那些遇到过的问题

如何处理多个客户端 VPN

Pyl*_*lsa 6 networking vpn

因此,以前我使用了一个管理服务器,在那里我可以使用到网络防火墙的站点到站点连接来访问我所有客户端的不同 VPN 连接。不幸的是,由于安全升级,他们现在决定只切换到 (10+) 个客户端 VPN 连接。

由于我已经在使用其他几个客户端 VPN 连接到 IP 配置和子网冲突的其他网络,因此在我的 PC 本地安装这些连接几乎是不可能的。作为临时解决方案,我现在运行几个虚拟机,每个虚拟机都在来宾的 Windows 操作系统中设置了 VPN 连接。然而,随着所需连接数量的增加,为每个 VM 使用所有这些资源似乎是荒谬的。

有没有人对这种情况有任何经验和/或对如何更有效地处理这种情况有任何建议?

TOO*_*GAM 1

你的问题看起来很棒,我很抱歉它没有得到足够的重视。不幸的是,它缺乏一些可以让这个问题更容易回答的细节。无论如何,我在此尝试回答一下。

首先,我将解决此信息请求。

您提到了“客户”的 VPN 连接。这里的client指的是顾客。然后你说“客户端 VPN 连接”,但我想知道此时你是否指的是客户,而是客户端/服务器模型中的最终用户工作站。

如果您的问题提供有关当前子网映射的更多详细信息(当然,对敏感信息进行适当的虚构),将会有所帮助。

例如,我们谈论的是 3 个站点、13 个站点还是 73 个站点?这些网站的所有者是谁?看起来您的角色是支持客户的网络,但随后客户将技术网络规则强加给您。那么,谁在掌控呢?(在我工作过的多家小型 MSP 企业中,提供技术人员的公司几乎完全控制所有细节,当然也完全控制更具体的细节,例如 VPN 的实施方式。)

如果没有这些细节,对于一种环境来说完美的答案可能非常不适合另一种环境。

但现在,我不只是提出问题,而是尝试通过一些建议来解决这个问题。

让此类场景更容易运行的关键之一是拥有干净且运行良好的网络设计。如果各个子网的当前布局不起作用,则可能需要重新设计。不幸的是,“重新编号”因成本高昂且具有挑战性而臭名昭著。(尽管该法案看似免费,但设计该计划需要时间,并且可能需要更多时间来实施。)

思考以下问题通常会有所帮助:“对于处于类似情况的人来说,什么是有效的?” 我指的不是拥有大量 VPN 的情况。更广泛地说,我的意思是在不同站点上有多台计算机的情况。

通常,目标是让您自己的内部网络正常运行。至于连接到其他公司拥有的远程网络,存在一定的IP子网重叠的风险。如果人们在尝试对第三个 IPv4 八位字节进行某种程度的随机化方面做得相当不错,则可以减少重叠的机会,但如果有足够的网络,这种情况肯定仍然可能发生(特别是 192.168.low-number 或 192.168.168,它们是受欢迎的)。

处理多个客户端的典型解决方案是不需要同时连接到这两个客户端。

最终,有时会出现冲突,从而导致痛苦。

当然,随意地重新编号子网并不是一个合适的选择。通常实施起来更合理的是 NAT。

编辑 1:在讨论 NAT 之前,让我想出另一种可能的方法。如果您正在使用 IPv4 并且可以采用 IPv6,但还没有,那么使用该技术可以引入另一组数字,同时也感觉相当高效,因为您的解决方案提供的好处不仅仅是移动 IPv4 子网来避免冲突。

作为如何实现 NAT 的各种方法的简要概述,一种方法是使用 PNAT,即基于端口的网络地址转换,有时称为 PAT 或 NAT,通常通过仅“过载”一个 IP 地址来实现,用于只需使用不同的端口号即可实现多种类型的连接。但是,您也可以采用“一对一 NAT”,其中一个位置的 X 地址块对应于另一位置的 X 地址块。(如果您可以识别可用的网络地址块来实现此目的,这可能是最容易使用和维护的方法。)使用 1 对 1 样式的 NAT 可能比使用 NAT 更容易设置。 “动态 NAT”解决方案,其中地址块的大小可能不相等,其作用可能类似于 PNAT,但在子网中使用多个地址,而不是具有 IP 地址的多个端口。如果您使用 PNAT 映射多个端口,那么您也可以映射多个地址,但这种灵活性通常会带来不必要的额外复杂性。

实施此类 NAT 通常需要花费一些时间来考虑应该使用哪些地址,并且可能需要更多的时间和技能在基础设施设备(路由器/防火墙等)上实施规则,这可能会很痛苦。然而,一旦在基础设施设备上进行设置,最终用户工作站的体验可能会很轻松。

这听起来可能有点痛苦。正如我之前所说,“最终,有时会出现冲突,从而导致痛苦。” 我看过思科官方培训材料,是为大学培训网络专业人员而设计的,承认这一点。因此,如果世界上最大的组织无法完全避免痛苦,您可能也无法做到。

有关技术设计的更多具体细节,我想知道您是否最好在 NetworkEngineering.StackExchange.com 上提问

如果您觉得客户的要求与您想要实现的目标不一致,那么在这方面寻求更多建议的有效途径可能是将您的客户视为雇主,并提出以下问题:如何在 Workplace.StackExchange.com 处理此类冲突

归档时间:

查看次数:

1384 次

最近记录:

8 年 前
相关归档
什么是 Windows 命令将机器名称转换为 IP 地址,反之亦然? 57
如何使用家庭网络配线架? 26
绕过提供 FIBE 服务的 Bell Canada 路由器 9
压缩网络映射驱动器上的文件时该过程发生在哪里 7
在 Windows 7 中查看无线网络的快捷方式 6
Lion 内置 VPN 客户端连接到 Windows 2003 PPTP 服务器超时 5
无法通过 LAN 解析主机名 5
SSH 连接和发送命令到服务器的替代方法 5
SSH 连接不断掉线 5
共享将音频设备或麦克风“映射”到另一台 PC。 0
难疑归档
如何下载整个网站? 408
是否有 Google Authenticator 桌面客户端? 154
在启用 X11 转发的 ssh 后打开 X 程序时,如何修复“无法打开显示”错误? 151
Excel:如何仅在当前文件中撤消? 131
如何让 Excel 将逗号解释为 CSV 文件中的默认分隔符? 122
通过 Cygwin 命令行升级和安装软件包? 118
Windows 中的多选项卡命令提示符? 115
如何在 Finder 中获取地址栏? 114
通过用户名获取主目录 113
如何找出正在运行的程序的命令行参数? 108