我们能否让 OpenVPN 等服务的入站和出站流量在我们的本地网络中沿着不同的路径路由但使用相同的调制解调器?
我询问我们的互联网故障转移策略。
例如我们通常有
- 调制解调器 A <- DMZ 转发至 -> 防火墙 1 CentOS 盒 <- TCP 端口 25 -> 邮件系统
- 调制解调器 B <- DMZ 转发至 -> 防火墙 2 CentOS 盒 <- UDP 端口 1194 -> OpenVPN 服务器用于路由 LAN 到 LAN 连接
防火墙的 LAN 两端位于同一 LAN 和同一子网中。默认网关为:
- 邮件系统以防火墙 1 的 LAN IP 作为其默认网关。
- OpenVPN 服务器将防火墙 2 的 LAN IP 作为其默认网关。
然后调制解调器 A 和 B 都失去了互联网连接,我们想使用调制解调器 C。我们可以
- 将防火墙 1 和 2 上的默认网关更改为调制解调器 C 的 IP 地址
- 并设置调制解调器 C 将 DMZ 转发到防火墙 1
- 并告诉防火墙 1 将 UDP 端口 1194(OpenVPN)流量转发到 OpenVPN 服务器
- 并更新我们的 MX 记录以指向调制解调器 C 的 WAN IP(是的,我知道 DNS 条目需要一段时间才能通过互联网传播)
这将导致进入调制解调器 C 的 WAN IP 的 OpenVPN 流量通过 DMZ 规则转发到防火墙 1,防火墙 1 将流量转发到 OpenVPN 服务器,然后防火墙 2 通过防火墙 2 进行响应,防火墙 2 应通过调制解调器 C 发送流量。
这样做可行吗?如果 OpenVPN 过于注重安全性,其他服务怎么办?
这对我们的网络进行了一些简化,因此“只需使用调制解调器 C 上的端口转发到正确的防火墙”的说法比听起来要复杂得多。
答案1
事实证明,您可以让服务器上的默认路由通过不同的路径返回到原来的相同互联网连接,而无需执行任何特殊操作。