我在两个不同的国家 A(主要的,我居住的地方)和 B(次要的,我每年访问一次或两次)设置了 VPN,并且希望通过 VPN SSH 到我的设备。
我的设置:
A国:
- 桥接模式下的 adsl2 调制解调器 > 专用 Pfsense 盒(充当 dhcp 服务器和防火墙,并从 purevpn 配置了 openvpn)
- 华硕无线路由器AP模式
- 千兆交换机
- 网络的其余部分由各种设备组成,包括运行 Tor 中继的 Pi 和无线摄像头。
乙国:
- Adsl 2 调制解调器未处于桥接模式
- Linksys e1200 AP(使用 dd-wrt 刷新并使用我的 purevpn 帐户配置 openvpn)
- Pi 运行 Tor 中继并通过 wifi 连接 IP 摄像头。我还有一个无线范围扩展器以防万一。
我已经知道的:
我的 VPN 提供商需要给我一个专用 IP,我将在一个月内前往 B 国之前不久获得该 IP。
我感到困惑的是:
我是否需要为每个客户端/机器单独转发两侧防火墙上的相关端口?
我需要知道什么:
- 这样设置可以吗?我定期通过 LAN 登录我的客户端,但如果我能从另一个国家检查我的继电器和摄像机的运行情况,那就太好了。
2.A 国的设置正在运行并经过测试,但我要到下个月才会访问 B 国。在硬件和一般设置方面,我是否使用了适合 B 国的正确配置?在我到达那里之前我无法对其进行测试,并且当我到达那里时我将无法购买额外的零件。
PS 更多信息:我有两个国家的 ISP 提供的静态 WAN IP。
答案1
首先,我有点困惑为什么在拥有静态 IP 的情况下,您不直接通过 VPN 连接到这些设备,而是通过 VPN 提供商进行连接。然后,您可以只路由流量,而无需在远程客户端和任一 LAN 之间进行任何 NAT。 (我猜你这样做可能是为了隐私,这是我能想到的唯一原因。当然,如果你的 VPN 提供商为你设置了静态 IP,这似乎在某种程度上破坏了隐私。)
不管怎样,您需要在每个防火墙上设置防火墙规则,并在每个 NAT 上设置端口转发。在你的 A 设置中,听起来好像只有 pfsense 框;在您的 B 设置中,听起来好像只有 E1200 AP。 (ADSL 调制解调器也可能如此,但您已经通过终止于 E1200 的 VPN 绕过了它)。
因此,例如,如果您将 pfsense A 框配置为转发到vpn-ip:2222,pi-lan-ip:22并将其防火墙配置为允许端口 22 上从 VPN 到 pi 的流量,那么您应该能够ssh -p 2222 vpn-ip访问 pi。
如果您想要保护隐私,另一种选择可能是让您的 Pi 将 sshd 作为 Tor 隐藏服务运行。 (我从来没有真正玩过 Tor,所以我对这里的设置无能为力。)
我建议您在启用此功能之前确认所有密码都是安全的,另外认真考虑完全禁用密码身份验证(在您的 sshd 配置中)。