如何通过VPN访问服务器后面的主机(IP转发)

Question

我有一个Ubuntu服务器(172.10.200.11)和许多带有simcard的远程终端单元，以及每个使用不同IP池的simcard操作员，比如OP的10.57.0.0/16，OP-B的10.112.0.0/16等等。

实际上，在服务器中，我使用一个路由表来访问不同IP池上的远程终端单元。如果没有这个路由表，我就无法访问IP池。例如: 10.57.0.0/16使用gw 172.10.238.1 10.112.0.0/16使用gw 172.10.238.2 10.155.0.0/16使用gw 172.10.238.3

还有..。

实际上，我正在使用"Cisco VPN客户端“从数据中心外部访问我的服务器IP。为此，我正在使用"Cisco VPN CLient“应用程序连接到VPN网关，然后尝试平压服务器的IP 172.10.200.11

在我的VPN连接建立到VPN网关之后，我可以在我的笔记本电脑上成功地完成以下工作：

• 建立远程桌面连接服务器的IP:172.10.238.3
• 建立从我的笔记本电脑到服务器IP的SSH连接:172.10.238.3
• 向服务器IP发送ICMP :172.10.238.3
• 服务器IP的跟踪:172.10.238.3

为了检查远程终端单元的连接(上或下)状态，我将通过SSH或Remote连接到服务器，然后尝试ping到远程终端单元的IP地址。

在此之前，一切都很好，但是这种方式消耗了太多的带宽，特别是在通过远程桌面连接进行连接的情况下。

1. 使用"Cisco VPN客户端“从笔记本电脑连接到VPN网关
2. 建立到服务器IP的远程桌面连接
3. 在远程桌面连接上打开服务器中的浏览器。
4. 在浏览器上输入远程终端单元(RTU)'s IP (10.155.1.22)，做你想做的事！
5. Successfullu在远程桌面上的终端屏幕或SSH连接会话中建立到RTU IP地址(10.155.1.22)的ICMP ping。

但我想做以下几点：

• 从膝上型计算机使用Cisco VPN客户端连接到VPN网关
• 打开笔记本中的浏览器
• 在浏览器上输入远程终端单元的IP (10.155.1.22)，并做您想做的事！
• 在我的笔记本电脑(不是远程桌面)的外壳/终端屏幕上成功地建立到RTU IP地址的ICMP ping (10.155.1.22)

Restrictions:

• 实际上，我无权更改VPN网关设置。但我只能更改服务器设置来实现这一点。

有办法这样做吗？我知道它的存在，但我的头脑困惑。首先，我安装了Hamachi，但是这样可以让我不需要VPN连接就可以访问服务器。但是我还是不能直接从我的笔记本电脑上切换到RTU IP。它并没有解决我的问题。

在技术上，我想使用我的服务器充当一个“路由器”来路由/转发从我的笔记本电脑(ICMP & IP数据包)传入的请求到RTU的IP。

我研究过如何在Ubuntu16.04上启用IP伪装或IP转发。如果我是对的-技术上-它需要两个NIC或两个不同的IP在机器上。但是我的服务器上只有一个IP (绑定)。

我需要从我的笔记本电脑直接到达RTU IP地址，我的服务器应该充当路由器/网关等来实现这一点。

有没有人能一步一步地向我解释如何在Ubuntu上做这件事？

单击此处查看我的系统关系图。

Answer 1

您需要将10.57.0.0/16等网络的路由添加到您的VPN客户端，以便通过服务器IP路由。您应该能够在VPN服务器设置中添加路由。我不知道如何在Cisco VPN服务器中添加它们的详细信息。

Answer 2

首先，回答您的问题:您需要向您的膝上型计算机添加一条路由，说到OP网络的流量必须发送到VPN服务器，后者会将其路由到适当的网关。

当您的膝上型计算机建立VPN连接时，必须添加如下路由：

- route add 10.57.0.0 mask 255.255.0.0 gw <YOUR_VPN>
- route add 10.112.0.0 mask 255.255.0.0 gw <YOUR_VPN>

中间的其他入口也是一样。

同样，中间的每个网关都必须有一条将VPN IP范围指向VPN服务器的路由。简而言之，网络中的每个网关和节点都需要有一个路由表，能够将内部数据包路由到适当的节点或网关。

此外，如果您只想监视节点的正常运行时间，我建议您使用Icinga2，这样您就可以让服务器向每个节点发送健康检查，并在有人不负责任的情况下得到通知。