设置 VPN 以在没有 NAT 的情况下访问公司的内部网络

网络工程 虚拟专用网 纳特 网络
2022-02-07 02:06:59

下面是网络的样子,左边是我的家,右边是我的办公室。

现在我想连接到办公室内网(192.168.0.0/24,R3)。我们没有任何直接连接到互联网的 vpn 设备。我还被告知不允许在 R2 或 R3 上设置 NAT,但我可以在 R2 网络(192.168.1.0/24)或 R3 网络(192.168)中设置 vpn 服务器(openvpn 或任何免费的) .0.0/24),也许后一种更方便,这种情况下家里的客户端无法连接到vpn服务器,因为它无法访问。

在此处输入图像描述

所以我正在考虑将虚拟服务器vsite放在公共互联网上(可能在亚马逊或天蓝色云上)并且在家中的客户端或办公室中的vpn服务器可以与之交谈的teamviewer方式。在这种情况下,客户端是否有可能通过vsite找到并连接到vpn服务器?知道如何更具体地实现这一目标吗?

在此处输入图像描述

注意:我可以将 R0 更改为子网为 192.168.34.0/24

1个回答

由于网络重叠 - 两边都使用 192.168.1.0/24 - 简单的 VPN 隧道将无法工作。

您需要:

重新编号一侧

通常是最简单的解决方案

排除碰撞范围

当 192.168.1.0/24 仅在本地使用而远程不需要时,您可以省略通过隧道的路由。

NAT

您还需要远程 192.168.1.0/24 网络(在每个隧道末端)的目标 NAT 和从 192.168.1.0/24 本地到远程(在每个隧道入口)的连接的源 NAT。最明智的方法是从一侧映射例如 192.168.251.0/24 到 192.168.1.0,从另一侧映射 192.168.252.0/24 到 192.168.1.0(对于源 NAT,显然是相反的方式)。NAT 是一个丑陋的黑客,远非理想,因此应该首选其他解决方案之一。有些路由器不能同时进行 SNAT 和 DNAT,所以你甚至需要非对称路由,这可能会带来更多问题。

其它你可能感兴趣的问题
上一篇这种翻译可以在路由器上进行,还是我需要代理? 下一篇SSDP消息的范围