У меня есть серверы, к которым я хочу контролировать доступ. У меня есть брандмауэр, на котором между ними и общедоступным Интернетом запущен pfSense, но все машины имеют общедоступные IP-адреса.
Удаленный клиент может находиться или не находиться в той же подсети, что и серверы и брандмауэр. Я хочу разрешить удаленному клиенту полный доступ к серверам за брандмауэром на основе аутентификации.
я верить лучший способ сделать это - через VPN.
Обратите внимание, что обычно, когда люди ссылаются на VPN, соединяющую одну и ту же подсеть, они имеют в виду две машины с одинаковыми диапазонами частных IP-адресов. Это очень отличается от того, что я описываю. Я просто хочу туннелировать трафик для подсети через VPN, чтобы обойти брандмауэр.
Как лучше всего это сделать? Если вы предлагаете OpenVPN, настройте или нажмите?
Спасибо!
Я удивлен, что никто не ответил на этот вопрос, но я укушу.
Вы правы, говоря, что VPN часто используется для туннелирования соединений между двумя не маршрутизируемыми (RFC 1918) сети через общедоступный Интернет, но это не единственное его применение. Подсказка в названии - виртуальная частная сеть. Каждый раз, когда вы хотите соединить две или более сетей (где сеть представляет собой один или несколько хостов) через общедоступный Интернет, частным образом (то есть без того, чтобы какое-либо из промежуточных устройств маршрутизации могло видеть или мешать трафику), VPN подходит для работы.
Так что да, я думаю, что OpenVPN подойдет вам здесь очень хорошо, и тот факт, что один конец туннеля представляет собой единственный хост, не является проблемой. У меня нет каких-либо подробных знаний о TUN и TAP, хотя я считаю, что в ситуации с маршрутизацией TUN обычно более уместен.
Вы также можете использовать станнель, или VPN на основе ssh (это всего лишь один учебник, который я нашел с помощью Google, я не могу особенно его рекомендовать) или (если вам нужен максимальный авторитет, а также самая большая головная боль, которую вы можете вспомнить) полномасштабный IPSec.
Все они подходят для безопасного подключения одной конечной точки с одним общедоступным IP-адресом к другой конечной точке с одним общедоступным IP-адресом через общедоступный Интернет.