Linux – 双NAT网络的网络重构方法

我们是一个非盈利组织,拥有基于Linux的IT部门和有限的预算. (注意：我们运行的Windows设备都没有执行与Internet通信的任何操作,也没有任何Windows管理员.)

关键点：

>我们主要有一个主办公室和大约12个远程站点
使用物理隔离交换机对其子网进行双重NAT. (没有
VLAN和使用当前交换机执行此操作的能力有限)
>这些位置具有相同NAT的“DMZ”子网
在每个站点分配10.0.0 / 24子网.这些子网无法通话
DMZ位于任何其他位置,因为我们不将它们路由到任何地方
除了服务器和相邻的“防火墙”之间.
>其中一些位置具有多个ISP连接(T1,电缆和/或DSL),我们使用Linux中的IP工具手动路由.这些防火墙都运行在(10.0.0 / 24)网络上,主要是“专业级”防火墙(Linksys,Netgear等)或ISP提供的DSL调制解调器.
>连接这些防火墙(通过简单的非托管交换机)是一个或多个必须可公开访问的服务器.
>连接到主办公室的10.0.0 / 24子网是用于电子邮件,远程通勤VPN,远程办公室VPN服务器,到内部192.168 / 24子网的主路由器的服务器.这些必须基于流量类型和连接源从特定ISP连接进行访问.
>我们所有的路由都是手动完成的,也可以是OpenVPN路由语句
>办公室间流量通过主要“路由器”服务器中的OpenVPN服务,该服务器具有自己的NAT.
>远程站点每个站点只安装一台服务器,并且由于预算限制而无法承受多台服务器.这些服务器都是LTSP服务器的5-20个终端.
> 192.168.2 / 24和192.168.3 / 24子网大部分但不完全在可以执行VLAN的Cisco 2960交换机上.其余的是DLink DGS-1248交换机,我不确定我是否足够信任与VLAN一起使用.还有一些关于VLAN的内部问题,因为只有高级网络员工才能理解它是如何工作的.

所有常规互联网流量都通过CentOS 5路由器服务器,根据我们用于将出站流量指向适当的互联网连接的手动配置的路由规则,将192.168 / 24子网NAT连接到10.0.0.0/24子网. ‘-host’路由语句.

我想简化这一过程,为ESXi虚拟化做好准备,包括这些面向公众的服务.是否有一个没有成本或低成本的解决方案可以摆脱Double-NAT并为这个烂摊子恢复一点理智,以便我未来的替代品不会让我失望？

总公司基本图：

这些是我的目标：

>面向公众的服务器,将中间10.0.0 / 24网络上的接口移入ESXi服务器上的192.168.2 / 24子网.
>摆脱双NAT并将我们的整个网络放在一个子网上.我的理解是,无论如何,这是我们在IPv6下需要做的事情,但我认为这个混乱阻碍了.