VPN端口转发实现无公网IP内网的外网访问

最新推荐文章于 2024-05-14 10:51:33 发布
最新推荐文章于 2024-05-14 10:51:33 发布
阅读量2.5k 收藏 8
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25148525/article/details/134425085
版权

   这是一种偏向物联网解决方案的应用场景。 

  一、何为无公网IP内网

  “无公网IP的内网”——现在IPV4资源已近枯竭,v6 的支持还有并不广泛。因此导致了这种接入互联网的无外网IP的网络的增多。

  对应这种情况一个通俗易懂的场景就是,你去找电信运营商申请了一根宽带。运营商会给你一个路由器及账号密码,拨号上网。成功拨号连接互利网后,你的路由器会获取到一个IP地址,这里就分支出了几种情况。

  “固定公网IP”——分配给你的IP是公网IP同时是固定不变的,你的线路上级没有NAT网络设备。网络上的其他计算机都可以随时通过这个固定IP直接访问到你的路由器。这种情况天然就能够被外网计算机访问到,不需要讨论。固定IP通常是要付费购买的,价格不菲。

  “不固定的公网IP”——分配给你的IP不是固定的,每次可能会变化,但这仍然是一个公网IP。这在之前算是一般情况,这种情况相对好解决。网络上的计算机仍然是可以通过IP访问到你, 只是你的IP不固定。所以需要想一个方法来,解决你这个IP变化的问题。于是可以用一个固定域名指向这个IP,当这个IP发生变化时,通知修改这个域名指向的IP。这样就可以使得其他计算机,使用固定的域名,动态的域名解析访问到你的设备啦。 这个只是修改一个域名指向,利用的都是网络基础设施机制,没有什么成本。费用低。

  “非公网IP”——分配给你的IP并不是公网IP,这时候是否固定已经不重要了。 此时分配给你的IP,网络上的计算机是无法直接访问的。你的线路上级存在一个NAT设备,你可以理解为你的出口路由器,是位于一个大局域网中,而不是直接接入互利网。就像你在公司的网络接口上,接上了一个路由器一样。这个路由器取得的IP地址是内网地址。路由器下面的设备是无法通过这个路由器上配置NAT被外网访问到的。而上级的路由器设备并不归你管理,不会为你配置NAT转发。

  随着IPv4地址紧张,现在很多宽带运营商提供的宽带,已经都属于“非公网IP”这种情况了。这种情况也是我们这里着重要讨论的。

  二、需求场景

  我们的业务会在很多不特定的场地部署一些终端设备。比较简单的设备如摄像头+网络录像机这种。于是就有了远程访问控制这些摄像头及网络录像机的需求。而随着IP的紧张,这些场所宽带接入所获得的IP已经不是公网IP了。那么,如何外网远程主动的访问这些设备就成为了一个需要解决的问题。

  这里的外网是有限制的, 是任意的接入互联网的手机,电脑,小程序,可以直接访问,而不是通过将监控点和用户端设备都拨入VPN实现互访。因为用户众多且设备随机,无法为每个用户提供VPN连接通道。

  可能得选择之一,是使用商业产品如花生壳(内网穿透版本),注意区别于动态域名,内网穿透版本因为是有流量中转成本的,成本较高,收费也不低,通常在1千多一年。如果场地数较多,则较为昂贵。 

  另外一个方案就是本文介绍的,自建VPN端口转发的方式。如果你的公司总部有一个固定的IP地址,有一个功能较为丰富的VPN设备(防火墙/路由器)支持VPN服务器,一定的带宽冗余,那么就可以自行DIY,无需使用昂贵的商业产品。 

  三、VPN转发拓扑

  

   从用户角度看用户请求的路由过程。用户向 1.2.4.5:8888 发送数据时。

  1. 数据首先通过互联网到达,具有公共IP的公司VPN服务器网络设备, 1.2.4.5:8888 。

  2. 因为在公司网络设备上配置了端口转发将到达8888 端口的数据转发到 192.168.4.1:9999。 192.168.4.1 对应于,VPN客户端路由器建立VPN连接后取得的VPN地址。

  3. 用于VPN客户端与VPN服务器间,建立了长期的VPN隧道连接,数据被转发到达VPN 客户端路由器的 9999端口。

  4. 因为在客户端路由器配置了端口转发规则,将到达9999端口的数据转发至下级设备 192.168.3.102:1111. 

