Subnetting přes více VPN, napříč lokalitami se stejnou sítí

Ahoj! Hledám správný směr. Připravil jsem diagram, ke kterému se můžete dostat zde: https://imgur.com/a/3LTIPUe

Mám několik měřicích zařízení na několika různých místech. Každé místo má stejnou topologii:

• jeden router s místní IP 10.10.100.1 (LTE aktivováno)
• 2 měřicí zařízení s místními IP 10.10.100.2 a 10.10.100.3

Nemohu změnit místní IP (oranžové v diagramu) na žádném z těchto tří zařízení, protože již jsou používány jinými systémy. Veškeré další IP nebo nastavení routerů nebo cloudového routeru pfsense je pod mou kontrolou a může být změněno.

Teď mám OpenVpn server na cloudové VM pfsense a vše je nastavené a již připojené přes internet, takže mohu přistoupit ke každému routeru na jiné adrese v rozsahu 10.30.0.0/24 z této VM. Tento VPN je znázorněn v diagramu modrou barvou. Nebyl jsem zatím nastaven žádný NAT nebo přesměrování, aby bylo možné přímo přistupovat ke každému měřicímu zařízení, a momentálně mohu přistupovat pouze k rozhraní routerů.

Teď chce můj klient připojit server (vpravo v diagramu) přes VPN zařízení, aby mohl kontaktovat všechna měřicí zařízení a tak mu byla přidělena IPSec tunel pro připojení mé cloudové VM pfsense. Přidělili mi rozsah adres 172.27.225.128/26 a předstírají, že každému měřicímu zařízení přiřadím adresu v tomto rozsahu (a mé cloudové VM pfsense samozřejmě) pro přímý kontakt s nimi. Tento IPSec tunel je znázorněn v diagramu zelenou barvou.

Chápu, že rozdělení rozsahu adres, který mi přidělil klient, se nazývá subnetting a že musím nastavit nějaké směrovací pravidlo na mém pfsense routeru, aby každý (menší) subnet směřoval ke správnému routeru pomocí VPN adresy tohoto routeru na mé soukromé VPN. Ale jsem trochu zmatený, jaké procesy musím provést na každém místním routeru a na mém cloudovém pfsense routeru. Bohužel znám jen velmi základní síťové koncepty a možná někdo s více zkušenostmi mi poradí.

Moje konkrétní otázky jsou:

Jaká je metoda, která by mohla splnit úkol? Například NAT, IP Alias, SNAT, DNAT nebo jejich kombinace.

Co musím udělat na mém cloudovém pfsense routeru, abych “propojil” jak zelenou VPN, tak modrou?

Jaká pravidla bych musel nastavit, aby můj klient mohl dotazovat IP v zeleném rozsahu a aby to procházelo všemi zařízeními, a nakonec dosáhlo všech měřicích zařízení a zpět?

Nepotřebuji, aby si měřicí zařízení nebo místní routery navzájem komunikovaly. Potřebuji pouze komunikaci mezi mým klientem a každým měřicím zařízením pomocí daných adres (zelené).

Děkuji předem všem!

Existují určitě technická řešení, ale pravděpodobně je třeba se na to trochu podívat zpět a zhodnotit “jen proto, že to můžete, neznamená, že byste měli” komponentu.

Nepřístup k tomu nyní znamená, že si připravujete budoucí bolesti hlavy, problémy s škálovatelností atd.

Poradil bych se vyhnout povolení špatných návrhových řešení a vyřešit to dříve, než to půjde dále.

Ahoj, i když říkáš, že nemůžeš změnit IP adresy na vzdálených místech, myslím, že nejjednodušším a nejčistším způsobem je dostat všechna vzdálená místa do funkčního stavu s různými subnets. Když toho dosáhneš, je to poměrně základní úkol. Měl bys být schopen dosáhnout na všechny vzdálené lokální sítě přes VPN z tvého pfsense. Od té doby je třeba vytvořit DNAT pravidla takto:
pokud je od xxx klientské sítě na 172.27.225.130 přeložit cílovou adresu na novou interní IP měřicího zařízení. Myslím, že si ušetříš starosti, pokud přestavíš síť na vzdálených místech.

Čím déle čekáš s řešením prvotních síťových problémů, tím víc problémů vzniká a tím je to těžší opravit, když se rozhodneš/je potřeba to opravit.

Nicméně, ano, všechno to můžeš udělat pomocí 1:1 NAT pravidel. Myslím, že tvé firewally se o směrování postarají podle toho, jak to uděláš, ale můžeš také prostě ručně definovat směrovací pravidla. Použij úplně oddělené, nepoužívané subnets v tunelech. Některé firewally dávají možnost toto při vytváření tunelu, jiné musíš definovat NAT pravidla sám.

Mohu to vysvětlit, ale jsou spousty článků a videí, které to udělají lépe než já. Stačí hledat na Google “IPSec tunel overlapping subnets NAT” a najdeš milion vysvětlení.

Nebo použij ip6.

Pro řešení problému s již používanými IP adresami v oranžové barvě můžeš nastavit místní NAT, takže oranžová adresa bude přeposílat na skutečnou unikátní IP měřicího zařízení. To ti umožní jednoduše změnit jejich IP bez větších problémů s ostatními systémy.

Chápu. Možná budu schopen dostatečně tlačit na změnu některých nastavení na vzdálených místech. Pokud to dokážu, co bys řekl na lepší topologii nebo co by se dalo změnit, aby byl návrh lepší?

Nepoužíval bych to na síti takové velikosti, ale je to možnost.