Вау, спасибо за такой подробный ответ. Получается, если я добавлю новый VLAN с адресом .10 и сохраню старый VLAN с адресом .1, то iDRAC смогут использовать .1, а остальные мои машины - .10? Если я правильно понимаю. Интересно, как проводная машина узнает, какую подсеть использовать или получить DHCP-адрес? Это зависит от настройки VLAN в шлюзе (у меня Gateway Max в качестве маршрутизатора/шлюза)? Это путем использования разных физических портов на шлюзе для разных VLAN и физической изоляции через порт? Я пытался вручную задать IP-адрес для машины, в которую я обычно подключаюсь через RDP, как 192.168.10.100, но у меня возникли проблемы с тем, чтобы проводной ПК получил IP-адрес из VLAN .10 вместо VLAN .1 (без ручной настройки IP-адреса на этом ПК). Я правильно излагаю? Извините, если не объясняю все как следует.

РЕДАКТИРОВАНИЕ: Я решил, что может быть проще добавить новый VLAN, использующий подсеть .10, и просто назначить только один ПК, в который я подключаюсь удаленно извне (т.е. подключаюсь через VPN к моей сети извне, когда я на конфликтующей сети 192.168.1.x, а затем, войдя, подключаюсь к этой машине в подсети .10, потому что там не будет конфликта с внешними IP-адресами), а затем просто использую эту машину, к которой я теперь подключен через RDP, для подключения к другим сетевым устройствам, которые уже находятся в подсети .1, потому что трафик с этой машины не пострадает от конфликта, так как он внутренний). Я выбрал этот подход, потому что он означает, что мне придется изменить только один компьютер в новый VLAN вместо изменения моей всей основной сети (и, следовательно, всех устройств, которые уже подключены к ней).

Чтобы сделать это, я выполнил следующие шаги:

Добавил новый VLAN .10 и ID VLAN 10. Я настроил его, чтобы разрешен трафик в интернет.

Изменил IP-адрес одного локального компьютера с 192.168.1.100 на 192.168.10.100. Я использовал 255.255.255.0 в качестве маски и 192.168.10.1 в качестве шлюза.

После этого один компьютер показывает IP-адрес .10.100 в ipconfig, и хотя я могу подключиться к другому компьютеру в моей сети через RDP (по имени, а не по IP), я не могу получить доступ к интернету на этом компьютере, и я не могу пинговать компьютеры в подсети .1. Если я оставлю компьютер в режиме автоматического получения IP-адреса, он постоянно получает .1-адрес (я предполагаю, потому что я не физически изолировал его в моем Unifi-коммутаторе на порт, назначенном исключительно подсети .10, в соответствии с моим вопросом выше, но я не уверен, что понимаю суть проблемы).

Есть какие-нибудь предложения?

Привет, Алекс! Возможно, ты это и не увидишь, так как я уже принял ответ, но есть еще один вопрос. Раз конфликт внешний, а моя внутренняя LAN обрабатывает трафик между подсетями .2 и .1, будут ли работать несколько старых устройств (например, iDRAC на серверах Dell) с фиксированными IP-адресами в подсети .1, даже после изменения, без необходимости переносить их в .10, на которую я перехожу? Мне не нужно получать к ним доступ через удаленный VPN-туннель (а планирую только получать доступ, когда фактически нахожусь в моей сети физически). Все, кроме этих устройств, использует динамическую выдачу DHCP, так что изменение будет довольно простым, за исключением необходимости зайти и изменить эти iDRAC. Надеюсь, мой вопрос понятен, ценю твою помощь.

Ты все правильно понял: если внешняя LAN не использует 192.168.1.x, то VPN назначает твоему устройству IP-адрес 192.168.2.x. Запросы к 192.168.1.x (например, RDP) правильно маршрутизируются через VPN, потому что нет никакой неоднозначности: система знает, что этот подсеть доступна только через туннель. Пример: если ты подключен к сети 10.0.0.x или к сотовой точке доступа, все работает.

Если внешняя LAN использует 192.168.1.x: Твое устройство по-прежнему получает IP-адрес 192.168.2.x от VPN, но… Запросы к 192.168.1.x не проходят через VPN: система думает, что этот подсеть доступен локально (в WiFi/ethernet-сети, к которой ты физически подключен). Результат: трафик RDP (или другой) к 192.168.1.x блокируется или теряется в неправильной сети.

Почему проблема не возникает между 192.168.2.x (VPN) и 192.168.1.x (домашняя LAN)? Потому что твой UniFi firewall/gateway правильно обрабатывает маршрутизацию между двумя подсетями (192.168.1.x и 192.168.2.x), когда ты подключен через VPN. Конфликт возникает только тогда, когда внешняя сеть дублирует домашнюю подсеть (192.168.1.x).

Ты полностью понял предложенное: Изменение домашней подсети (например, на 192.168.10.0/24) — это окончательное решение, потому что:

*   Это устраняет любой риск конфликта с внешними сетями (отели, офисы и т.д., которые часто используют 192.168.1.x).
*   Это не мешает нормальной работе VPN (который назначает 192.168.2.x).

Привет, Алекс! Спасибо, что уделил время. Твои предложения логичны, но у меня есть несколько уточняющих вопросов:

Первое: правильно ли я понимаю, что когда я подключаюсь к внешней LAN, которая не использует диапазон 192.168.1.x, RDP работает, а когда внешняя LAN использует этот диапазон — нет? При этом в обоих случаях мой компьютер получает IP-адрес 192.168.2.x, и RDP работает как внутри сети .1, так и внутри сети .2. Но это происходит только из-за конфликта внешней LAN, как ты и описал. Я правильно понял? Если проще, то моя внутренняя сеть без проблем обменивается трафиком между подсетями .2 и .1, как только трафик проходит через мой файрвол. Я правильно говорю?

Второе: я, кажется, понял твое предложение изменить сетевую сеть моего шлюза (и, вероятно, потребует изменения IP-адресов машин в моей локальной сети с фиксированными IP-адресами) на один из тех, что ты предложил. Мне кажется, это предотвратит "конфликт" с локальной внешней LAN во время VPN-сессии. В этом случае мой шлюз будет 192.168.10.1 (если я выберу .10. вместо .1, потому что это довольно близко к тому, что я использую, и позволяет легко изменить фиксированные IP-адреса для моих других устройств).