  5. 最终发送数据,到达网络摄像机的192.168.3.102:1111端口。 使其可以被外网,主动访问。

  四、一些细节

   虽然转发配置过程比较好理解。但仍然有一些细节需要注意。

  1. VPN服务器端,需要能够固定VPN账号的IP 地址 与账号关系。 通俗来说,VPN用户名A,连接VPN服务器后,取得的IP 固定为a。 这样才能够保证,VPN服务器配置的转发规则稳定,因为转发规则是对应于IP静态的,如果客户端每次拨通的IP不确定,则无法正确转发。

  2. VPN服务器端需要配置源地址转换。对于网络摄像机来说,他的回源地址是通过数据包的源IP地址确定的,这个源IP 在端口映射时,要修改为,VPN服务器的 VPN 服务器IP,替换掉用户的外网地址,才能回源路径保持一致。或者在VPN客户端的路由表上配置所有的下一跳路由都是VPN的服务器。但这样会使得,VPN客户端路由器网络的所有网络都经过VPN通道,并无必要。

  3.关于设备选型。设备选型也是一件比较费神的事情。 主要是满足上述两点的VPN服务器设备,并不好找,咨询销售得到的答案也并不确切。最关键的是,往往不提供测试设备, 7天无理由拆封不退。-_-|| 。在跟无数技术支持,供应商描述了需求之后。最终满足需求的设备时。VPN客户端路由器:TPLINK TL-R476G.  300元左右。 VPN 服务端路由器 :华为 USG6307E 不到3000元。

