当VPN客户端连接到虚拟专用网路由器(如VyOS )时，他们是如何获得IP地址的？(虚拟IP地址池是如何适应的？)

Question

我想知道VPN远程客户端在连接到嵌入在StrongSWAN路由器中的OpenVPN或VyOS VPN服务器时如何在远程网络上获得私有IP地址的详细细节，以及虚拟IP地址池在此过程中的应用情况。

在过去，我只是假设内置在路由器中的VPN服务器建立了一个虚拟隧道出口点，作为远程客户端连接到远程网络的入口点，并将远程客户端指向存在于远程LAN上的DHCP服务器，但后来我开始注意到，有几个VPN解决方案提到了一个叫做虚拟IP地址池(VIPAP)的东西，这让我怀疑是否还有比我之前想的更多的事情发生。

• “重要人物”究竟是什么?它们为什么存在？它们有什么用途？
• “贵宾”是否与DHCP分离？(它也有一个预留地址池)
• 是否基于DHCP池范围动态生成“VIPAP”？
• 如果“VIPAP”静态地设置了范围，它们应该完全重叠DHCP范围，还是应该是DHCP池范围之外的预留空间的一部分？

<#>以下是我目前的理解：

我认为，在过去，您使用广域网-> Basic防火墙/路由器，并建立与VPN连接相关的端口转发到局域网上的VPN服务器。例如OpenVPN服务器或StrongSWAN VPN服务器。现在，在OpenVPN防火墙上存在一个小型StrongSWAN服务器，在VyOS路由器上存在一个小型StrongSWAN VPN服务器(如果将这些服务器放在边缘，则不需要转发端口)。

strongswan.org提到了一些关于虚拟IP地址池的内容。让我们假设我们有一个1以太网端口计算机作为一个StrongSWAN虚拟专用网服务器。我的理解是，默认情况下，端口转发(或DMZ)将WAN IP映射到膝上型计算机的私有IP，因此在防火墙/NAT的路由器后面可以从互联网访问。默认情况下，服务器的以太网端口有一个私有IP地址10.0.0.100，以及一个带有IP地址的虚拟网络适配器隧道接口，该接口仅用于通过虚拟隧道进行路由。然后，每当远程客户端连接到VPN服务器时，VPN服务器就会将一个虚拟IP地址附加到它的以太网端口，以太端口表示客户端。

它是如何为客户端获取虚拟IP地址的，这一点让我感到困惑。

通常，当我将一台新计算机附加到我的网络上时，它会从DHCP的DORA进程获得一个IP，该进程发生在第二层，它从DORA进程的O阶段获得DNS和子网信息。VPN客户端将在第三层进入网络，而在远程网络上没有第二层存在，因此不能使用在第二层运行的DHCP。

当客户端连接到VPN服务器时，VPN服务器在VPN服务器上建立虚拟网络接口，使客户端在远程网络上处于第二层，而VPN服务器代表远程客户端通过代理启动DHCP DORA进程，然后远程网络上的DHCP服务器向存在于VPN服务器上的虚拟网络接口分配带有DNS信息的IP地址，而这个虚拟网络接口代表远程客户端？(不是说它是那样工作的，只是说我试图想象它是如何工作的。)

But，如果是那么简单，那么为什么会有一个叫做虚拟IP地址池的东西呢？还是我把我的概念搞混了，而重要人物和远程DHCP解析没有任何关系？

Answer 1

DHCP需要一个不存在于VPN客户端的链路层。通常，使用路由VPN连接，使用VIPAP池代替不存在的DHCP池。

通过桥接VPN连接，VPN客户端使用与VPN服务器相同的子网中的地址。但是，桥接器功能不全，DHCP无法工作--服务器使用代理ARP将帧路由到隧道中。

对于一个干净的设置，DHCP和VIPAP不应该重叠。我想已经使用过的IP地址不会被重复使用，但我不会依赖于此。此外，除非桥接是绝对必要的，否则您应该始终使用带有专用子网的路由VPN。

对于客户，DHCP和VIPAP之间没有差异。至少，Windows点击接口声称它有一个OpenVPN地址。

Answer 2

当VPN客户端连接到虚拟专用网路由器(如VyOS )时，他们是如何获得IP地址的？(虚拟IP地址池是如何适应的？)

答案是，这完全取决于所使用的VPN技术：

• 站点到站点-GRE/IPSec/DMVPN/基于VTI的VPN技术：您可以拥有一个本地和远程路由器，每个路由器都有两个物理路由端口。-(一个物理端口到Internet )-(一个物理端口指向核心局域网交换机)在每个路由器上创建-A virtualTunnel接口(一个支持多播/路由协议)

本地局域网上的DHCP客户端192.168.1.100保持相同的IP，不需要任何特殊的软件、配置或虚拟IP地址池，它们只是在远程局域网上ping 192.168.2.100。他们的本地路由器在它的路由表中有一条到远程局域网的路由，所以它在隧道上转发流量。(它这样做是为了绕过NAT和NAT的防火墙效应。)(它的工作方式就好像路由器的2个WAN端口是由一个以太网电缆连接的一样。) Pro:客户端不需要配置。Con:本地局域网上的PC只有在连接到本地路由器时才能在远程局域网上ping PC，如果它们连接到另一个网络，如其电话上的热点，则无法将远程LAN平分。(因为他们的手机网关没有一条通往远程局域网的路由。)

• 远程访问VPN OpenVPN /SSL/基于TLS的VPN技术：客户端PC将安装VPN客户端软件，该软件将安装虚拟网络适配器，该适配器将配置为与远程OpenVPN路由器形成连接。这个虚拟网络适配器不会从本地DHCP服务器获得IP地址，也不会从远程DHCP服务器获得IP地址，相反，它将从为VPN客户端保留的池中获得一个虚拟IP地址(VIP)，并且需要配置这个池来提供DNS信息(通常您会从DHCP服务器获得DNS信息)。因此，最终发生的是客户端PC具有：-A物理接口，与本地局域网上的IP地址与他们的本地DNS。-A虚拟接口与远程局域网上存在的VIP地址，该地址配置了远程池所配置的任何DNS。-The能够通过本地私有ip、远程私有ip、本地DNS解析和远程DNS解析来平平本地服务器和远程服务器。Pro:无论客户端连接到哪个网络，它都能工作。Con:需要安装软件并在客户端上进行配置。