У меня есть вопрос о VPN: как это работает, если нужно получить доступ к удаленной частной сети со своей собственной частной сети? Например, у вас есть топология:
ПК1-----SW1-----R1 R2------Домашний ПК1
ПК1 имеет частной IP-адрес, а R1 имеет публичный IP на внешнем интерфейсе. То же самое и для домашнего пользователя и его шлюза по умолчанию. Также предполагается, что обе сети используют NAT.
Я знаю, что по интернету нельзя получить доступ к частным IP, но с помощью VPN как я могу подключиться к SW1 (SVI) или к внутреннему приватному IP-адресу R1?
Допустим, мне нужно провести диагностику для пользователя на работе, но я также работаю из дома. Как я могу получить доступ к частной сети компании?
Хорошо, вам нужно разобраться в различиях между IPSec site-to-site и VPN для удаленного доступа.
Для удаленного доступа есть тоннель между публичным IP вашего домашнего ПК (в вашем случае домашний маршрутизатор) и публичным IP R1.
Для VPN для удаленного доступа потребуется клиент на домашнем ПК. Он устанавливает тоннель (в наши дни почти всегда SSL-тоннель) и получает назначение приватного IP-адреса от VPN-сервера. Этот приватный IP принадлежит диапазону, который может быть маршрутизирован в другие локальные сети вашего R1.
Обратите внимание, что хотя можно настроить маршрутизатор Cisco как SSL-конечную точку, это редко делается. Обычно VPN-конечная точка — это брандмауэр.
Итак, если я правильно понимаю, я должен скачать клиент VPN для удаленного доступа, например AnyConnect или OpenVPN, правильно? Затем VPN-конечная точка (брандмауэр) выдаст мне приватный IP-адрес из диапазона приватных подсетей компании.
Да, примерно так. Есть более тонкие настройки, как можно настроить пул VPN, но для общего понимания этого должно хватить.
Редактирование: с RPC вы можете настроить, какой трафик должен маршрутизироваться через туннель (по сути, определить интересующий трафик для IPSec VPN). Большинство компаний не хотят, чтобы ваш обычный интернет-трафик шел через туннель и брандмауэр, поэтому этот трафик маршрутизируется через вашу домашнюю сеть (split tunnel). Только ресурсы, которые нужно получить в LAN компании, маршрутизируются через туннель.