我参与了演示/用户实验室环境的设置,该环境由几架服务器套件组成。这个想法是,可以为潜在的硬件/软件客户提供一个 VPN 帐户,该帐户将只允许他们使用特定的套件。主要的挑战是,用户可以在操作系统(Windows、Linux、ESXi、Xen...)方面对服务器做任何他们想做的事情,所以我相信将他们隔离到特定的 VLAN,并将他们的套件放在匹配的交换机端口上,是一种可行的解决方案。
我设想使用堡垒服务器来管理 VPN 帐户,并且正在研究 ClearOS,因为它的 GUI 使实验室技术人员更容易进行设置/访问控制,但我看不到配置 VLAN 控制的方法,例如,VPN 用户 1 在 VLAN 10 上,VPN 用户 2 在 VLAN 15 上……等等
我希望最终采用基于 GUI 的设置,其中的工作量扩展到设置用户 VPN 帐户、指定其目标 VLAN 以及确保其目标系统连接到相关的交换机端口组。本质上,我希望避免定期编辑大量 iptables 内容等。
从我几年前做的一些工作来看,我也想到带有 RouterOS 的 Mikrotik 盒子可以做这种事情,但我现在还没有可以玩的。
我曾在 ClearOS 论坛上问过这个问题,但是(“蟋蟀“)所以这里有没有人有这种设置的经验——任何指导或想法都值得赞赏。
谢谢。
答案1
我不熟悉 ClearOS,但使用 Mikrotik 绝对可以做你需要做的事情。
可以通过使用它的 GUI(Winbox)、Web 界面(webfig)或标准终端(SSH/Telnet)。
由于您所描述的(每个 VPN 都在其自己的 VLAN 上)需要为系统中的每个新用户执行几个(重复的)步骤,因此您还可以使用 Mikrotik 的 API 来使用您自己的工作流程来管理您需要的内容。
因此,您可以编写自己的 GUI(例如使用 PHP)并使其尽可能简单,而在后台它可能会在 Mikrotik 上运行 5-10 个最终用户不需要或不关心的命令:)