我使用 Mikrotik RouterOS 作为 NAT 路由器。路由器后面的一些主机也直接连接到 Internet,这些主机具有到 ISP 网关的默认路由,而不是 RouterOS。我在其中一台具有公共 IP 的主机上以 tun 模式设置了 OpenVPN 服务器。问题是 VPN 客户端无法与具有公共 IP 的主机通信,因为它们具有到 ISP 的默认路由。我可以在 RouterOS 上放置静态路由,但我无法控制 ISP 的路由器。因此,发送到 VPN 客户端的数据包将发送到 WAN 链接而不是 VPN 服务器。我有哪些选择?
私有 DHCP 池 172.16.10.0/24,网关 172.16.10.1 (RouterOS)
OpenVPN 池 172.16.11.0/24
- 轻敲模式,大量开销
- tun模式,DHCP池内的VPN池和局域网内VPN池的OpenVPN服务器proxy-ARP
- 在 tun 模式下,在每个具有公共 IP 的主机上为 OpenVPN 池添加静态路由。这不能很好地扩展,在混合环境中工作太多
- IPv6。问题在于许多 Windows 应用程序(例如 VMware 产品)对 IPv6 的支持很差。所有主机都具有 IPv6 连接,但 VPN 客户端可能很难获得 IPv6。
我知道我可能应该把所有东西都放在防火墙后面。在我获得瞻博网络 SRX 后,我会这样做。我没有为每个主机提供足够的公共 IP。并且 RouterOS/pfSense 不太适合具有混合公共/私有 IP 的环境。我不得不承认这是一个糟糕的设计,任何不破坏银行的迁移路径?这不是生产,只是有点复杂的家庭网络。
我很欣赏你的意见。
Edit1(对 JelmerS 的回答的回应):这是可行的,但不能像我在 OP 中提到的那样很好地扩展。在我的环境中,我有不同风格的 BSD、Linux、Windows 和没有外壳的独立设备(例如打印机、网络监控设备、电话)。我将尝试 DHCP 选项 33 和选项 121,不确定它们在不同设备上的支持情况。
Edit2(对 Joseph Drane 的回答的回应):1. 目前拥有公共 IP 的主机有一个到 RouterOS LAN 的链接和另一个到 ISP 的链接(绕过 RouterOS)
做静态 NAT 有什么理由吗?似乎没有必要(严重的性能损失)
我正在寻找的防火墙可以在透明模式下很好地工作。DHCP/NAT 完全可以由另一个盒子完成。但是我使用的大多数防火墙都不支持/在透明模式下运行良好,并且难以排除故障(缺乏可见性)
Edit3:RouterOS 在 ESXi 内运行。还有一些其他的来宾操作系统。环境与物理/虚拟主机混合在一起。我在 ESXi 盒子上确实有足够的 NIC 接口。我希望能够灵活地允许主机在公共/私有地址之间轻松切换。