够从网络上的其他机器(包括连接 Wifi 的机器(iPad))使用 VPN,而不需要在每台机器上设置 VPN 客户端。
我认为我需要将一台机器设置为其他机器使用的网关,或者连接另一台既可以充当网关又可以充当 VPN 客户端的路由器,人们可以选择连接到该路由器以通过 VPN 隧道?还是我在寻找代理?
(我有点困惑,如果上面说得不清楚的话,请抱歉)。
实现这一目标的最简单方法是什么?肯定已经有教程描述了我想要做的事情,但我在谷歌上搜索了无数次,似乎都找不到……
答案1
我发现有两个问题你需要解决;不幸的是,它们都不是真正“容易”的,我建议从你所在地区的第三方小型企业顾问那里获得帮助,因为你在这里处理客户的信任,失去客户信任可能是一件非常糟糕的事情。
客户希望始终与您的办公室保持加密连接。 传统上,这个问题通过在两个防火墙之间建立站点到站点的 IPSec VPN 隧道来解决。通过设置路由(并确保 LAN 子网之间没有重叠),您可以确保往返于您的办公室和他们的办公室的流量始终是加密的,只要双方都通过他们的 LAN 子网访问彼此的资源即可。例如,如果您需要在他们的那边访问某个应用程序或 Web 服务(如 Intranet),您可以调出http://192.168.1.5其中 192.168.1.0/24 是他们的 LAN 子网,而 192.168.1.5 是运行 Intranet 的 Web 服务器。
您想访问整个办公室内仅限美国的网站。 我会考虑在微型 Amazon EC2 实例中设置代理,并使用身份验证和防火墙规则来仅允许访问您办公室的 WAN IP。 乌贼可以很容易地设置,甚至微型代理,因为启用缓存实际上不会给你带来任何好处。然后,你可以在 FireFox 中设置 FoxyProxy,将美国网站列入白名单,这样只有美国网站才能通过代理访问,或者你也可以对 LAN 上的另一个代理执行相同操作,该代理将根据请求的 URL(域)确定要使用哪个上游代理(如果有)。我还会在 Google 上搜索“Hulu 代理服务”或“Hulu VPN”,因为可能存在更固定的解决方案,可以省去很多猜测。
答案2
是的,您需要设置一个设备,作为所有通过 VPN 的连接的路由器。如果此设备也是您的默认网关,则客户端无需应用任何进一步的配置 - 它们将使用默认网关进行所有操作,并且需要告知网关哪些目的地通过 VPN 进行路由。否则,您可以告诉您的客户端计算机通过任何运行 VPN 的计算机路由 VPN 流量,但这对每个人来说都变得更加复杂。
答案3
我们最近更换了我们的思科 RV082VPN 路由器Netgate m1n1wallVPN 路由器。通过运行普富思,我们可以配置:
- 两个站点之间的持久 IPsec VPN 隧道,每个站点包含一个Netgate m1n1wallVPN 路由器
- 为我们的旅途勇士提供基于 IPsec 的 VPN 连接
您可以购买一个Netgate m1n1wall并将其配置为与您的 AWS EC2 VPS 创建持久的 OpenVPN 隧道,并且您可以为您的 iPad 和其他客户端系统配置 IPsec 移动连接。
Netgate m1n1wall 配置
- Netgate m1n1wall价格为 214 美元 + 运费,包含:
- VPN1411加速卡72 美元 + 运费
答案4
这是我目前所做的事情,遵循了 gravyface 的回答(第 2 部分)中的想法。
在 NAS(Netgear NV+)上,我使用以下命令设置动态端口转发
ssh -f -N -D ip:port user@machine
和 tinyproxy。Tinyproxy 本身无法与 SOCKS 配合使用,但它可以与 tsocks 配合使用,tsocks 包装来自 tinyproxy 的连接并通过动态端口转发发送它们。
因此,tinyproxy 接收来自 LAN 上的机器的请求,并使用动态端口转发将这些请求传输到 Internet。
至于访问仅限美国的网站:
- 诸如“我的 IP 是什么”之类的服务检测到代理,但认为请求来自美国(检测到代理是因为 readyNAS 上可用的 tinyproxy 版本较旧,不允许抑制“via”标头)
- hulu.com 运行良好(使用 AWS 端点时除外)
但我不知道这种设置有多安全。
据我了解,从 LAN 到代理的流量未加密,但这并不重要,因为代理也在 LAN 上;代理和端点之间的流量是加密的。因此,如果我没有记错的话,窥探我们 LAN 的人可以读取我们的流量,但我们 LAN 之外的人(我们的 ISP)则不能(对于使用代理的机器而言)。