第9讲：通过VPN访问企业网内部服务器设计讨论 网络技术实训 第9讲：通过VPN访问企业网内部服务器设计讨论 许成刚 信息技术学院 2018.10

一、题目描述

通过VPN访问企业网内部服务器 1. 题目描述（1）： 利用GNS3和VirtualBox进行设计； 企业网内共有4个部门，每个部门有50左右台电脑接入企业网，企 业网为三层架构； 各部门电脑分别属于不同子网，即不同VLAN； 部门1和部门2之间通过三层交换机RS1通信，部门3和部门4之间 通过三层交换机RS2通信。RS1和RS2通过路由器R4通信。

通过VPN访问企业网内部服务器 1. 题目描述（2）： 企业网内部署有Web服务器，通过防火墙与边界路由器R3相连。 企业网内部署有VPN服务器，与边界路由器R3相连。 整个企业网通过边界路由器R3访问外网，其上联路由器是互联网 中的路由器R2。 企业网外部用户（即互联网用户），无法直接访问企业网内部的 Web服务器， 但可以通过路由器R2、R3，访问企业网的VPN服 务器，并通过VPN方式访问Web服务器。

通过VPN访问企业网内部服务器 1. 题目描述（3）： 部门1和部门2的用户可以访问Web服务器，但部门3和部门4的用 户不能访问Web服务器。 企业网外部用户（即互联网用户），无法访问企业网内部各部门 的计算机。企业网内部各部门的计算机可以访问外部互联网。 企业网内部各部门的计算机如何获取IP地址，由学生自行设计。 VPN服务器和Web服务器的IP地址，由学生根据题意自行设计。

企业网接入互联网及边界防火墙部署设计 2. 实训要求 根据题目描述，自主设计项目实现方案，项目实现结果需要在实验室内向任课老师进行展示。 完成本实训项目的“《网络技术实训》课程综合实训项目报告”。并打印后提交任课教师。

讨论1 OPNsense的自身特点 LAN口和WAN口的配置特点 OPNsense的路由特性 OPNsense的NAT功能

步骤1： 按下图部署网络，配置IP地址，其他配置默认，测试网络连通性 说明： 172.16.100.1/24 10.0.0.1/24 WAN LAN 172.16.100.2/24 10.0.0.2/24 说明： 1、OPNsense只配置了WAN和LAN端口的地址，其他是默认配置。 2、关闭了PC1和PC2的防火墙

步骤1：OPNsense默认配置分析 1、NAT功能并没有起作用。 没有NAT规则

步骤1：OPNsense默认配置分析 1、NAT功能并没有起作用。 此时，PC2 ping PC1是通，但在PC1上抓包，可以发现从PC2发来的数据包，并没有被NAT，因为源地址是10.0.0.2，而不是WAN口的地址172.16.100.1

2、端口规则设置中，WAN接口默认不允许来自外网私有地址的数 据包通过，LAN接口默认允许来自内网的私有地址的数据包通过。 步骤1：OPNsense默认配置分析 2、端口规则设置中，WAN接口默认不允许来自外网私有地址的数 据包通过，LAN接口默认允许来自内网的私有地址的数据包通过。 LAN接口：此处不打勾，表明LAN口允许从内网私有地址发来的报文通过 WAN接口：此处打勾，表明WAN口不允许从外部私有地址发来的报文通过

步骤1：OPNsense默认配置分析 3、防火墙规则中，WAN接口默认没有配置从外向内的规则，即不允 许从外向内访问；LAN接口默认配置了允许从内网向外网的访问规则。

步骤1：OPNsense默认配置分析 4、接口规则（interfaces）优先于防火墙规则 （rules）； 默认配置下，在WAN口增加防火墙规则，此规则会自动置于接口规则（interfaces）之下，且不可改变顺序。因此，若WAN口配置的是私有地址，则即使在WAN口增加防火墙规则，允许any to any，但由于WAN口默认不允许来自外网私有地址的数据包通过，且接口规则优先，因此此时仍然无法实现从外网向内网访问。 LAN口不是这样，因为其接口规则中，默认的是允许内网中从私有地址发来的报文通过。

图1-7-1

图1-7-2 当此处打勾时，如果外部网也用的是私有地址，则阻断从外到内的通信，即使在防火墙模块中，增加了WAN口的策略（rules），允许any to any，依然无法实现外网PC与WAN口的通信。 返回

图1-7-3 即使在防火墙模块中，增加了WAN口的策略（rules），允许any to any，依然无法实现外网PC与WAN口的通信。 返回

步骤1：OPNsense默认配置分析 5、OPNsense内置路由转发； 取消WAN口的端口规则（interfaces）中，关于来源是私有IP地址的相关限制；增加WAN口防火墙规则，允许any to any，如上图。此时： PC1 ping PC2 通 / PC2 ping PC1 通 说明Opnsense内置路由功能，可实现内、外网之间的转发，准确的讲，应该是WAN口和LAN口之间的路由转发，还需要实验证明。

步骤2：默认配置测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 抓包 抓包位置 通 图1-1 图1-2 图1-3 请求超时 PC2 LAN口 通 图1-1 2 WAN口 图1-2 3 PC1 图1-3 4 请求超时 图1-4 5 图1-5 6 图1-6

步骤1：测试连通性 序号 源主机/端口 目的主机/端口 Ping 结果 分析 通 请求超时 1 PC2 LAN口 2 WAN口 3 PC1 OPNsense只要配置好WAN和LAN端口地址，内置路由转发 4 请求超时 5 OPNsense在默认配置下，不允许从外向内的主动通信，但允许PC2访问PC1时的返回报文。（图1-7） 6

