标签: subnet

我们的企业目前正在我们自己托管的服务器上使用 OpenVPN 运行 VPN。

出于客户原因，我们需要锁定我们的内部网络 - 因此期望的结果是只有列入白名单的硬件/MAC 地址才能通过我们的 Draytek 2925 路由器连接到我们的网络。这很简单——我们可以简单地使用路由器的严格绑定功能来防止随机连接。但是，我无法找到一种方法来使其与 OpenVPN 一起工作。我想到我们可以考虑为 VPN 客户端分配静态 IP 地址，但从我在网上找到的信息来看，这些只能分配给用户帐户而不是 MAC 地址。

除此之外，即使我能找到一种分配静态 IP 的方法，我也不确定如何使这些在白名单中工作 - 目前如果我尝试在白名单中输入一个普通的 OpenVPN 地址（如 10.8.0.2），路由器告诉我这超出了路由器 LAN 地址范围（大概我可以以某种方式添加它，但我还没弄清楚如何添加）。

我对所有此类内容都很陌生，所以如果我的问题被视为有点落后于八球，我深表歉意。

如果有人可以帮助解决 MAC 问题，我将非常感激；或者，如果有人有更好的想法来实现最终目标，我也会很感激。

干杯。

我只想通过远程 openvpn 服务器路由 192.168.255.0/24 的流量。

这个答案建议将以下内容添加到客户端 .ovpn

route-nopull 
route 192.168.255.0 255.255.255.0

但是，这不起作用，因为当我连接并使用下面的命令检查我的外部 IP 地址时，我得到的是我的 openVPN 服务器的 IP，而不是我的本地计算机。

dig +short myip.opendns.com @resolver1.opendns.com

就上下文而言，VPN 的目的是允许多个远程客户端从任意位置相互访问，但它们应该使用默认的本地路由来处理其他所有事情：www PoE 摄像头等。我使用https://github设置了 openVPN 服务器.com/kylemanna/docker-openvpn

客户端是 Ubuntu 16.04 上的 OpenVPN 2.4.7

我的本地 .ovpn 配置

client
nobind
dev tun
remote-cert-tls server

remote 157.245.203.172 1194 udp

route-nopull
route 192.168.255.0 255.255.255.0

# various certificates / keys

redirect-gateway def1

我的服务器 openvpn.conf

# client specific configurations
client-config-dir ccd

# allow clients to reach other
client-to-client

server 192.168.255.0 255.255.255.0
verb 3 …

如何确保 openVPN 客户端始终采用相同的 VPN IP 地址？

我已在 /etc/openvpn/ccd/ 中添加client-config-dir ccd并openvpn.conf创建了带有客户端名称的文件，例如。“/etc/openvpn/ccd/CLIENTNAME”仅包含 192.168.255.20，但此 IP 地址未分配给与 CLIENTNAME.ovpn 连接的客户端

就上下文而言，VPN 的要点是允许多个远程客户端从任意位置相互访问，但它们应该对其他所有内容使用默认本地路由：www PoE 摄像头等。OpenVPN 服务器使用 https: // /github.com/kylemanna/docker-openvpn

因此，客户端证书/ovpns的生成方式为： docker run -v $OVPN_DATA:/etc/openvpn --log-driver=none --rm -it kylemanna/openvpn easyrsa build-client-full CLIENTNAME nopass docker run -v $OVPN_DATA: /etc/openvpn --log-driver=none --rm kylemanna/openvpn ovpn_getclient CLIENTNAME > CLIENTNAME.ovpn

客户端是 Ubuntu 16.04 上的 OpenVPN 2.4.7

我的本地 .ovpn 配置

client
nobind
dev tun
remote-cert-tls server

remote XXX.XXX.XXX.XXX 1194 udp

# only route the subnet
route-nopull
route 192.168.255.0 255.255.255.0 …

我已经看到很多关于这个的问题，但还没有真正理解/不符合我的问题。

我是网络新手。

我有两个路由器，都连接到广域网（给它们不同的外部 IP）。

192.168.0.1是 vilfo 而192.168.2.1是 dlink860l

反正是有连接这些，等的计算机168.0.x可以访问打印机（和其他服务）168.2.x（反之亦然）

vilfo 是 vpn 的特殊路由器，由 LuCI lede-17.01 提供支持，因此它是高度可定制的（如果你知道该怎么做（我不知道））

如果需要网桥或类似的东西，我确实有另一个目前未使用的路由器。

*编辑：我刚刚测试了在路由器之间（局域网端口到局域网端口）之间放置网线，但实际上什么也没发生，所以我做了一些其他的事情。大约 30 分钟后，我从我的 vilfo 那里收到一封邮件，说发现了新的单位。检查后，我看到它是打印机，在另一台被检测到的路由器上。

