我在一家机器制造商工作,我们的系统有自己的以太网网络 (192.168.1.x),配有一个交换机和十几个设备,其中大多数设备都已固定为静态 IP 地址。我们的下一个工作是将我们的机器/系统集成到客户更大的 LAN 网络中。我们的系统需要互联网访问,但出于安全原因,不应能够访问客户现有网络中的任何内容。假设客户的 LAN 地址是 192.168.55.xx,我们仍然需要保留我们自己的内部寻址。实现此目标的最简单方法是什么?我们的系统是否需要路由器与客户现有的网络连接?或者可以通过子网划分通过他们的路由器完成?
额外信息:我们需要能够通过 VPN(Hamachi)、远程桌面和端口转发远程访问我们的系统,以便远程查看我们自己的两个 IP 摄像机。
谢谢
答案1
由于这两个网络(现有公司网络 192.168.55.0/24 和您的硬编码网络 192.168.1.0/24)是互斥的,并且都不应互相访问,因此这是一个利用具有三个接口的防火墙的好地方。一个公共 IP,一个 192.168.55.1/24,一个 192.168.1.1/24。
然后设置 nat 和 fw 规则。有很多防火墙可供选择。我最喜欢的是 linux iptables 和 freebsd pfsense....如果你有很多现金,可以看看 cisco pix/asa
一旦设置完成,就可以为其中一个或两个内部 LAN 配置端口转发和 VPN。pfSense 为您提供了大量 VPN 选项,并且为远程客户端配置 OpenVPN 也很容易。