У нас есть настройка VPN для каждого из наших трех филиалов. Я понимаю, что каждый маршрутизатор должен находиться в подсети, отличной от подсети, к которой он подключается, но должны ли маршрутизаторы находиться в разных подсетях друг от друга?
Например:
Main Practice: 1.0/24
Branch one: 2.0/24
Branch two: 3.0/24
...etc
Это работает отлично, все туннели открыты одновременно, и одна подсеть может пинговать другую.
Я изучаю возможность изменения нашей IP-структуры (в соответствии с другим моим вопросом о SF) и задавался вопросом, могу ли я упростить добавление VPN-туннелей для новых пользователей, позволив им сохранить свою домашнюю сеть в любой подсети, которую она уже настроила, и просто настроив туннель.
Желаемый результат будет:
Main Practice: 10.1.1.0/24
Branch one: 192.168.1.0/24
Branch two: 192.168.1.0/24
...etc.
Ветви находятся в подсети, отличной от основной, будет ли это работать?
Чтобы сделать то, что вы описываете, вам придется использовать какой-то NAT, чтобы «скрыть» подсети 192.168.1.0/24 от основной практики. Вы должны назначить / 30 или что-то еще для VPN, а затем преобразовать весь трафик из филиала, чтобы использовать адрес / 30 в качестве IP-адреса источника.
Честно говоря, это напрашивается на неприятности. В конечном итоге будет намного яснее просто использовать разные диапазоны IP-адресов в каждой ветке.