Vpn

我們是否應該滿足客戶要求我們在 VPN 內的新公共 IP 後面對伺服器進行 NAT 處理?

  • February 21, 2014

我們是一家 SaaS 提供商,在我們的數據中心和客戶站點之間設置 IPSec VPN,這樣他們就可以從他們的 LAN 直接訪問他們託管的數據庫伺服器。

我們的“參考設計”不是將我們的內部 LAN 範圍暴露給客戶,而是僅對他們需要的伺服器進行 NAT,位於 VPN 中另一個“DMZ”私有地址後面,而客戶也這樣做以防止將其內部範圍暴露給我們.

例如,在“參考”設計中,

Customer Server --> Cust VPN NAT ====== VPN ======= My VPN NAT --> My server
192.168.27.4    --> 10.10.10.4   =================> 10.20.0.5  --> 192.168.3.16

只要我們同意在私有範圍(10.10. 與 10.20.)上使用非衝突 NATing IP,就可以正常工作。我們只接受來自客戶的入站連接,並且在上面的範例中只會看到來自 10.10.10.4 的流量。

今天,一位客戶說他們只能在兩端使用公共 IP 作為 NATing IP,以避免任何範圍衝突的機會。他們是一家大型全球公司,擁有數千個備用公共 IP,因此對他們來說沒有問題。我們是一家小型託管 SaaS 提供商,必須向我們的提供商證明每個公共 IP 請求的合理性。

Customer Server --> Cust VPN NAT ====== VPN ======= New Public IP --> My server
192.168.27.4    --> 1.2.3.4      =================> 5.6.7.8  --> 192.168.3.16

我們可以毫無問題地幫助客戶,完成整個過程並為此獲得公共 IP,但是..

  1. 這是常見的設置嗎?
  2. 鑑於 VPN 中的 P 代表“私人”,在技術上這樣做是否正確?
  3. 考慮到 IPv4 地址空間的枯竭,“道德上”的做法是否正確?

謝謝你的幫助。

老實說,我認為這更像是一個商業決策而不是技術決策。(當然,人們可以自由地不同意我的觀點。)但是恕我直言,這歸結為:

  • 新 IP 的成本以及容納它們所花費的時間和精力是否足以削減客戶業務產生的利潤?
  • 他們所要求的風險或失去業務帶來的風險哪個更大?

我根本不會擔心#3。這是一個常見的設置,聽起來他們已經習慣了自己的方式。唉。

“我不想這樣做;我應該給他們什麼技術理由來避免它?” 完全是另一個問題。

引用自:https://serverfault.com/questions/577414