Linux

如何創建一個將使用者映射到每個 VLAN 的 VPN?

  • June 13, 2019

我想設置一個 VPN 伺服器,將每個使用者放入不同的 VLAN。

我有一個大約有 200 個使用者的網路,其中每個使用者都在一個單獨的 VLAN 中,擁有自己的 /27-IPv4 網路。哪個使用者屬於哪個 VLAN 由同樣提供身份驗證的 LDAP 伺服器確定。我也有一個 Freeradius 伺服器,它的雲進行身份驗證。如果有幫助,我有一個 REST-Api 用於獲取給定使用者名的 VLAN id。單個 DHCP 伺服器為所有使用者執行。

我想創建一個允許每個使用者從 Internet 登錄的 VPN 伺服器。然後應該將使用者放入他的 VLAN 並(希望無需進一步配置)從 DHCP 伺服器獲得他自己的 /27 網路中的 IP 地址。

我的路由器、VPN、LDAP/Freeradius 和 DHCP 在單獨的 Debian 虛擬機上執行。

我嘗試使用 OpenVPN 伺服器解決此問題,但到目前為止未能將使用者映射到 VLAN。(afaik 我只能配置一個伺服器端介面)

我怎樣才能做到這一點?

額外問題:IPv6 會有所不同嗎?

使用者不應該看到對方,它提供了網路內的辨識和訪問控制。VLAN 已用於例如 wlan 訪問。

要滿足這一需求,請使用防火牆或允許隔離每個 VPN 使用者的防火牆設備。通常這些防火牆會將 VPN 使用者域設置在自己的 VLAN 內,即使彼此隔離,如果沒有允許規則,它們也會與所有其他 VLAN 隔離。

因此,如果 VPN 使用者只需要訪問終端伺服器,那麼您創建一個規則,只允許該 VPN 使用者使用來自該 VLAN 的 3389 埠。

引用自:https://serverfault.com/questions/971271