Я настраиваю офисный VPN, чтобы люди могли работать из дома, подключив свои офисные машины к VPN-серверу, который основан на офисной локальной сети. Это не будет так просто, как создать VPN-сервер в офисе и подключить каждое устройство напрямую к нему изнутри и извне. Внешне нормально, внутренне нет (это просто непрактично)
Я попытаюсь проложить визуальный маршрут: -
(homepc)<encrypt>internet(office routerF/W)lan(vpn server)<decrypt>lan(officepc)
Это файл конфигурации сервера для openvpn:
local 192.168.0.2
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-to-client
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
explicit-exit-notify
Я чувствую, что мне нужно где-то добавить маршрутизацию, но я не уверен. Будем очень признательны за любые указатели на дополнительную информацию или некоторую помощь.
Я, вероятно, должен добавить, что для офисных машин не важно устанавливать соединения в обратном направлении, то есть людям на работе не обязательно иметь возможность подключаться к своим домашним машинам с помощью rdp. Я предполагаю, что со стороны офиса это будет выглядеть так, как будто весь трафик rdp идет с одной машины: сервера vpn, основанного на локальной сети.
Мне не хватало одной строки: -
push "route 192.168.0.0 255.255.255.0"
Дополнительная информация: -
Я почти уверен, что мне придется изменить подсеть на стороне сервера с 192.168.0.0 к 192.168.123.0 или что-то случайное, поскольку люди, скорее всего, настроят первое по умолчанию на своем домашнем маршрутизаторе, что может вызвать конфликты IP. Но это не проблема.
Это документация, которую я искал: https://openvpn.net/community-resources/expanding-the-scope-of-the-vpn-to-include-additional-machines-on-either-the-client-or-server-subnet/
Мне не пришлось «настраивать маршрут на шлюзе локальной сети на стороне сервера», так как меня не заботит трафик, устанавливающий соединения в обратном направлении. Думаю. В любом случае не уверен, как это сделать на маршрутизаторе, поставляемом нашим интернет-провайдером, и это удачно.