我不知道为什么......但突然它就起作用了......*

我正在升级我办公室的网络...现在我们有两个子网，一个用于我们的工作站（在无线网络上），另一个用于我们的服务器（映射到静态 IP 地址）。

由于 Netbios 在我们的双子网布局上出现问题，我们在文件夹共享等方面遇到了问题。有没有解决的办法？我应该将我们的工作站连接到一个无线接入点，而不需要子网吗？

还有一点要注意，我将很快设置一个域控制器并将所有工作站和服务器放在域中。这会在我的网络中取代 Netbios（不确定我是否知道我在说什么）？

任何帮助表示赞赏...感谢您的反馈！

你好 serverfault 宇宙，

我不断发展和扩展的局域网目前正在使用 C 类地址。我的网络由多个子网组成，具体取决于站点/位置。

192.168.1.x 是站点总部
192.168.5.x 是辅助站点
192.168.10.x 是第三个站点，依此类推。

长话短说 - 我从前任管理员那里继承了这个网络设计，他离开了公司，最初只有十几人，现在只有 300 多名全职/兼职员工。我们还没有客户端 VPN 访问权限；但我们确实有站点到站点 VPN 设置。

编辑 - 包括有关我当前设置和未来计划的详细信息：

• 主备站点（子网）有25台物理服务器。分支站点有 5 个（每个域控制器）。所以总的来说，我们预计未来 3 年这一数字将增长约 50%。

• 我们目前有一个面向公众的 Web 服务器和 Domino Web 邮件服务器。我购买了用于 DMZ、客户端访问 VPN 和站点到站点 VPN 的 Cisco ASA，以替换我们现有的现成 (Linksys) VPN/路由器解决方案。我看到的唯一变化是用 Exchange (OWA) 替换了 Domino，我希望添加一个可在 Internet 上访问的 Cisco VPN 服务器。

• 总的来说，我们主路由器的 DHCP 将 150 个 IP 租给了我的主 192.168.1.x 子网上的客户端工作站，这也恰好与我的主服务器处于同一子网。多个子网上的大约 100 个 IP 用于其他子网上的其余站点。

• 我们的管理“网络”(HP ProLiant iLO) 位于主 1.x 子网上。

• 目前没有实施 iSCSI SAN 或 VoIP 的计划，但这些很有可能在未来实现。
• 我们的 …

可能的重复：
Server Fault Wiki：子网划分是如何工作的？

我正在设置 rsync，我在配置文件中看到了这一点：

hosts allow = 127.0.0.1 192.168.1.1/24

这是否表示本地（192.168.1.*）上的所有主机都可以使用rsync？我的网络课已经有一段时间了；我只是想了解...

我有一个 /24 网络，它被划分为一堆小块。我最近研究了网络上的每个路由器（主要是 Cisco）以记录这个网络是如何划分的。现在查看来自以下位置的 ping 扫描输出：

nmap -sP 192.168.1.*

我看到一些但不是全部保留的“网络”和“广播”IP 响应 ping。例如，网络192.168.1.80/29有192.168.1.80的网络和192.168.1.87的广播。在这个特定的子网上，这两个 IP 都会从路由器的外部接口 (192.168.5.20) 给我一个 ping 响应。

许多其他子网的行为类似。然而其他人没有。查看路由器配置，没有什么能真正引起我的注意，它看起来会导致这种行为。

有谁知道这种行为的原因？我是否希望这些地址响应？有点不相关：我应该为网络和广播 IP 设置反向 DNS 条目吗？

我遇到了一个存在丢包问题的 10.10.50.0/20 网络。他们运行所有非托管交换机，我想一个子网上的大量设备会导致问题。

我曾考虑将网络分解为单独的 VLAN，但第 3 层交换机的成本太高。我有哪些选择？他们使用所有非托管交换机和 NSA 2400 声波墙。

我正在学习测试，发现自己陷入了一个关于网络掩码的“死胡同”。

问题是：

根据下图，一旦配置了两个子网， 
据观察，一个子网中的主机不能访问另一个子网中的主机。 
每个站点和路由器的 IP 是：

01 号站：172.16.78.192
02 号站：172.16.74.3
03 号站：172.16.94.3
04 站：172.16.82.254

路由器的端口 01：172.16.65.1
路由器的端口 02：172.16.88.1

数字：
[01站]-------------------------------[02站]
                            | 
                            | 端口 01
                         [路由器]   
                            | 端口 02
                            |
[03站]--------------------------------[04站]  

此问题是由选择的网络掩码引起的。 
以下哪个网络掩码将允许所有主机进行通信
以正确的形式？

a) 255.255.240.0 ---- **这在书中标为正确答案**
b) 255.255.248.0
c) 255.255.252.0
d) 255.255.224.0 ---- **这是我认为的正确答案**
e) 255.255.232.0

为什么我认为255.255.224.0是正确的？

路由器的端口 01：172.16.65.1
路由器的端口 02：172.16.88.1

我知道网络掩码将以 255.255.X.0 结尾， 
因此将端口 IP 转换为二进制：

端口 01：0 1 0 0 0 0 0 1。0 0 0 0 0 0 0 0 = 65.0
端口 …