图1-1 返回

图1-2 返回

图1-3 返回

图1-4 返回

图1-5 返回

图1-6 返回

图1-7-1

图1-7-2 当此处打勾时，如果外部网也用的是私有地址，则阻断从外到内的通信，即使在防火墙模块中，增加了WAN口的策略（rules），允许any to any，依然无法实现外网PC与WAN口的通信。 返回

图1-7-3 即使在防火墙模块中，增加了WAN口的策略（rules），允许any to any，依然无法实现外网PC与WAN口的通信。 返回

讨论2 OPNsense的VPN功能 单一OPNsense连接内、外网配置分析

步骤3： 配置好VPN server 和VPN客户端，但是不启用VPN， PC1 ping PC2的抓包 WAN LAN 172.16.100.2/24 10.0.0.2/24

步骤3： 配置好VPN server 和VPN客户端，但是不启用VPN， PC1 ping PC2的抓包 返回

步骤3： 配置好VPN server 和VPN客户端，但是不启用VPN， PC1 ping PC2的抓包 抓包分析

步骤4： 启用VPN， PC1 ping PC2的抓包 抓包分析

讨论3 OPNsense的VPN功能 内、外间过路由器，OPNsense的VPN配置分析 OPNsense仅用一个接口（单臂）

步骤5： 单臂VPN 抓包分析

R1 R2 SW1 SW2 VPN PC2 PC1 f1/0 f1/1 f1/1 f1/0 61.1.1.1 10.0.0.1/24 10.0.0.2/24 192.168.1.1/24 SW1 SW2 PC2 PC1 VPN 61.1.1.10/24 61.1.1.20/24 192.168.1.254/24 192.168.1.10/24

PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C 端口 MAC地址 PC1 08-00-27-CE-88-37 PC2 08-00-27-A6-88-89 R1-f1/0 CA-08-04-90-00-1C R1-f1/1 CA-08-04-90-00-1D R2-f1/0 CA-09-1D-FC-00-1C R2-f1/1 CA-09-1D-FC-00-1D VPN-LAN 08-00-27-05-27-8E VPN-WAN 08-00-27-58-2D-8A

OPNsense设置：VPN PPTP server

OPNsense设置：VPN PPTP server

OPNsense设置：VPN PPTP server

OPNsense设置：VPN PPTP server

OPNsense设置：Firewall Rules—— WAN接口

OPNsense设置：Firewall Rules—— LAN接口

OPNsense设置：Firewall Rules—— PPTP VPN

OPNsense设置：接口设置（Interfaces）—— WAN接口设置

OPNsense设置：System-Routing—— 设置网关 Gateways 由于VPN客户端是通过路由访问到VPN服务器的，所以必须在OPNsense中设置回指路由。

OPNsense设置：System-Routing—— 设置路由 Routes 由于VPN客户端是通过路由访问到VPN服务器的，所以必须在OPNsense中设置回指路由。

讨论4 OPNsense的VPN功能 内、外间过路由器，OPNsense的VPN配置分析 OPNsense仅用一个接口（单臂）

步骤6： 单臂VPN and 不同网段 抓包分析

步骤6： 单臂VPN and 不同网段 ③ ① ② 10.0.0.1/24 10.0.0.2/24 172.16.100.1/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 ① ② 192.168.1.10/24 配置VPN VPN 61.1.1.20/24 192.168.1.254/24

步骤6： 单臂VPN and 不同网段 10.0.0.1/24 172.16.100.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN VPN 61.1.1.20/24 192.168.1.254/24

步骤6： 单臂VPN and 不同网段

步骤6： R1的配置 单臂VPN and 不同网段 R1中需要配置到达172.16.100.0/24网段的路由吗？ 10.0.0.1/24 172.16.100.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN R1的配置 VPN 61.1.1.20/24 192.168.1.254/24

步骤6： R2的配置 单臂VPN and 不同网段 172.16.100.1/24 10.0.0.1/24 10.0.0.2/24 61.1.1.1/24 192.168.1.1/24 172.16.100.10/24 192.168.1.10/24 配置VPN R2的配置 VPN 61.1.1.20/24 192.168.1.254/24

思考： VPN服务器在给客户端分配IP地址时，是分配192.168.1.0/24的地址，还是分配172.16.100.0/24的地址？ 192.168.1.200 ？ 172.16.100.200 ？

步骤6： 单臂VPN and 不同网段 OPNsense设置：VPN PPTP server

步骤6： 单臂VPN and 不同网段 OPNsense设置：VPN PPTP server

步骤6： 单臂VPN and 不同网段 VPN服务器在给客户机分配IP地址时，分配172.16.100.0/24的地址

讨论5 实训2中，外网中的网络拓扑如何设计？ 外网的IP地址如何设计？私有IP？共有IP地址？ 外网中的用户如何访问到企业网的边界路由器R3？ 外网中的路由器的路由表如何设计？

讨论6 实训2中，内网中的部门网络拓扑如何设计？ 部门网络的路由器，其路由表如何设计？ 部门网络如何接入互联网？NAT？路由？ 思考前期的实训内容

讨论7 实训2中，内网中Web服务器所在网络拓扑如何设计？ 防火墙的WAN口和LAN口如何设计？ Web服务器所在网络的IP地址如何设计

讨论8 实训2中，内网中VPN服务器所在网络拓扑如何设计？ VPN（OPNsense）的接口如何设置？ VPN所在网络的IP地址如何设计？

讨论9 实训2中，整个企业网的网络拓扑如何设计？ 企业网的边界路由器的路由表如何设计？

讨论10 实训2中，不启用VPN时： 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析

讨论11 实训2中，启用VPN时： 企业网内部的通信情况分析 互联网用户访问企业网内部设备的情况分析

讨论12 实训2中，测试方案的分析 NAT效果分析 防火墙效果分析 VPN效果分析

Thank