我有希望控制访问的服务器。我在它们和公共互联网之间有一个运行 pfSense 的防火墙,但所有机器都有公共 IP。
远程客户端可能与服务器和防火墙位于同一子网,也可能不位于同一子网。我希望根据身份验证允许远程客户端完全访问防火墙后面的服务器。
我相信最好的方法是通过 VPN。
请注意,通常当人们提到连接同一子网的 VPN 时,他们指的是两台具有相同私有 IP 范围的机器。这与我所描述的非常不同。我只是想通过 VPN 为子网传输流量以绕过防火墙。
最好的解决方法是什么?如果您建议使用 OpenVPN,那么 tun 还是 tap?
谢谢你!
答案1
我很惊讶没有人回答这个问题,但我会回答。
你说得对,VPN 通常用于在两个无法路由的(RFC 1918) 网络,但这并不是它的唯一用途。 线索就在名称中 - 虚拟专用网络。 任何时候,您想通过公共互联网私下连接两个或多个网络(其中一个网络是一个或多个主机)(即,没有任何中间路由设备能够看到或干扰流量),VPN 都适合这项工作。
所以是的,我认为 OpenVPN 在这里非常适合您,而且隧道的一端是单个主机这一事实并不是问题。我对 TUN 与 TAP 没有任何详细的了解,但我相信在路由情况下 TUN 通常更合适。
您还可以使用隧道或基于 ssh 的 VPN(这只是我在谷歌上找到的一个教程,我并不特别推荐它),或者(如果你想要最大的信誉以及你能记住的最大的头痛)全面的 IPSec。
所有这些都适用于通过公共互联网将一个单一公共 IP 地址端点安全地连接到另一个单一公共 IP 地址端点。