У меня есть лабораторная подсеть (10.10.25.1 снаружи, а внутри - 172.16.2.0/24) в корпоративной сети, доступной через openVPN, когда люди находятся в офисе. (Их клиент openVPN подключается к 10.10.25.1).
Меня просят сделать эту лабораторную подсеть более доступной, когда люди находятся вне офиса.
Инфраструктура внешней VPN для офиса - это Cisco ASA Anyconnect.
Люди используют Anyconnect для подключения к корпоративной сети извне (кафе, дома и т. Д.). ASA имеет публичный внешний интерфейс с публичным IP.
Но когда люди используют Anyconnect, а затем поверх него openVPN для доступа к лабораторной подсети, их компьютеры дают сбой. Я предполагаю, что это из-за двойного NAT и компьютер не может обрабатывать двойные сетевые адаптеры VPN.
Есть ли способ сделать эту лабораторную подсеть более доступной? Или я должен иметь рабочие столы VNC / RDP в корпоративной сети, которые могут получить доступ к лабораторной подсети от имени пользователей?
Или установка NAT между другим публичным IP-адресом с адресом openVPN более жизнеспособна?
У меня была аналогичная ситуация, когда в офисе использовался виртуальный офис Cisco (CVO).
У отдела исследований и разработок был собственный ASA / FW для размещения лабораторной подсети.
Решили проблему с помощью аппаратного vpn.
Выпустите ASA или маршрутизатор для создания соединения типа «сеть-сеть» или DMVPN с маршрутизатором HQ.
Затем узлы, подключающиеся за аппаратной VPN, должны использовать OpenVPN (в вашем случае) только для подключения к лабораторной подсети. Со стороны компьютера у него есть только один виртуальный адаптер, потому что аппаратная VPN подключается к HQ.
Альтернативное решение немного рискованно, но установите «ip nat» (при условии, что маршрутизатор Cisco для PAT) между общедоступным IP-адресом и шлюзом pfSense.
В качестве альтернативы, можете ли вы сделать сервер OpenVPN общедоступным? Избавьтесь от двойных виртуальных частных сетей, и пусть люди будут напрямую подключаться к лаборатории.