我们是一家SaaS提供商,在我们的数据中心和客户的站点之间build立一个IPSec VPN,以便他们可以直接从他们的局域网访问他们的托pipe数据库服务器。
我们的“参考devise”并没有将我们的内部LAN范围暴露给客户,而是仅仅是NAT所需的服务器,在VPN内的另一个“DMZ”私有地址之后,而客户也是这样做的,以防止他们的内部范围暴露给我们。
例如,在“参考”devise中,
Customer Server --> Cust VPN NAT ====== VPN ======= My VPN NAT --> My server 192.168.27.4 --> 10.10.10.4 =================> 10.20.0.5 --> 192.168.3.16 只要我们可以同意在私有范围(10.10。和10.20。)之间使用非冲突的NAT,就可以正常工作。 我们只接受来自客户的入站连接,并且在上面的例子中将仅看到来自10.10.10.4的stream量。
今天,一位客户表示,他们只能使用公有IP作为两端的NAT,以避免发生范围冲突。 他们是一个拥有数千个备用公有IP的大型全球性公司,所以对他们来说没有任何问题。 我们是一家科罗拉多州的小型SaaS提供商,他们必须向我们的提供商certificate每个公共IP请求的正确性。
Customer Server --> Cust VPN NAT ====== VPN ======= New Public IP --> My server 192.168.27.4 --> 1.2.3.4 =================> 5.6.7.8 --> 192.168.3.16
我们没有问题帮助客户,通过这个过程,并获得公共IP,但..
谢谢你的帮助。
老实说,我认为这比商业决定更重要。 (当然,人们可以自由地不同意我的意见。)但恕我直言,这归结为:
我根本不用担心#3。 这是一个共同的设置,听起来像他们习惯了自己的方式。 唉。
“我不想这么做,我应该给他们什么技术性的原因来避免呢?” 是另外一个问题。