客户机接入进阶操作

type
status
date
slug
summary
tags
category
icon
password
经过之前的折腾,正常使用了几个月,现在客户那边又有了新政策,几乎所有的服务都只能通过内网访问,甚至包括git(甚至在内网通过http拉取git也需要加proxy)。
客户开发部门的建议是直接用客户机开发,但是客户机孱弱的性能和瞎眼的屏幕,我肯定是选择铤而走险。

最合规的方案

在我折腾的同时,也给了团队其他人一个合理合规的建议:
  1. 开启日常开发机上的ssh,将项目的repo作为一个Bare Git Repository
  1. 客户机上作为git client,同时追踪bitbucket和开发机上的git repository,手动或者脚本将两个remote同步成一致。

基础选择

直接选择了最方便的VM+OpenWRT的方案。客户机器通过wifi接入互联网,给OpenWRT VM分配双网卡
依然是用网线将开发机和客户机连接起来。这样就能直接使用客户机的网络了。

强力的安全软件及应对

(这一环节是推测,并无实质证据)
发现这样配置好之后,开发机和客户机的OpenWRT只能短暂通信几秒钟,就会被断开。将开发机(Mac),客户机宿主(Windows)VM(OpenWRT)设置成同一个内网之后。发现
Window
OpenWRT
Mac
Window
-
OpenWRT
-
Mac
-
推测应该是安全软件在网卡底层直接判断了Dest,直接一刀切了,不让入站。
所以没有办法使用桥接的有线网卡了,所以我选择USB网卡,直接把USB挂载到VM里去。所以网络变成了:

选择性的使用客户网络

实际上只需要内网IP走客户网络即可。让所有流量默认走原来的网络,特定网络走OpenWRT。有两种方案,一种是临时的路由表
一种是给网卡设置路由表

DNS

利用一些软件,将DNS做一个分流,将内网的域名交给OpenWRT,同时也需要关闭OpenWRT上Dnsmasq的Rebind protection选项,允许其返回内网IP。
Loading...

© XGFan 2012-2025