我们正在考虑通过提供商租用 VMWare ESXi 服务器。此 VMWare ESXi 服务器将分配一个公共 IP。我们将在此服务器上托管的大多数虚拟机仅供内部使用。
我的问题是,是否可以从我们办公室的网关(Cisco RV082)到 VMWare 主机服务器设置 VPN 隧道(ipsec),这样我们就不必将所有虚拟机暴露在互联网上?我们无法访问 VMWare 主机服务器前面的任何设备。
例如,是否可以在 Debian VM 上配置这样的隧道,然后实现以下操作;
- 我们可以通过内联网上的本地 IP 地址访问 VMWare 主机上的所有虚拟机
- 虚拟机可以通过本地 IP 地址访问我们内联网上的机器
我猜想,解决这个问题的替代方案是从提供商那里为每个虚拟机“购买” 1 个公共 IP 地址,然后通过互联网访问虚拟机,每个虚拟机都有自己的 iptables 配置,以阻止来自非我们办公室的 IP 的访问。
任何帮助都将受到赞赏。
答案1
我的问题是,是否可以从我们办公室(Cisco RV082)的网关到 VMWare 主机服务器建立 VPN 隧道(ipsec),这样我们就不必将所有虚拟机暴露到互联网上?
不可以。您不能在虚拟机管理程序上安装第三方服务,例如 VPN 客户端。
这是你所需要的:
ESXi 本身的管理 IP 地址。可以是公共的,也可以是私有的,只要您可以访问它进行管理即可。如果是公共的,请确保已将其防火墙关闭。
充当 VPN 网关的虚拟机(OpenVPN、pfsense、RRAS 等)
至少一个公共 IP 地址,供虚拟机用作 VPN 网关。
具有 VPN 网关 VM 的公共接口的公共 vSwitch。
其余“仅私有”虚拟机连接到的私有 vSwitch。
您将 VPN VM 连接到两个 vSwitch 并通过它配置路由。这样,您将通过隧道连接到可以访问公共网络(以便您可以通过 VPN 进入)和私有网络的 VM,这样您的 VM 就不会不必要地暴露给外界,您也不需要为所有 VM 设置公共 IP。
答案2
我的公司一直使用虚拟化防火墙端点来做到这一点...我们是私有云提供商,因此这是一个现实的情况。
这可以采用运行n2n 隧道(如果无法控制中间设备或者没有或没有足够的公共 IP)。
这是我们设置中的另一个受欢迎的选项,也是一些Amazon Web Services 解决方案是使用Vyatta 虚拟防火墙作为VPN终端。
答案3
在 ISP 空间中,部署 OpenVPN 服务器(最好在 Linux 上运行,因为占用空间小)。此 OpenVPN 服务器将有两个 NIC,其中一个将具有公共 IP,另一个将具有与 ESXi 服务器位于同一子网中的私有 IP。ESXi 将没有分配公共 IP,但所有到互联网的流量都将通过充当网关的 OpenVPN 服务器路由。
它是如何工作的?
当管理员想要连接到任何 ESXi VM 时,他将首先使用其公共 IP 连接到 OpenVPN 服务器并进行身份验证,然后该服务器将授予他访问远程私有子网的权限。连接到 VPN 服务器后,他将使用其私有 IP 地址连接到 ESXi 服务器。