暴露 VPN 遠端的機器
我們正在使用 VPN 將遠端辦公室連接到我們的主辦公室,並且遠端辦公室中的機器需要將埠 22 暴露給外部網際網路。
並發症:
- 總公司有一個固定的IP地址。
- 遠端辦公室有一個浮動 IP 地址。
- 遠端辦公室位於我們無法控制的路由器後面。
- 來自遠端辦公室的所有流量都需要通過總部的 VPN。
主辦公室和遠端辦公室有德銳Vigor2925系列路由器,韌體最新。位於遠端辦公室 Draytek 上游的路由器是一個廉價的黑匣子,沒有 DDNS 或 VPN 功能,或任何看起來有用的東西。
有效的東西:
- 我們已經能夠通過撥入 VPN 將遠端辦公室連接到我們的網路。完成後,我們可以從主辦公室連接到目標機器。
- 我們可以使用路由器的埠轉發設置將固定 IP 地址的連接轉發到總部的機器。
- 我們可以從固定IP地址轉發到遠端辦公室的一台機器上。
從DrayTek 的文件和其他地方,我的理解 是 NAT 與 IPSec 隧道不兼容,尤其是身份驗證標頭,但如果兩個設備都支持路由器聲稱的 NAT-T,則應該可以使用 L2TP 和 IPSec 封裝建立 VPN支持。
所以:我們已經將遠端辦公室設置為撥入,使用“L2TP with IPsec Policy”,關閉 Authentication Header,設置主辦公室路由器將埠轉發到目標機器,並使用 telnet 介面檢查 vpn -passthrough 已關閉,我們仍然無法連接。
或者,如果我們可以讀取遠端辦公室的浮動 IP 地址,我們可以使用動態 DNS 解決方案。但是,我們不控制遠端辦公室上游的路由器,我們通過辦公室的 VPN 轉發所有流量:遠端辦公室中的所有機器都認為它們的公共 IP 地址是屬於總辦公室的固定地址.
我們幾乎要購買 Raspberry Pi 以插入上游路由器,並使用它來執行
wgeticanhazip.com 的 cron 作業。那麼……我在路由器配置中是否遺漏了一個步驟?或者有沒有更簡單的方法從 VPN 內部讀取 IP 地址?
來自遠端辦公室的所有流量是否都通過 VPN,例如 vpn 是預設網關嗎?如果沒有,那麼您可能需要將所有從 Internet 連接到遠端電腦上的埠 22 的連接進行 SNAT。否則,連接將通過您在遠端辦公室的網際網路連接返回。
另一種可能性是通過 SSH 進行遠端埠轉發,
ssh -R 22:127.0.0.1:22 <main gateway>例如。