我在公司网络中有一个实验室子网(外部为 10.10.25.1,内部为 172.16.2.0/24),当人们在办公室时可以通过 openVPN 访问。(他们的 openVPN 客户端将连接到 10.10.25.1)。
我被要求当人们不在办公室时让这个实验室子网更容易访问。
办公室的前端 VPN 基础设施是 Cisco ASA Anyconnect。
人们使用 Anyconnect 从外部(咖啡店、家里等)连接到公司网络。ASA 有一个带有公共 IP 的公共外部接口。
但是当人们使用 Anyconnect 并在其上安装 openVPN 来访问实验室子网时,他们的计算机崩溃了。我认为这是由于双重 NAT 和计算机无法处理双重 VPN 网络适配器造成的。
有没有办法让这个实验室子网更容易访问?或者我是否应该在公司网络中拥有可以代表用户访问实验室子网的 VNC/RDP 桌面?
或者在另一个公共 IP 与 openVPN 地址之间设置 NAT 是否更可行?
答案1
作为替代方案,您可以将 OpenVPN 服务器设为公开吗?消除双重 VPN,让人们直接连接到实验室。
答案2
当办公室使用思科虚拟办公室(CVO)时,我也遇到过类似的情况。
研发部门有自己的 ASA/FW 来托管实验室子网。
我们通过使用硬件vpn解决了这个问题。
发布 ASA 或路由器,使用 HQ 路由器构建站点到站点或 DMVPN。
然后,硬件 VPN 后面连接的主机只需使用 OpenVPN(就您而言)即可连接到实验室子网。从计算机的角度来看,它只有一个虚拟适配器,因为硬件 VPN 连接到 HQ。
替代解决方案稍微有点风险,但在公共 IP 和 pfSense 网关之间设置一个“ip nat”(假设是用于 PAT 的 Cisco 路由器)。