Định tuyến lưu lượng truy cập cụ thể thông qua VPN mở

Tôi sử dụng Open VPN để kết nối từ xa với mạng nội bộ ở một thành phố khác trên một mạng khác (nhưng có thể với cùng một mạng con). Mạng nội bộ là 192.168.1.42 trên máy chủ từ xa trong văn phòng.

Chúng tôi đang ở trong một văn phòng có địa chỉ IP 192.168.1.42 là địa chỉ IP cục bộ và địa chỉ IP từ xa - nhưng tôi muốn buộc VPN mở sử dụng phiên bản từ xa của Địa chỉ IP đó nhưng vẫn giữ cho internet thông thường sử dụng kết nối cục bộ (tức là không đẩy mọi thứ qua VPN ). Khả thi?

OpenVPN bao gồm một biện pháp đối phó với vấn đề rất phổ biến này. Về cơ bản, nó là một NAT một đối một tĩnh. Nó được kích hoạt với sự trợ giúp của --client-nat Tùy chọn:

       --client-nat args
              Tùy chọn máy khách có thể đẩy này thiết lập NAT một đối một không trạng thái
              quy tắc về địa chỉ gói (không phải cổng) và hữu ích trong các trường hợp
              nơi cài đặt tuyến đường hoặc ifconfig được đẩy tới máy khách 
              tạo xung đột đánh số IP.

              Ví dụ:

                 client-nat snat 192.168.0.0/255.255.0.0
                 client-nat dnat 10.64.0.0/255.255.0.0

              mạng/mặt nạ mạng (ví dụ 192.168.0.0/255.255.0.0) định nghĩa
              chế độ xem cục bộ của tài nguyên từ góc độ khách hàng, trong khi
              alias/netmask (ví dụ 10.64.0.0/255.255.0.0) định nghĩa 
              xem từ xa từ phối cảnh máy chủ.

              Sử dụng snat (NAT nguồn) cho các tài nguyên do khách hàng sở hữu và 
              dnat (NAT đích) cho các tài nguyên từ xa.

              Đặt --verb 6 để biết thông tin gỡ lỗi cho thấy sự chuyển đổi của 
              địa chỉ src/dest trong các gói tin.

Thêm phần sau vào tệp cấu hình OpenVPN của máy khách bị ảnh hưởng:

client-nat dnat 10.64.0.0/255.255.0.0
client-nat snat 10.64.0.0/255.255.0.0

Và cố gắng kết nối với ví dụ: 10.64.1.42 thay vì 192.168.1.42.

Lưu ý trong khi này có thể trợ giúp, chắc chắn bạn sẽ cần sửa lỗi (sử dụng động từ 6 trong tệp cấu hình hoặc trên kênh quản lý).Ngoài ra, hãy nhớ rằng bất cứ điều gì như thế này đều dễ xảy ra lỗi, vì nó làm cho mạng của bạn kém rõ ràng hơn và đòi hỏi sự tập trung hơn để hiểu điều gì đang xảy ra và cách khắc phục sự cố. Và nó sẽ tạo ra một vấn đề khác với IPSec hoặc SIP hoặc các giao thức phức tạp khác; điều này là không thể tránh khỏi.

Để khắc phục điều này mà không đưa ra các tùy chọn cấu hình mờ, hãy làm theo đề xuất của Esa Jokinen trên đó. Tôi sẽ nói nó một cách rộng hơn: vì 192.168.0.x và 192.168.1.x từng là mặc định trên rất nhiều thiết bị gia đình, không bao giờ sử dụng các mạng đó cho văn phòngvà có lẽ 192.168.88.x cũng nên được đưa vào danh sách dừng vì đó là mặc định cho các thiết bị Mikrotik, cũng khá phổ biến.

Đánh số lại mạng văn phòng để không bao giờ sử dụng các mạng con đó sẽ dẫn đến thiết kế mạng tổng thể rõ ràng nhất. (Và ý tưởng này thậm chí còn mở rộng sang trải nghiệm kết nối mạng khác, chẳng hạn như không bao giờ sử dụng VLAN ID 1 mặc định, v.v.)

Giải pháp dễ nhất và khó hiểu nhất sẽ là cách giải quyết sau. bạn không thể chỉ đẩy "tuyến đường 192.168.1.0 255.255.255.0", vì bạn sẽ mất quyền truy cập vào tất cả các tài nguyên cục bộ. Nhưng bạn vẫn có thể đẩy các tuyến đường đến địa chỉ cá nhân trong mạng con. Chẳng hạn, nếu nhiều máy khách bị ảnh hưởng, hãy thêm dòng sau vào cấu hình của máy chủ:

đẩy "tuyến đường 192.168.1.42"

(mặt nạ của 255.255.255.255 được giả định). Trường hợp duy nhất khi điều này không hoạt động là nếu địa chỉ máy khách mục tiêu trong mạng gia đình là 192.168.1.42; trong trường hợp này sẽ không có gì giúp được. Sau đó khởi động lại máy chủ. Nếu chỉ một vài máy khách bị ảnh hưởng, bạn có thể bỏ qua việc khởi động lại máy chủ (có nghĩa là gián đoạn), thêm tuyến đường 192.168.1.42 đến các cấu hình máy khách bị ảnh hưởng và buộc chúng phải kết nối lại.