У нас есть настройка VPN для каждого из трех филиалов. Я понимаю, что каждый маршрутизатор должен находиться в другой подсети, чем маршрутизатор, к которому он подключается, но должны ли маршрутизаторы находиться в другой подсети?
В качестве примера:
Main Practice: 1.0/24
Branch one: 2.0/24
Branch two: 3.0/24
...etc
Это работает отлично, все туннели открыты одновременно, и одна подсеть может пинговать другую.
Я рассматриваю возможность изменения нашей структуры IP (согласно другому моему вопросу на SF) и задался вопросом, можно ли упростить добавление VPN-туннелей для новых пользователей, разрешив им сохранять свою домашнюю сеть в той подсети, в которой она уже настроена, и просто настроив туннель.
Желаемый результат будет следующим:
Main Practice: 10.1.1.0/24
Branch one: 192.168.1.0/24
Branch two: 192.168.1.0/24
...etc.
Филиалы находятся в другой подсети, нежели основная практика. Будет ли это работать?
решение1
Чтобы сделать то, что вы описываете, вам придется использовать какой-то NAT, чтобы "скрыть" подсети 192.168.1.0/24 от основной практики. Вы бы назначили /30 или что-то в этом роде для VPN, а затем NAT для всего трафика из филиала, чтобы использовать адрес на /30 в качестве исходного IP.
Честно говоря, это напрашивается на неприятности. В долгосрочной перспективе будет намного понятнее просто использовать разные диапазоны IP-адресов в каждом филиале.