在 VPN 环境中配置内网子网时,需根据具体场景(如远程访问、站点间互联或云混合网络)设计合理的子网划分方案,以下是关键步骤和注意事项:
明确需求
- 远程访问VPN:为远程用户分配独立子网(如
8.0.0/24)。 - 站点间VPN:确保各站点子网不冲突(如总部
168.1.0/24,分支机构168.2.0/24)。 - 云混合网络:避免与云服务商私有网络(如 AWS VPC 的
31.0.0/16)重叠。
子网划分原则
- 无冲突IP段:选择私有地址范围(RFC 1918):
0.0.0/816.0.0/12168.0.0/16
- 合理掩码:根据设备数量选择子网大小(如
/24支持 254 台主机)。 - 预留扩展空间:避免未来扩容时重新规划。
典型配置示例
OpenVPN 服务器配置
push "route 192.168.1.0 255.255.255.0" # 推送内网路由到客户端
IPSec (StrongSwan)
# 站点间VPN配置示例
conn site-to-site
leftsubnet=192.168.1.0/24 # 本地子网
rightsubnet=192.168.2.0/24 # 对端子网
auto=start
路由与防火墙
- 添加静态路由:确保VPN流量能到达内网。
# Linux 示例 ip route add 192.168.2.0/24 via 10.8.0.1 dev tun0
- 防火墙规则:
# 允许VPN接口流量 iptables -A INPUT -i tun0 -j ACCEPT iptables -A FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -d 192.168.1.0/24 -j ACCEPT
避免常见问题
- NAT 穿透:若内网使用重叠IP,需配置NAT:
# OpenVPN 服务端配置 push "redirect-gateway def1 bypass-dhcp"
- DNS 设置:推送内网DNS服务器:
push "dhcp-option DNS 192.168.1.1"
验证与测试
- 连通性检查:
ping 192.168.1.1 # 测试内网网关 traceroute 192.168.2.100 # 检查路由路径
- 日志分析:查看VPN服务日志(如
journalctl -u openvpn)。
扩展场景
- IPv6支持:若使用IPv6,分配ULA地址(如
fd00::/64)。 - 动态路由协议:大型网络可部署OSPF或BGP over VPN。
通过合理规划子网、配置路由及防火墙,可确保VPN内网通信安全高效,实际部署时需结合具体VPN软件(WireGuard、OpenVPN、IPSec等)调整参数。












京公网安备11000000000001号
京ICP备11000001号