Назад | Перейти на главную страницу

Доступ к лабораторной подсети из-за пределов корпоративной сети через openVPN / Anyconnect

У меня есть лабораторная подсеть (10.10.25.1 снаружи, а внутри - 172.16.2.0/24) в корпоративной сети, доступной через openVPN, когда люди находятся в офисе. (Их клиент openVPN подключается к 10.10.25.1).

Меня просят сделать эту лабораторную подсеть более доступной, когда люди находятся вне офиса.

Инфраструктура внешней VPN для офиса - это Cisco ASA Anyconnect.

Люди используют Anyconnect для подключения к корпоративной сети извне (кафе, дома и т. Д.). ASA имеет публичный внешний интерфейс с публичным IP.

Но когда люди используют Anyconnect, а затем поверх него openVPN для доступа к лабораторной подсети, их компьютеры дают сбой. Я предполагаю, что это из-за двойного NAT и компьютер не может обрабатывать двойные сетевые адаптеры VPN.

Есть ли способ сделать эту лабораторную подсеть более доступной? Или я должен иметь рабочие столы VNC / RDP в корпоративной сети, которые могут получить доступ к лабораторной подсети от имени пользователей?

Или установка NAT между другим публичным IP-адресом с адресом openVPN более жизнеспособна?

У меня была аналогичная ситуация, когда в офисе использовался виртуальный офис Cisco (CVO).

У отдела исследований и разработок был собственный ASA / FW для размещения лабораторной подсети.

Решили проблему с помощью аппаратного vpn.

Выпустите ASA или маршрутизатор для создания соединения типа «сеть-сеть» или DMVPN с маршрутизатором HQ.

Затем узлы, подключающиеся за аппаратной VPN, должны использовать OpenVPN (в вашем случае) только для подключения к лабораторной подсети. Со стороны компьютера у него есть только один виртуальный адаптер, потому что аппаратная VPN подключается к HQ.

Альтернативное решение немного рискованно, но установите «ip nat» (при условии, что маршрутизатор Cisco для PAT) между общедоступным IP-адресом и шлюзом pfSense.

В качестве альтернативы, можете ли вы сделать сервер OpenVPN общедоступным? Избавьтесь от двойных виртуальных частных сетей, и пусть люди будут напрямую подключаться к лаборатории.