通过 VPN 连接我们的客户

网络工程 虚拟专用网 纳特 声波墙
2022-02-19 14:09:13

场景:我在管理 50 个客户的所有 IT 环境的 MSP 中工作。一些客户完全由我们管理(服务器、网络、防火墙等)。其他是部分管理的(只是数据库服务器或只是 Web 服务器)。我们以不同的方式访问这些客户端,例如 SSH、TS、Citrix、VPN 客户端等。

我们想要做的是:通过 VPN 站点到站点(使用 IPSec)连接到我们的客户。我们有一个 Sonicwall 防火墙,它可以拥有多达 80 个 IPSec 隧道。通过这样做,我们将能够使用 Puppet、SCCM、日志记录等集中管理工具。

问题:我们有一个像 192.168.0.0/24 这样的范围。其他客户也有这个范围。其他 3-5 个客户也有 192.168.1.0/24 范围。

所以,问题是:

  • 我们如何管理这个具有重叠地址的 VPN?NAT 将如何帮助我解决这个问题?
  • 这是一种很好的工作方式吗?大家有没有类似的场景?
  • 如果不是,我们能做什么?你们有什么建议?

非常感谢你!

2个回答

我将首先通过使用不太常见的 RFC 1918 本地网络来限制您接触这些类型的冲突。我很少看到在较小的网络中使用 172.24.0.0 - 172.31.0.0。大多数都在您列出的 192.168.0.0 范围内。

对于您当前的困境,源 NAT 确实是该配置的唯一可行选项。您需要将您的客户重叠网络源 NAT 到未使用的内部网络。例如:

192.168.0.0/24 -> 源 Nat -> 10.240.0.0/24

192.168.1.0/24 -> 源 Nat -> 10.240.1.0/24

这是一篇较早的文章,介绍了 Cisco ASA的配置。

还有其他选项,但是当您只控制地址方案的一侧时,这是非常标准的。

丹尼尔

我同意丹尼尔的观点。避免此类冲突的最佳方法是使用不太常见的私有 IP 范围。我倾向于使用 172.16.0.0/12 的范围

其它你可能感兴趣的问题
上一篇Tracert 第一跳不同的子网 下一篇交换机如何处理入口标记的数据包?