Somos um provedor de SaaS, configurando uma VPN IPSec entre nosso datacenter e o site de um cliente para que eles possam acessar diretamente seu servidor de banco de dados hospedado a partir de sua LAN.
Em vez de expor nossa LAN interna ao cliente, nosso 'design de referência' é para NAT apenas o servidor que eles precisam por trás de outro endereço privado 'DMZ' dentro da VPN, e o cliente faz o mesmo para não expor seus clientes internos. alcance para nós.
Por exemplo, no design de 'referência',
Customer Server --> Cust VPN NAT ====== VPN ======= My VPN NAT --> My server
192.168.27.4 --> 10.10.10.4 =================> 10.20.0.5 --> 192.168.3.16
Desde que possamos concordar em usar IPs NAT não conflitantes em intervalos privados (10.10. vs 10.20.), isso funciona bem. Estamos aceitando apenas conexões de entrada do cliente e veríamos o tráfego apenas a partir de 10.10.10.4 no exemplo acima.
Hoje, um cliente diz que só pode trabalhar com IPs públicos como IPs de NAT em ambas as extremidades para evitar qualquer chance de uma colisão de intervalo. Eles são uma grande empresa global que tem milhares de IPs públicos de reserva, então não há problema para eles. Somos um pequeno provedor de SaaS hospedado em cores que precisa justificar todas as solicitações de IP público para nossos provedores.
Customer Server --> Cust VPN NAT ====== VPN ======= New Public IP --> My server
192.168.27.4 --> 1.2.3.4 =================> 5.6.7.8 --> 192.168.3.16
Não temos problema em ajudar o cliente, passando pelo processo e obtendo IPs públicos para isso, mas ...
- Esta é uma configuração comum?
- É a coisa certa a fazer tecnicamente, dado que o P na VPN significa 'Privado'?
- É a coisa certa a fazer "moralmente", dado o esgotamento do espaço de endereços IPv4?
Obrigado pela sua ajuda.