Frohes neues Jahr. Ich arbeite an der Einrichtung dieses Netzwerks wie folgt:
Ein AWS EC2 VPN-Server (SoftEther) mit der Internet-IP-Adresse 175.41.157.xxx, auf den ein Client über das Internet zugreifen kann. Nachdem sich der Benutzer beim VPN-Server angemeldet hat, wird ihm eine IP im Bereich von 192.168.10.2 - 192.168.10.253 /24 zugewiesen; DNS: 172.31.20.10. Beispiel: 192.168.10.2
Das Standard-Gateway ist 192.168.10.1; der Server hat eine weitere Schnittstelle, die eine Verbindung zum internen Netzwerk 172.31.20.0/24 herstellt, die Schnittstelle hat eine IP von: 172.31.20.5
Innerhalb des besagten Netzwerks von 172.31.20.0/24 befindet sich ein DNS-Server (172.31.20.10), der für die Filterung eingerichtet wurde.
Das Problem besteht darin, dass alle Abfragen an den DNS-Server über die Schnittstellen-IP 172.31.20.5 (die Schnittstelle des VPN-Servers zum internen Netzwerk) erfolgen.
Gibt es eine Möglichkeit, den VPN-Server so zu konfigurieren, dass er mit der Client-IP 192.168.10.2 auf den DNS-Server 172.31.20.10 zugreift?
Das kann jede VPN-Serversoftware.
Vielen Dank.
Antwort1
Ja, das ist möglich.
Erstens ist nicht klar, warum Sie das möchten. Das klingt, als ob eine „XY-Problem“-Situation vorliegen könnte. Das heißt, Sie haben etwas Wünschenswertes im Sinn (vielleicht um ein bestimmtes Problem zu vermeiden) und Sie haben eine Lösung im Sinn und fragen nach dieser Lösung. Ich vermute jedoch, dass es einen einfacheren Weg geben könnte, das eigentliche Ziel zu erreichen, das Sie im Sinn haben. Sie möchten beispielsweise möglicherweise ändern, wie Ihr DNS-Server auf bestimmte Arten von Anfragen reagiert. Es könnte einfacher sein, den DNS-Server eine Adresse verwenden zu lassen, die mit 192.168.10 beginnt (zusätzlich zu 172.31.20.10), möglicherweise unter Verwendung einer Art „Split Horizon“-Einstellungen.
Wie auch immer, zu Ihrer Frage:
Normalerweise können Sie der Netzwerkschnittstelle eines Computers mehrere IPv4-Adressen zuweisen. So können Sie den „VPN-Server“ die Adresse 192.168.10.2 verwenden lassen.
Abhängig von der Intelligenz Ihres Computers müssen Sie die Einstellungen des VPN-Softwaredienstes möglicherweise manuell anpassen, sodass dieser 192.168.10.2 nicht als Adresse betrachtet, die er möglicherweise zur Weitergabe an einen Client verwendet.
Dann verstößt es gegen kein Softwareprotokoll, wenn die VPN-Software ein TCP-Paket sendet, das vorgibt, von 192.168.10.2 zu kommen.
Der Computer, der als VPN-Server fungiert, ist jedoch möglicherweise nicht geneigt, 192.168.10.2 als Quelladresse zu verwenden, wenn er plant, Datenverkehr über die Netzwerkschnittstelle mit der Adresse 172.31.20.5 zu senden. Während das IP-Protokoll und die allgemeinen Routing-Regeln auf anderen Geräten keine Probleme bereiten sollten, müssen Sie den lokalen Computer davon überzeugen, dies zu tun.
Wie Sie das tun, hängt von der Software ab (z. B. einschließlich des TCP/IP-Stacks, also davon, welches Betriebssystem auf dem VPN-Server-Computer ausgeführt wird). Dies ist möglicherweise nicht einfach (oder wird nicht umfassend unterstützt), aber wenn die Software eine solche Option bietet, könnte dies wahrscheinlich problemlos funktionieren.