Пусть VPN-сервер действует как сетевой коммутатор

Question

Я пытаюсь понять некоторые основные принципы виртуальных сетей.

Можно ли (и как это возможно) позволить туннелю vpn работать как коммутатор? Так что моя локальная машина получает адрес удаленной сети?

Site A:
Net A: 10.1.0.0/16
Internet Gateway: 10.1.0.254
VPN Server A: 10.1.0.200
Some Clients in Network A:
PC1: 10.1.0.1
PC2: 10.1.0.2
...
PC199 etc.
And some File Servers.
DHCP Net A: 10.1.0.253

Site B:
Net B: 192.168.2.0/24
Client B: 192.168.2.2
Internet Gateway: 192.168.2.254

Сценарий 1:

Клиент B должен подключиться к сети A через VPN-сервер A. Возможно ли, что он получает IP-адрес в диапазоне сети A на своем интерфейсе vpn, например. 10.1.0.201?

Сценарий 2:

Возможно ли, чтобы ПК в сети B (VPN_B) действовал также как коммутатор, чтобы DHCP сети A давал адреса сети B? И все клиенты сети B подключаются к сети через VPN_B?

Сценарий 3:

Я думаю, что это будет наиболее продуктивный сценарий: для одного клиента, как в сценарии 1 для сетевого подключения:

Network A: 10.1.0.0/16 or 192.168.1.0/24
Network B: 10.2.0.0/16 or 192.168.2.0/24
Network C: 10.3.0.0/16 or 192.168.3.0/24
etc.

и каждая сеть имеет собственный DHCP и шлюз. Как мне настроить VPN-серверы, чтобы трафик в сети 10.0.0.0/8, проходящей через сайт, проходил через vpn, если клиент не находится на том же сайте, а внешний трафик (веб-соединение) проходит напрямую через шлюз Интернета.

Должен ли VPN-сервер быть настроен как шлюз и маршрутизировать трафик либо в "wan" -порт, либо в vpn, или можно ли использовать любого клиента в сети в качестве VPN-сервера?

Answer 1

Сценарий 1:

да, это возможно, но не автоматически. Например, OpenVPN имеет два режима соединения, называемые мостовыми и маршрутизируемыми. В режиме моста вы получаете IP-адрес, принадлежащий подсети сервера, а в режиме маршрутизации - нет (вы получаете IP-адрес в третьей подсети, которую вы выбираете, но она должна отличаться от локальной или удаленной локальной сети).

Сценарий 2:

Запутанный вопрос. Да, это можно организовать таким образом, чтобы IP-адреса как для подсети A, так и для подсети B передавались одним DHCP-сервером, принадлежащим любой подсети. Впрочем, это не разумный шаг: если по какой-либо причине соединение между А и В разорвано, одна из двух подсетей будет без DHCP-сервера.

Вторая часть вопроса: да, вы можете. Предположим, у вас есть компьютер PCVPN в сети B, который подключен через VPN к сети A. Затем все, что вам нужно сделать, это сообщить всем ПК в подсети B, что шлюз в Интернет не является вашим маршрутизатором (192.168.2.254) но есть PCVPN. На PCVPN вы должны включить опцию "forward IPv4", которая выполняется по-разному в зависимости от вашей ОС.

Сценарий 3:

Да, это можно сделать, но для этого потребуется использовать маршрутизатор с установленным программным обеспечением OpenWRT, DD-WRT или Tomato. Это может быть достигнуто многими способами (все узлы всех сайтов, принадлежащих к одной подсети или нет, весь внешний трафик направляется через локальный шлюз или один конкретный шлюз и т.д.), И я не могу дать вам единого решения. Но вы можете найти вступления к этому здесь и здесь. Второе решение мое любимое, потому что оно более полное: у вас будет одна подсеть, скажем, 192.168.1.0/24, с IP-адресами 192.168.1.1-127, предоставляемыми шлюзом на одном сайте, и 192.168.1.129-254. дается другим шлюзом на другой стороне. Таким образом, все ресурсы любого сайта доступны всем ПК, независимо от того, где они находятся. Кроме того, это решение маршрутизирует интернет-связь через каждый локальный маршрутизатор (другими словами, только коммуникации, предназначенные для другой локальной сети, маршрутизируются через VPN). Если вместо этого вы хотите, чтобы все проходило через определенный маршрутизатор, скажем, 192.168.1.1, просто проинструктируйте другой маршрутизатор использовать 192.168.1.1 в качестве шлюза по умолчанию, и он передаст эту информацию на ПК, которым он дает IP-адреса.

Обобщение до трех или более подсетей тривиально, просто не забудьте использовать ipcalc или какой-либо другой инструмент для вычисления сетевых масок.