Доступ к лабораторной подсети за пределами корпоративной сети через openVPN/Anyconnect
У меня есть лабораторная подсеть (10.10.25.1 снаружи и внутри 172.16.2.0/24) в корпоративной сети, которая доступна через openVPN, пока люди находятся в офисе. (Их клиент openVPN будет подключаться к 10.10.25.1).
Меня просят сделать эту лабораторную подсеть более доступной, пока люди находятся за пределами офиса.
Внешняя инфраструктура VPN для офиса - Cisco ASA Anyconnect.
Люди используют Anyconnect для подключения к корпоративной сети извне (кафе, дома и т. Д.). ASA имеет публичный внешний интерфейс с публичным IP.
Но когда люди используют Anyconnect, а затем открывают виртуальную частную сеть для доступа к лабораторной подсети, происходит сбой их компьютеров. Я предполагаю, что это происходит из-за двойной NAT и компьютера, не способного обрабатывать двойные сетевые адаптеры VPN.
Есть ли способ сделать эту лабораторную подсеть более доступной? Или я должен иметь рабочие столы VNC/RDP в корпоративной сети, которые могут получить доступ к лабораторной подсети от имени пользователя?
Или установка NAT между другим публичным IP-адресом с адресом openVPN более жизнеспособна?
2 ответа
В качестве альтернативы, вы можете сделать сервер OpenVPN общедоступным? Устраните двойные VPN и просто попросите людей подключиться напрямую к лаборатории.
Я сталкивался с подобной ситуацией, когда в офисе использовался Cisco Virtual Office(CVO).
Отдел исследований и разработок имел собственный ASA/FW для размещения лабораторной подсети.
Мы решили проблему с помощью аппаратного vpn.
Выполните ASA или маршрутизатор, чтобы построить сайт-сайт или DMVPN с маршрутизатором HQ.
Тогда хосты, подключающиеся за аппаратным VPN, должны использовать OpenVPN(в вашем случае) для подключения к лабораторной подсети. Со стороны компьютера, он имеет только один виртуальный адаптер, потому что аппаратное VPN подключается к HQ.
Альтернативное решение немного рискованно, но устанавливает "ip nat"(при условии, что маршрутизатор Cisco для PAT) между публичным ip и шлюзом pfSense.