我们为三个分支机构分别设置了 VPN。我知道每个路由器应该与其连接的路由器位于不同的子网中,但是路由器是否需要彼此位于不同的子网中?
举个例子:
Main Practice: 1.0/24
Branch one: 2.0/24
Branch two: 3.0/24
...etc
这完美地工作了,所有隧道同时打开,一个子网可以 ping 另一个子网。
我正在研究改变我们的 IP 结构(根据我在 SF 上的另一个问题),并且想知道我是否可以通过允许新用户将他们的家庭网络保留在已经设置的任何子网上并简单地设置隧道来简化为新用户添加 VPN 隧道的过程。
期望的结果是:
Main Practice: 10.1.1.0/24
Branch one: 192.168.1.0/24
Branch two: 192.168.1.0/24
...etc.
分支机构与主要实践位于不同的子网上,那么这可行吗?
答案1
要实现您所描述的功能,您必须使用某种 NAT 来“隐藏”主实践中的 192.168.1.0/24 子网。您需要为 VPN 分配一个 /30 或其他地址,然后对来自分支机构的所有流量进行 NAT,以使用 /30 上的地址作为源 IP。
但说实话,这是自找麻烦。从长远来看,在每个分支机构使用不同的 IP 范围会更清楚。