  如此,增加一个需要外网访问的内网路由器,除宽带成本外,仅300元左右。。。

锅叔
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows2003单网卡配置纯模式L2TP以及PPTP
07-25
Windows2003单网卡配置纯模式L2TP以及PPTP
笔记本电脑通过VMware虚拟机实现物理机同时访问内网外网.doc
07-30
笔记本通过VMware实现物理机同时访问外网,虚拟机通过桥接网卡连接内网,在把网络通过仅主机模式与物理机共享,实现物理机能同时访问内网和互联网
没有公网IP,局域网服务器和应用IP端口如何映射到外网访问
asdaddsd的博客
03-28 2297
添加映射,只要可以上网,就可以将内网IP端口通过快解析这款工具软件映射到外网访问。快解析有业内多年的技术积累,服务用户500万,服务企业100万,更有2000多家上市公司都在选择“快解析”,并以“快解析”为基础,构建企业连接生态。广泛应用于MAC服务器、CRM、OA、ERP、NAS私有云、视频监控、FTP、SVN、Windows远程桌面、游戏联机、网站、博客、微信公众号和小程序开发调试、遥感测绘、工业4.0等各种应用场景,是用户实现外网信息互联互通的得力助手。内网穿透,即内网映射,内网端口映射到外网
无需公网IP、简单3步,直连远程NAS实现高速访问
oray2013的专栏
11-18 577
此外,组网后如果双方网络条件允许,可以实现P2P直连,此时不限流量、不限速,传输不经过中转,速度取决于双方网络带宽。随后,通过浏览器访问云端管理后台,根据提示选择远程访问NAS玩法,并绑定贝锐账号,即可组建异地虚拟局域网。以群晖NAS为例,如需远程访问DSM管理界面,只需和本地操作一致,输入NAS原有的局域网IP地址就行。完成上述设置后,远程访问只需根据设备、系统下载对应的蒲公英客户端,登录X1绑定的贝锐账号即可。只需将蒲公英X1接入NAS所在的局域网或同一路由器/交换机,并成功联网。
2024年最全VPN入门教程(非常详细)零基础入门到精通,收藏这一篇就够了(2),2024年最新阿里java开发面试
最新发布
2401_84851347的博客
05-14 825
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前! 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上鸿蒙开发知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新需要这份系统化的资料的朋友,可以戳这里获取int fa0/0 crypto map wenmap配置右边路由器的命令en conf
如何通过VPN访问内网
2301_78526531的博客
04-10 1723
VPN是一种通过加密和隧道技术,在公共网络上创建一个加密的、安全的通信通道,使用户能够在不同地点之间访问内网资源。在VPN连接中,用户的数据会经过加密处理,然后通过公共网络传输到目标网络,最后被解密并交付给内网资源。这样做的好处是可以实现跨地域访问内网资源,同时确保数据的安全性。
VPN访问外网的原理
顶峰
10-23 3416
VPN
没有公网IP,如何实现内网用友ERP的外网访问
asdaddsd的博客
02-23 741
为了进一步保证企业访问的安全性,快解析域名不仅支持https协议、免开端口,同时在无忧版、钻石版、旗舰版、星耀版增加了访问白名单、访问密码功能,让企业数据更安全。用友是全球领先的企业云服务与软件提供商,在财务、人力、供应链、采购、制造、营销、研发、项目、资产、协同等领域为客户提供数字化、智能化、社会化的企业云服务产品与解决方案。:在部署OA的服务器上安装并登录快解析客户端, 快解析版本无忧版、钻石版、旗舰版、星耀版账号均可实现内网穿透。映射名称:可自定义,方便区别和标志,如“epr"、"管理"等。
没有公网IP,如何实现远程异地访问
oray2013的专栏
12-06 4202
对于网络设备玩家而言,2021年的下半年或许有些不太令人满意。 电信从西南地区开始陆陆续续地回收IPV4公网IP,并且工信部申诉无效,这也意味着很多朋友的NAS将告别域名访问。 大内网带宽的前提下,常规外网访问NAS的方式并不多,主要方式之一是:异地组网。 今天,我们将利用蒲公英X3A硬件设备,结合威联通NAS,详细演示外网访问NAS的操作方式。 异地组网的方式相当于借助软件创建一个性能强大的“路由器”,将连接着不同网络、不同路由器的设备都关联到这个“大路由器”下进行管理
登录VPN后也能正常上外网的设置
qhf503的专栏
07-24 7868
找到VPN的适配器,右键——》属性——》选择网络——》选internet协议版本4(TCP/IP4)——》属性——》在常规中选择高级——》在IP设置中去掉在远程网络上使用默认网关(U)即可。
使用Pritunl OpenVPN远程连接:实现安全高效的远程访问
m0_73879806的博客
09-07 3313
Pritunl是一款免费开源的 VPN 平台软件(但使用的不是标准的开源许可证,用户受到很多限制)。这是一种简单有效的VPN方式,一方面能有一个相对简单的途径,易于初级用户迅速搭建 VPN 服务;另一方面有能抵御墙的干扰,提供稳定有效的代理服务。
VPN端口设置不当:VPN服务所使用端口的安全措施未得到适当配置
ZOMO的博客
01-08 1429
在使用VPN的过程中一定要注重VPN端口的监管和管理尽量避免出现人为失误或者是恶意攻击等因素导致的端口泄漏或者其他的安全性问题. 在日常管理中需要对VPN端口的开放情况和连接数进行统计分析和监测以便及时了解VPN端口的使用现状和保障业务的正常运行维护良好的网络环境和用户体验感.VPN端口的身份验证机制是为了防止未经授权的访问者尝试利用此端口来实现非法的目的. 因此在使用的时候必须严格遵循相关厂商的规定和建议采用高强度的密码机制和有效的身份验证方式提高整体的防破解能力避免出现因密码泄露而导致的不法侵害行为.
利用公网IP搭建端口映射.zip
10-25
搭建服务器+客户端阔以内网穿透
IP新技术进阶系列 - 公网IPv4 over SRv6 BE深度解析
03-29
并加入本地SID表、在PE间建立BGP IPv4单播邻居、BGP发布Update报文、BGP Update报文格式、BGP IPv4路由表、验证配置结果、公网IPv4 over SRv6 BE转发报文、公网IPv4路由传递、公网IPv4数据转发。
下一代传送网和IP承载网的融合演进
01-19
在LTE阶段,对于新建LTE基站,可以通过逐步部署路由型IPRAN进行承载,满足LTE阶段高带宽和动态连接的需求,同时能实现IPTV、高质量大客户VPN等多种业务的统一承载,还可以和已有IP城域网无缝对接。在骨干层部署PTN和...
移动虚拟专用网的研究与实现
02-26
该机制采用移动IPv6作为对移动VPN的支持,并将移动IP的检测与VPN检测相结合,以获得较高的检测准确率,同时实现VPN。实验结果表明,该机制是有效可行的。互联网和移动通信的发展使无线上网日趋广泛,而随之带来的...
ddns有什么作用?无公网IP怎么将内网IP端口映射外网访问
asdaddsd的博客
09-16 2212
上面的解释可能过于专业,其实DDNS通俗点说,它是一种将用户的动态IP地址映射到一个固定的域名解析服务上的功能,因为现在目前大多数路由器拨号上网获得的多半是动态IP,DDNS可以将路由器变化的外网IP和固定的域名绑定,从而用户可以在外网通过该固定域名进行访问路由器。也就是说借助路由器DDNS绑定域名,可以将我们电脑作为服务器功能来使用,通过域名,可以让全球其他联网用户,访问我们指定的文件或者网页程序。本地应用协议由本地决定,如本地配置使用了http协议的,映射外网访问时也是对应使用http的。
连接VPN访问内网时保证外网不受影响的网络设置
weixin_54044907的博客
05-04 9352
通过一次简单的设置,省去我们频繁切换网络的烦恼,以后连接内网后也可以畅快的访问外网,而需要走内网的地址在添加路由后也可以成功的访问
没有公网ip如何免费远程访问群晖
03-28
如果您没有公网IP,您可以尝试以下方法来免费远程访问群晖: 1. 使用Synology QuickConnect:Synology QuickConnect是由Synology提供的一种免费的动态DNS服务,可以让您通过QuickConnect ID远程访问群晖。要使用QuickConnect,请在控制面板中启用它,然后在远程访问设置中配置您的QuickConnect ID。 2. 使用VPN连接:您可以使用虚拟专用网络VPN)连接来远程访问群晖。如果您没有公网IP,您可以使用一些免费的VPN服务,如OpenVPN和SoftEther VPN。您可以通过Synology VPN Server来配置VPN连接。 3. 使用端口转发:您可以使用端口转发将外部端口映射到内部端口,从而实现远程访问群晖。要使用端口转发,请在路由器中配置端口转发规则,并将外部端口映射到群晖的内部端口。请注意,使用端口转发可能会有一定的安全风险。 总之,以上方法都需要您拥有一台路由器实现远程访问,如果您没有路由器,建议您购买一台路由器实现远程访问。同时,为了保障安全,建议您启用HTTPS和两步验证等安全措施来保护您的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值