解决这个问题的最佳方法是什么?
我在防火墙上设置了 VPN,从我这边的服务器运行到客户站点。
它配置为服务器A在我这边172.31.255.1 /24在客户方面。
我现在有一位新客户,他也需要设置 VPN。但他们的 IP 地址与上述范围冲突。
所以他们需要逃离服务器B在我这边172.31.255.18 /32在客户方面。
如您所见,新的正好位于另一个使用的范围的中间。
解决这个问题的最佳/推荐的方法是什么?
答案1
好的,在这种情况下,解决方案可能是 NAT。否则,我想您可以重新寻址所有内容,但这在生产环境中不太可能实现。
我假设服务器A和服务器B位于 VPN 您这边的同一子网中,并且 VPN 的唯一目的是服务器B <-> 172.31.255.18将用于此数据库访问。然后,在客户端的防火墙上,我将添加一条 NAT 规则,将 172.31.255.18 转换为与您想要在任一端路由的任何其他内容不冲突的内容。然后更改两端的 VPN“有趣流量”配置以引用转换后的地址而不是原始地址。
如果您在客户端使用相同的防火墙进行 172.31.255.18 的本地互联网访问/NAT,则可能需要注意,您添加的 NAT 规则不会干扰互联网 NAT(在 Cisco ASA 上,我建议使用“策略 NAT”)。
在服务器端,您需要确保您的数据库服务器 B 具有从客户端转换后的 IP 地址的 IP 路由。如果您只是使用默认路由将所有内容发送到防火墙,那么应该没问题。