产品中心
在家办公却打不开公司OA系统?出差途中急需调取内网资料却连不上?这些场景几乎是每个职场人的噩梦。随着混合办公成为常态,如何在外网安全访问公司内网,成了企业和员工共同面临的难题。今天,我们就用最简单的方式,教您几种“外网直接访问内网”的方法,告别“网络焦虑”!
为什么局域网的服务器无法在外网访问?
服务器、电脑之间靠IP地址寻址,目前大部分基于IPV4进行寻址访问。但是因为IPV4的地址数量有限,中国分到的还比较少,所以非常紧缺。一个解决方案就是在局域网来建立一个内部的网段,这个局域网的只在本网段内能互相访问,无法从外网访问。局域网的一般都是192.168.X.X这样的。
光猫+路由器,一般由运营商(移动、电信、联通)提供,可以是光纤接入或者网线接入。一般通过拨号的方式上网:就是在我们办宽带的时候,会给你分配一个拨号的号码加密码,通过在这个光猫+路由器中输入这个账号,即可与运营商连接,实现上网。
光猫+路由器的外口为Wan口,一般为一个公网的IP。然后在他的内部的口为Lan口,有若干个,组成一个局域网,这个局域网是只在这个小范围内互相可以访问,这个局域网内的电脑可以访问外网,但是外网无法访问他们(因为无法路由到他们,按照IP路由的)。一般为192.168.1.X的一个号段,一般会将1开头的作为这个路由器自己内网的一个地址,然后2之后的给其他电脑用。
局域网内的机器都可以访问服务器,但是外网如果想访问是访问不了的。最主要的原因是公网Ip在光猫上,或甚至你根本 就没有公网Ip,网络商给你内部中转后的局域网私有地址了。
原理:将公司公网IP动态绑定域名,再通过路由器开放端口,外网直接访问。路由映射这个又叫虚拟映射,这个方法就是在连接外网的路由器上做一个端口映射的设置,具体说将访问该路由器外网地址和特定端口的服务映射到内网的一台电脑的某一个端口上。
具体上面来说,就是在光猫+路由器上做一个虚拟映射的设置,例如,将访问122.15.244.39,端口10101的访问映射到192.168.2.2的端口10101上。动态DNS是为了解决IP变化的问题,因为你本地公网IP经常会变化不固定。
操作步骤:1. 注册动态DNS服务;如使用nat123客户端绑定一个自定义固定域名;
2. 登录路由器,将内网服务器端口(如3389远程桌面)映射到公网;
以华为的路由器设置为例,登录华为路由器,在更多功能NAT服务里面,点击+新增或编辑制前的,进入设置:
设置完成后,在外网浏览器输入自己WAN公网Ip加端口,如:122.115.244.39:10101,则可以直接访问到服务器。
需要注意的是:
(1)公网映射时,选择的外部端口最好不选择常用的80,21等,因为很多网络环境会屏蔽这些!!或实测后不行再修改其他端口使用!!
(2) 服务器需要连接到包含公网IP的路由器上,然后在这个路由上做端口映射设置!!3. 外网通过固定好的动态域名+端口(如oa.yourdomain.com:8088)登录。
这个说白了就是在路由器设置,让某一个主机直接全部暴漏在外网中,跟路由映射一样,需要本身有公网IP。
在路由器中设置,本人没选择,这个风险有点大!具体大家参考吧。DMZ 区可以理解为一个不同于外网或内网的特殊网络区域,DMZ 内通常放置一些不含机密信息的公用服务器,比如 WEB 服务器、E-Mail 服务器、FTP 服务器等。这样来自外网的访问者只可以访问 DMZ 中的服务,但不可能接触到存放在内网中的信息等,即使 DMZ 中服务器受到破坏,也不会对内网中的信息造成影响。DMZ 区是信息安全纵深防护体系的第一道屏障,在企事业单位整体信息安全防护体系中具有举足轻重的作用。
大的公司,要运营商建立专线,将两个或几个地方连接起来。但这个成本贼高!这个在有预算的情况下,直接联系自己网络商接入即可,不用自己折腾。
VPN,虚拟专用网络。介绍网上搜索一下即可。简单说,他可以使用硬件来搭建、也可以纯软件来搭建。
1、硬件搭建的话,类似与上面的那个路由器,直接将光猫路由器桥接掉,然后他来拨号获得公网IP,然后两个网一手托两家即可。实际当中,许多路由器就有这个功能,当然也可以使用自己的某一台电脑来完成。还有专门的公司来做这个,生产个专用的硬件盒子。这里的PC机X需要上网时,就需要有一个专门的客户端登录,可以是客户端软件,也有做成网页吧账号登录。
2、软件搭建的话需要在服务端和所有访问端都安装部署。
原理:通过加密“隧道”连接外网与内网,如同“隐身”进入公司局域网。适用场景:企业统一部署,适合对数据安全要求高的场景。操作步骤参考:(1). 公司IT部门提供VPN账号和服务器地址;(2). 下载并安装客户端(如OpenVPN等其他三方虚拟组网工具);(3). 输入账号密码,连接后即可访问内网资源。
这个典型代表就是nat123。这里是一个软件,在服务器上装一个软件,然后做设置。给你一个域名(可自定义二级字符),或绑定自己的域名,将这个域名与你的一个服务指定内网IP端口进行映射。此后别人访问这个域名即可,实际上这个域名,在云端服务器上做了一次解析,同时进行了数据的中转(或全端口模式下的同端口直连点到点穿透)。
原理:通过“中间服务器”将内网服务映射到公网,外网直接访问虚拟地址。操作步骤参考:1. 在公司内网电脑安装工具nat123客户端;2. 登录nat123账号并创建映射(如映射OA系统的端口8080);通过这个软件添加映射时,自定义好对应内外网地址端口保存即可;
3. 外网通过设置好的公网链接(如http://xxx.donain.net)访问。注意使用自己域名时,同时填写使用自己域名映射,和在自己注册域名网上添加对应的cname指向让自己域名生效。
适用场景:临时访问公司电脑文件或软件。工具推荐:微软远程桌面(Windows)、TeamViewer、QQ或微信远程管理。操作步骤:1. 公司电脑开启远程桌面功能(控制面板→系统→远程设置);2. 获取内网IP(如`192.168.1.2`);3. 外网通过远程工具输入IP+号密码,直接操控电脑。
一般有人工值守时,可以使用QQ等远程协助临时远程访问使用;长期需要无人工在远程访问的,又没有公网IP的,可以用nat123映射windows远程桌面连接或Linux主机的SSh服务,将对应内网IP端口转换成自定义域名端口后进行远程访问实现。
