Q。 サーバーがある場合、そのサーバーに VPN 接続を確立しながら、同時にクライアント マシンから SSH で接続できるまったく別の接続を確立することは可能ですか。
理由。 さまざまなドライブがマウントされた Ubuntu 14.4 サーバー (GUI なし) があります。サーバーへのリモート SSH アクセスを維持しながら、インストールされている特定のアプリケーションについては、VPN 経由で操作できるようにしたいと考えています。
試された。 私は PIA と一緒に OpenVPN を試してみましたが、表面上は接続が確立され承認されているものの、サーバーはすべての接続を失い、最終的にはシステムをリモートで再び使用できるようにするには再起動が必要になりました。
答え1
すべてのトラフィックを VPN 経由でプッシュするようにクライアントを設定したため、その後サーバーへの接続が失われたようです。
クライアントの設定を確認してください
答え2
自宅にはLamobo R1(5ギガビットイーサネットポート付きARM)とJessie Debianがあり、IPsec VPNを設定しています。ストロングスワン。
サーバーは、iptables を使用してルーターおよびファイアウォールとしても機能します。
外部からのすべてのアクセスはVPN経由で行う必要があります。含むssh。
さらに、IPsec VPN は、OS/X および iOS のネイティブ VPN クライアントと互換性があるように構成されています。https://wiki.strongswan.org/projects/strongswan/wiki/IOS_(アップル)
VPN をお持ちの場合は、ssh を VPN 内でのみ動作させることをお勧めします。これにより、公開されるサービスが 1 つ減ります。
また、VPN では、プライベート/RFC 1918 ネットワーク アドレスを VPN 経由でルーティングします。マシンのパブリック アドレス経由で行われるすべてのサービスとの通信は、VPN を経由しません。
職場では企業ファイアウォールがあり、ファイアウォールの背後には Cisco、FreeBSD (pfSense)、Linux (strongswan) といった複数の VPN テクノロジーが存在します。
答え3
私の理解が正しければ、自宅やオフィスの外からサーバーにリモートアクセスしたいということですね?
さらに、同時にサーバーを VPN に接続することも必要です。
まず、サーバーは少なくともファイアウォール付きのルーターの背後にありますか? それとも、インターネットに直接接続されていますか (あまり安全な方法ではありません)?
提供された情報に基づいて、ファイアウォール付きルーター (OPNsense など) の背後にサーバーを配置し、着信接続用にファイアウォール上で VPN サーバーを有効にすることをお勧めします。SSH ポートを外部に開放しないでください。
基本的に、2 つの VPN サービスを分離します。サーバーは OpenVPN を介して PIA 構成ファイルを使用して PIA に接続し、SSH を介してローカル ネットワーク上でアクセス可能であり、ファイアウォール上で実行されている VPN サーバーを介してファイアウォールに接続する場合にのみ外部からもアクセスできます。ファイアウォールを PIA に接続する必要はなく、VPN プロバイダーへのサブスクリプション費用もかかりません。サーバーに接続するクライアントに独自の VPN サービスを提供することになります。
着信接続は PIA ではなく、ISP の IP アドレスを経由します。このシナリオでは、PIA はサーバーによって発信接続にのみ使用されます。