所以,我有一个build立的IPSec站点到站点隧道。
站点A有一个SonicWall,站点B有一个EdgeRouter。
第一条隧道由Site A的NATed ips到Site B的NATed ips组成。
一切都按预期工作。
接下来,我有一个公共的IP范围,站点B需要访问,但是请求需要看起来像是来自站点A.当我build立这个隧道时,我只能看到网关的stream量下降。
我无法访问这些ips。 由于它在局域网到局域网的configuration工作正常,我相信这可能是一个NAT问题 – 但我不确定,也不知道如何进一步诊断。
这可能是一个红鲱鱼,因为我不是很有信心…我曾尝试在VPN> WAN / WAN> VPN中放入“允许所有”规则,然后过滤到一个单独的IP,然后从站点B ping它。我看到丢包。
任何人都可以提供任何build议吗?
如果我理解你的问题,你正试图做到这一点:
Server A - Router A - VPN - Router B - Site B
您需要站点B能够通过VPN访问服务器A(这是一个公共IP),但是您需要源站点看起来像来自站点A吗?
您需要指定去往服务器A的stream量通过路由器B上的VPN。在路由器A上,您需要指定返回stream量来通过VPN。 接下来,在Router A上,您需要configurationNAT规则,将来自站点B并转到服务器A的stream量的SRC IP更改为服务器A将接受的IP地址。
那么,您只需要通过隧道将请求路由到Internet上的某个范围? 你可以添加一个静态路由的范围?
解决方法是,在站点A上设置代理服务器,并在站点B上使用计算机,为特定站点使用该服务器。
想想更简单!
回到我发布的老问题:
答案是…得到一个新的路由器!
我在这上面浪费了太多时间…事实certificate, 许多现成的路由器,根本无法应付。 Sonicwall和Juniper只是其中的一小部分而已。
问题是,你必须定义你的广域网和局域网,IPSEC / VPN接口连接到广域网,那么如果有一点交叉或你需要一个普通的设置,它只是失败,不能路由正常。
最后,我发现Vyatta和EdgeOS(来自Vyatta的fork)很好地处理了这个设置,你只需说明哪些子网要转发,哪个接口应该在哪个接口上,而且它只是按照预期工作。