Exposer une machine sur l'autre côté d'un VPN

Nous utilisons un VPN pour connecter un bureau distant à notre bureau principal, et une machine dans le bureau distant doit exposer le port 22 à l'extérieur de l'Internet.

Complications:

  • Le bureau principal a une adresse IP fixe.
  • Le bureau distant possède une adresse IP flottante.
  • Le bureau distant se trouve derrière un routeur que nous ne contrôlons pas.
  • Tout le trafic provenant des bureaux à distance doit passer par VPN du bureau principal.

Le bureau principal et le bureau à distance possèdent les routeurs série DrayTek Vigor2925, avec le dernier firmware. Le routeur immédiatement en amont du Draytek du bureau distant est une boîte noire bon marché, sans capacité DDNS ou VPN, ou tout ce qui semble utile.

Les choses qui fonctionnent:

  • Nous avons pu connecter le bureau distant à notre réseau avec un VPN d'access à distance. Lorsque c'est le cas, nous pouvons nous connecter à la machine cible depuis le bureau principal.
  • Nous pouvons transmettre des connections à l'adresse IP fixe à une machine dans le bureau principal, en utilisant les parameters de transfert de port du routeur.
  • Nous pouvons passer de l'adresse IP fixe à une machine dans le bureau distant.

À mon avis, à partir de la documentation de DrayTek et ailleurs, le NAT est incompatible avec le tunneling IPSec, en particulier l'en-tête d'authentification, mais il devrait être possible d'établir un VPN à l'aide de l'encapsulation L2TP et IPSec, si les deux périphériques prennent en charge NAT-T, que les routeurs réclament pour soutenir .

Ainsi: Nous avons configuré le bureau distant pour composer, en utilisant "L2TP avec IPsec Policy", désactivé l'en-tête d'authentification, configurez le routeur principal du bureau pour transférer les ports vers la machine cible et utilisé l'interface telnet pour vérifier que vpn -passthrough a été désactivé, et nous ne sums toujours pas en mesure de nous connecter.

Alternativement, nous pourrions utiliser une solution DNS dynamic, si l'on pouvait lire l'adresse IP flottante du bureau distant. Cependant, nous ne contrôlons pas le routeur en amont du bureau distant et nous transmettons tout le trafic via le VPN du bureau: Toutes les machines du bureau distant pensent que leur adresse IP publique est l'adresse fixe appartenant au bureau principal .

Nous sums presque au point d'acheter un Raspberry Pi pour twigr sur le routeur en amont, et l'utiliser pour exécuter un travail cron qui wget s icanhazip.com.

Donc … y at-il une étape dans ma configuration de routeur? Ou existe-t-il un moyen less coûteux de lire l'adresse IP à l'intérieur d'un VPN?

One Solution collect form web for “Exposer une machine sur l'autre côté d'un VPN”

Tout le trafic provenant du bureau distant passe-t-il par le VPN, par exemple, le vpn est-il la passerelle par défaut? Sinon, vous devrez peut-être SNAT toutes les connections par internet allant au port 22 sur la machine distante. Sinon, les connections returnnent par votre connection Internet au bureau distant.

Une autre possibilité est de faire un transfert de port distant via SSH, en faisant ssh -R 22:127.0.0.1:22 <main gateway> par exemple.

  • Connectez-vous à VPN dans Windows 10
  • est-il possible de configurer le vpn site-to-site avec deux CISCO881-K9
  • iptables pour bloquer le trafic VPN sinon à travers tun0
  • Mon server est hors ligne lorsque je démarre mon service OpenVPN
  • Configuration d'un VPN sur Windows 2008 R2, puis-je utiliser PPTP ou SSTP?
  • Impossible d'accéder au lecteur partagé lors de la connexion via VPN
  • Configuration de Sonicwall Load Balancing
  • Traçage VPN du site au site VPN
  • Comment configurer le server VPN L2TP IPsec sur Windows Server 2008 R2?
  • Impossible d'accéder à L2L VPN à partir du client RA VPN connecté sur Cisco ASA 5510
  • Est-ce que les controllers de domaine Windows diffusent quelque chose sur un server distant connecté via VPN?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.