我正在管理三个不同的地理位置,我想使用中央 OpenVPN 服务器进行连接。
我的想法是让每个位置的网络设备连接到 OpenVPN 服务器并通过它路由特定的网络流量。我已经拆分了子网(10.23.1.0/24, 10.23.2.0/24, 10.23.3.0/24),以便每个位置都有一个不同的私有子网。
但是,我不清楚网络设置应该是什么样子。我的第一个猜测是:
OpenVPN 服务器:
- 已启用 IPV4 转发
- 将 10.23.1.0/24 路由到站点 A VPN 客户端
- 将 10.23.2.0/24 路由到站点 B VPN 客户端
- 将 10.23.3.0/24 路由到站点 C VPN 客户端
站点 A VPN 客户端:
- 已启用 IPV4 转发
- 将 10.23.1.0/24 路由到内部网络
- 将 10.23.2.0/24 路由到 OpenVPN 服务器
- 将 10.23.3.0/24 路由到 OpenVPN 服务器
(站点 B 和 C VPN 客户端类似)
这是处理问题的正确方法吗?这样做时,我在功能/安全性方面是否遗漏了什么?
我的设置基于以下指南:OpenVPN 背后的局域网。
需要的第一个更改是在我的服务器配置中启用 client-config-dir 设置
在该目录中,对于站点 A VPN 客户端,我将其标记为该路由的内部所有者
然后,我切换到子网拓扑(仍然不是默认的),定义内部路由并将其推送到所有客户端:
我专门为 VPN 路由 ( 1000 ) 设置了更高的指标,以便直接连接到该网络的设备不使用它。至少在我的本地工作站上,以太网的默认指标是 100,无线的默认指标是 600,因此只有在这些都不存在时才使用 VPN。
当然,在网络设备上启用了 ipv4 转发。
完成后,一切都按预期工作。