这是我的问题:
我已经使用以下参数设置了VPN IPsec LAN2LAN(或site2site):
本地子网: 10.178.51.64/27
远程子网: 10.174.0.0/16
vpn隧道正常出现,但问题是我无法ping或发送任何数据到远程子网机器。
这是因为我的“真正的”子网是192.168.1.0/24,但我的合作伙伴希望我连接到指定的子网。 我无法更改我的子网,我可以实现与NETGEAR ProSafe VPN防火墙FVS338我的路由器的连接?
提前致谢
为了使site2site VPN隧道正常工作,您通常有两个select来设置隧道。
首先,是基于路线的。 您可以在两个WAN接口之间创build隧道,然后在防火墙中设置路由,指出“到达此LAN子网出隧道”。 通常情况下,您仍然需要在每端指定一个策略,但只是两个子网之间的ALLOW策略。
其次是政策基础。 您可以在两个WAN接口之间创build隧道,但不是设置新路由,而是设置策略,并在为这两个子网发送stream量时通过创build的新VPN隧道将策略告知TUNNEL。
所有这一切,在你的情况下,如果你是指定本地和远程子网,那么这些本地和远程子网将必须是实际的子网将被路由/使用(在你的情况下,192.168.1.0/24),否则,你必须做一些NAT转换,把你的问题(10.x)中的任何子网都变成192.x的内部,基本上是双重NAT,这就变得棘手了。
我的build议是与你的伙伴一起解释这个,并找出他们为什么不希望你使用192.168.1.0/24作为你的子网。 也许他们在这个范围内有另一个本地子网,等等
在最佳实践中,你真的不应该使用该子网。 使用不同的私有局域网子网…当谈到拆分隧道时,只会让人们感到头痛。
你的答案真的取决于什么types的networking设备是在每一方以及远程子网是什么。
你的隧道“逻辑”应该如下(不pipenetworking供应商):
故障排除可以由双方ping命令以及在实际路由器/防火墙本身上运行debugging命令来查看通信停止的位置,同时确保通道本身出现(再次命令取决于使用的硬件和IKEselect)。
如果你完全失去了,我会build议发布一个networking图,以及双方使用的硬件。 这将有助于这里的人回答这个问题。 但是,如果您有支持与您的networking供应商,并需要这个操作尽快我build议与他们联系,让他们连接起来,并通过设置。
谢谢TheCleaner你的答案,这是相当不错的,但我想发布我自己的答案,因为我解决了这个问题,我想分享的解决scheme。
序言:vpn由政策设置。
我的防火墙不是思科,但是是一个networking设备(它吸吮:)通过设置一个VPN的lan2lan IPSEC这种半专业路由器的方式可能是非常想的。
正如我所说的,我的搭档告诉我:你必须在子网10.178.51.64/27的隧道中进行,这是强制性的,我不能以任何方式帮助你。
那么,NETGEAR ProSafe VPN防火墙FVS338的唯一解决scheme就是将您的LAN子网设置为与vpn策略的本地子网相同。
所以我只是设置我的局域网为10.178.51.64掩码255.255.255.0,它的工作就像一个魅力。
如果我有一个思科专业路由器,我可以设置一些规则来转换一些子网的IP,就像我的合作伙伴告诉我的一样。 例如:192.168.1.2 – > 10.178.51.65
不幸的是,这是我的路由器/防火墙不可能的,所以解决这个问题的唯一机会就是改变我的局域网子网。