我们是一家 SaaS 提供商,在我们的数据中心和客户站点之间建立了 IPSec VPN,以便他们可以直接从他们的 LAN 访问其托管的数据库服务器。
我们的“参考设计”不是将我们的内部 LAN 范围暴露给客户,而是仅将他们需要的服务器进行 NAT,置于 VPN 内的另一个“DMZ”私有地址后面,客户也采取同样的做法,以免向我们暴露他们的内部范围。
例如,在“参考”设计中,
Customer Server --> Cust VPN NAT ====== VPN ======= My VPN NAT --> My server
192.168.27.4 --> 10.10.10.4 =================> 10.20.0.5 --> 192.168.3.16
只要我们同意在私有范围(10.10. vs 10.20.)上使用不冲突的 NATing IP,这就可以正常工作。我们只接受来自客户的入站连接,并且在上面的示例中只会看到来自 10.10.10.4 的流量。
今天,一位客户表示,他们只能在两端使用公共 IP 作为 NATing IP,以避免发生范围冲突。他们是一家大型跨国公司,拥有数千个备用公共 IP,因此对他们来说没有问题。我们是一家小型托管 SaaS 提供商,必须向我们的提供商证明每个公共 IP 请求的合理性。
Customer Server --> Cust VPN NAT ====== VPN ======= New Public IP --> My server
192.168.27.4 --> 1.2.3.4 =================> 5.6.7.8 --> 192.168.3.16
我们可以毫无问题地帮助客户、完成整个流程并获取公共 IP,但是......
- 这是一个常见的设置吗?
- 从技术角度来说,VPN 中的 P 代表“私人”,这样做正确吗?
- 鉴于 IPv4 地址空间已经耗尽,从“道德”角度来看,这是正确的做法吗?
感谢您的帮助。
答案1
老实说,我认为这更多的是一个商业决策,而不是技术决策。(当然,人们可以不同意我的观点。)但恕我直言,这归结为:
- 新 IP 的成本以及容纳它们所花费的时间和精力是否足以削减客户业务所产生的利润?
- 他们所要求的风险和失去业务的风险哪个更大?
我根本不担心第三点。这是一种常见的做法,听起来他们已经习惯了随心所欲。唉。
“我不想这样做;我应该给他们什么技术理由来避免这种情况?”这又是另一个问题。