双NATnetworking的networking重构方法

由于许多年前为了节省几块钱而做出的一系列糟糕的networkingdevise决定（主要是），我有一个明显不是最优化的networking。 我正在寻求改善这种不太愉快的情况的build议。

我们是基于Linux的IT部门和预算有限的非营利组织。 （注意：我们运行的任何Windows设备都没有与Internet互通的任何内容，也没有任何员工的Windowspipe理员。）

关键点：

• 我们有一个主要的办公室和大约12个远程站点，使用物理隔离的交换机将他们的子网NAT加倍。 （没有VLAN和使用当前交换机的能力有限）
• 这些位置有一个“DMZ”子网，在每个站点的同一个10.0.0 / 24子网上进行NAT。 这些子网不能与任何其他位置的DMZ进行通信，因为除了服务器和相邻的“防火墙”之外，我们不会将它们路由到任何地方。
• 其中一些位置有多个ISP连接（T1，电缆和/或DSL），我们使用Linux中的IP Tools手动路由。 这些防火墙都运行在（10.0.0 / 24）networking上，主要是“pro-sumer”级防火墙（Linksys，Netgear等）或ISP提供的DSL调制解调器。
• 连接这些防火墙（通过简单的非托pipe交换机）是一个或多个必须公开访问的服务器。
• 连接到主办公室的10.0.0 / 24子网是用于电子邮件，远程办公室VPN服务器，到内部192.168 / 24子网的主要路由器的服务器。 这些必须根据stream量types和连接来源从特定的ISP连接访问。
• 我们所有的路由都是手动完成的，或者使用OpenVPN路由语句
• 局域网内的stream量通过主要的“路由器”服务器上的OpenVPN服务，它有自己的NAT。
• 远程站点仅在每个站点安装一台服务器，由于预算限制，无法承担多台服务器。 这些服务器都是LTSP服务器几个5-20terminal。
• 192.168.2 / 24和192.168.3 / 24子网大部分是但不完全在可以做VLAN的Cisco 2960交换机上。 其余的DLink DGS-1248交换机，我不确定我是否可以信任与VLAN一起使用。 由于只有高级networking人员了解它是如何工作的，所以还有一些关于VLAN的内部关注。

所有常规的互联网stream量都通过CentOS 5路由器服务器，根据手动configuration的路由规则，将192.168 / 24子网转换为10.0.0.0/24子网，我们使用这些路由规则将出站stream量指向正确的互联网连接'-host'路由语句。

• DNAT和REDIRECT在IPTABLES中的区别
• select默认的networking接口
• 为什么Openvpn使用networking0.0.0.0networking掩码128.0.0.0作为默认路由？
• 没有指定网关的Windows静态路由（下一跳）
• 为什么Ubuntu中没有localhost的路由？

我想简化这一切并为ESXi虚拟化做好准备，包括这些面向公众的服务。 是否有一种无成本或低成本的解决scheme，可以摆脱双重NAT，并为这个混乱恢复一点理智，以便我未来的替代品不会让我失望？

主要办公室的基本图表：

这些是我的目标：

• 具有中间10.0.0 / 24networking接口的公用服务器将被移到ESXi服务器上的192.168.2 / 24子网中。
• 摆脱双重NAT，让我们的整个networking在一个单一的子网。 我的理解是，无论如何，这是IPv6下我们需要做的事情，但是我认为这个混乱是阻碍的。