由于公網IP資源越來越緊張,現在很多運營商給撥号上網的用戶隻分配内網IP地址,如下圖所示:
這樣的運營商内網IP是外網不可達的(即使用動态域名也不起作用)。而企業由于業務需要,比如虛拟局域網組網、辦公OA系統、ERP系統等,都需要有公網IP才可以實現。公網IP的解決,目前主要有三種方案:
- 申請固定IP專線。穩定且速度有保障,缺點是費用高。
- 雲方案。把業務主機都搬到雲上,直接通過雲主機來訪問。費用比較低,缺點是雲主機不能本地維護,且搬遷工作量都不小。
- 雲主機 内網穿透方案。通過雲主機做跳闆來實現内網穿透,既可以複用現有的業務系統,又解決了公網IP的問題。第三種方案的成本是最低的,但是配置比較複雜。本文将對第三種方案做詳細介紹。
在沒有公網IP如何實現VPN組網?一文中,我們介紹了虛拟局域網組網部分。我們要介紹的方案,分為兩個步驟:1). 本地局域網和雲主機之間搭建虛拟局域網。2). 在雲主機上配置内網穿透的防火牆規則。具體步驟如下:
1. 搭建虛拟局域網
首先要在雲主機上安裝虛拟局域網軟件,配置ca證書等,網絡上已經有很多介紹,我就不再贅述了。下圖是最終的server端config文件。
然後是客戶端配置。在WSG的客戶端中,配置上雲主機的IP和端口、用戶名密碼等信息。即可成功組網。如圖:
2. 内網穿透的防火牆規則
組建虛拟局域網後,本地局域網就和雲主機處于同一個局域網内。我們再通過iptables配置一些防火牆規則,就可以把外網訪問重定向到局域網内部;原理和端口映射是一樣的。命令如下:
每一條内網穿透(端口映射)都由兩條iptables命令組成:
- DNAT:iptables -t nat -A PREROUTING -p tcp --dport xx -j DNAT --to-dest x.x.x.x
- SNAT:iptables -t nat -A POSTROUTING -d x.x.x.x -p tcp --dport xx -j SNAT --to-source y.y.y.y
其中,x.x.x.x是局域網内網主機的IP地址,y.y.y.y是雲主機的内網網段IP。
經過上述配置後,直接訪問雲主機的對應端口就可以穿透到内網。該方案是由iptables做數據包轉發,不需要保持連接做反向代理,穩定性和速度都比frp之類的反向代理要好的多。要實現開機自動添加規則的話,隻需要把這兩條iptables命令添加到/etc/rc.local文件中。
,
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
