我有一个与互联网隔离的网络,出于维护目的,我需要不时远程连接到该网络。请注意,我不需要连接到此网络上的特定计算机,但我需要能够连接到网络上的任何计算机。
这是我的想法:
我将提供一个 Linux 盒(可能是 RaspBerry PI),它应该连接到隔离网络,并且还具有与互联网的 GPRS 连接。
一旦打开,linux-box 应该会自动通过 GPRS 连接到互联网,并为我提供一种连接方式(经过适当的身份验证后)并访问隔离网络透明地。
我应该能够直接从我自己的 (linux) 计算机查看和使用他们的内部网站,就像我自己的计算机直接连接到隔离网络一样。我应该能够将文件上传到隔离网络上的远程计算机,我应该能够 ping 并通过 ssh 连接到隔离网络上的任何计算机,我应该能够访问同一网络上的本地 XMPP 服务器提供的消息系统等等。简而言之,我的家用计算机应该使用隔离网络上的远程 linux-box 的相同本地 IP 地址,就像我在那里使用自己的计算机一样。
创建一个开机后自动连接到互联网的 Linux 盒子应该不成问题……但是如何在正确登录后从隔离网络到我的家用电脑创建这个“桥梁”?有什么想法、解决方案或链接有用吗?
我使用 Linux 在家/工作已经有好几年了,但我从未尝试过这样的事情,所以我对 VPN 和网络共享问题的了解几乎为零。当然,我愿意研究与此问题相关的任何链接/书籍,但我不知道从哪里开始。
附言:抱歉我的英语很糟糕,我希望这个问题是可以理解的。
答案1
如果您进行远程连接,它就不是隔离的。
您所描述的方法可能可行。就远程连接而言,您可能只想在上面安装 OpenVPN 即可。有很多 OpenVPN 指南,但我没有具体推荐一个。从他们网站上的文档开始:OpenVPN.net
天啊,我真的希望你揭露的不是一个机密网络。
答案2
您用了一个正确的词——“桥梁”。
只需在 layer2 (tap) 模式下使用 openvpn,并将另一端桥接到“隔离”* 网络即可。您可以使用“brctl”来设置桥接。之后,连接将与直接连接到该“隔离”* 网络上的交换机相同(网络方面)。
*如果您从外部连接到它,它就不是隔离的。如果您使用 PC 而不是 rPi,或者在网络中已有的任何计算机上设置另一个接口,那么它实际上是一样的。
答案3
您需要将连接到互联网的服务器变成 VPN 服务器,openvpn 对此非常有用。有多种方法可以配置 openvpn。我会将其配置为使用 UDP 和 TUN 接口。
设置 openvpn 后,您需要创建一些特殊的 iptables 规则和路由条目才能使其正常工作。
除了互联网连接接口之外,openvpn 服务器还有一个接口将其连接到其他受屏蔽的服务器,这些服务器当然都在同一个子网中,我们将其设为 10.11.11.0/24。
假设您的 openvpn 网络有子网 10.2.2.0/24,则应在服务器上创建以下 iptables 规则:
# Allow TUN interface connections to openvpn server
iptables -A INPUT -i tun+ -j ACCEPT
# Allow TUN interface connections to be forwarded through other interfaces
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
# Allow TUN interface connections to get out
iptables -A OUTPUT -o tun+ -j ACCEPT
# allow routing from openvpn tunnels
iptables -t nat -A POSTROUTING -s 10.2.2.0/24 -j MASQUERADE
iptables -A FORWARD -i tun+ -s 10.2.2.0/24 -j ACCEPT
您需要在网关/路由器中创建一个路由条目,将 10.2.2.0/24 子网的流量路由到 openvpn 服务器并返回。在 Linux 中,它将类似于:
route add -net 10.2.2.0/24 gw 10.11.11.1 <-- IP of openvpn server
实际上,这意味着一旦您与该 openvpn 服务器建立远程连接,您就可以访问屏蔽网络中的计算机。这些计算机也应该能够通过相同的 openvpn 连接访问您的计算机。
这也意味着这些受保护的计算机现在可以通过互联网发送和接收流量,尽管是通过加密的 VPN 连接。这意味着它们现在的安全性比以前更低(即使有一点点),这可能是一个问题。
要意识到您的家用计算机现在是访问这个屏蔽网络的网关……这取决于某人访问它的决心有多大,这可能会带来问题。:-)