VPN 在第 3 层运行,内部路由可访问,但如何将其用作外部服务器的“垫脚石”服务器?

网络工程 虚拟专用网 网络访问
2022-02-21 22:59:21

我不太确定我的问题/请求叫什么,但这是我的情况:

我运行一个 OpenVPN 访问服务器服务器。它被配置为在第 3 层上运行。它可以运行的私有子网定义为10.129.0.0/16. 它自己的IP是10.129.1.1(interface= eth1)。当连接到 VPN 时,我可以 SSH/连接到10.129.*.*范围内的每台服务器——例如,10.129.20.20. 只要防火墙上10.129.20.20允许来自 的10.129.1.1访问,就授予访问权限。

现在,我想连接一组服务器,请求来自我的 VPN 的面向公众的接口 ( eth0)。连接到 时188.188.188.188,我希望我的 VPN 服务器通过其其他接口路由其流量,因此该请求似乎来自 VPN 服务器本身。这样,外部服务器就可以只向我的 VPN 和它的公共 IP 开放它的防火墙。

根据下面的答案,我认为我正在寻找跳转主机堡垒服务器。

1个回答

堡垒跳转主机是这个的常用名称,是的。

您将需要目标服务器也属于您的 VPN。这个问题的范围很快就会变大。对于这个答案,我假设您的 VPN 只是 VPN 客户端连接的一个路由器/防火墙。我还将假设 VPN 路由器与您的服务器位于同一 LAN 上。您可以执行以下操作以从您的 VPN 客户端的私有 IP 访问这些服务器的公共 IP:

  • 确保服务器路由10.129.0.0/16到 VPN 路由器/防火墙(或 LAN 上的默认网关执行此操作)
  • 在桌面 VPN 客户端上为服务器的公共 IP 地址添加路由,例如,203.0.113.0/24遍历 VPN
  • 确保任何访问列表或区域防火墙规则允许流量

如您所见,只要您管理所有涉及的路由器/防火墙/等,RFC1918 地址(如 10.129.xx)就能够与公共 IP 地址通信。这在企业网络中非常常见。

其它你可能感兴趣的问题
上一篇当默认首选项为拒绝时,聚合路由有什么意义? 下一篇部分手机客户端神秘无法连接UniFi AP