通过openVPN/Anyconnect从企业网络外部访问实验室子网

Question

我有一个实验室子网(10.10.25.1来自外部，它的内部有172.16.2.0/24)在公司网络中，人们在办公室时可以通过openVPN访问。(他们的openVPN客户端将连接到10.10.25.1)。

当人们不在办公室的时候，我被要求让这个实验室子网更容易访问。

该办公室的前端VPN基础设施是Cisco ASA Anyconnect。

人们使用Anyconnect从外部连接到企业网络(咖啡店、家庭等)。ASA与公共ip具有公共外部接口。

但是当人们使用Anyconnect和openVPN访问实验室子网时，他们的计算机就会崩溃。我认为这是由于双NAT和计算机无法处理双VPN网络适配器。

有没有一种更容易访问这个实验室子网的方法？或者，我是否应该在公司网络中拥有VNC/RDP桌面，可以代表用户访问实验室子网？

还是在另一个具有openVPN地址的公共IP之间设置NAT更可行？

Answer 1

作为一种选择，您能让OpenVPN服务器公开吗？消除双重VPN，让人们直接连接到实验室。

Answer 2

当办公室使用Cisco Virtual (CVO)时，我也经历过类似的情况。

研发部门有自己的ASA/FW来托管一个实验室子网。

我们使用硬件vpn解决了这一问题。

发出ASA或路由器，以建立站点到站点或DMVPN与总部路由器.

然后，在硬件VPN后面连接的主机只需使用OpenVPN(在您的情况下)连接到实验室子网。从计算机的角度来看，它只有一个虚拟适配器，因为硬件VPN连接到HQ。

替代解决方案风险不大，但在公共ip和pfSense网关之间设置一个"ip“(假设Cisco路由器用于PAT)。