小さな会社のインターネットアクセス用にミルルーター/ファイアウォールをセットアップしました。また、Netgear VPNルーターを使用して別のVPN(IPSec)ゲートウェイを追加しました。メインゲートウェイとVPNゲートウェイには別々のパブリックIPアドレスがあり、VPNクライアントにはホームオフィスのLANとは異なるサブネットがあります(これがNetgearの仕組みです。他の人と同じサブネットに配置することはできません)。
問題は、LANPCとVPNクライアント間のトラフィックが正しくルーティングされないことです。 LANクライアントはVPNクライアントにpingを実行できますが、VPNクライアントはLANクライアントにpingを実行できません(Wiresharkを使用すると、pingがクライアントに到達するのがわかりますが、クライアントは応答できません)。
VPNサブネットへのすべてのトラフィックをVPNゲートウェイに向けるために、メインゲートウェイにルーティングエントリがあります。しかし、それではうまくいかないようです。私が見つけた唯一の解決策は、LAN上のすべてのPCに静的ルーティングエントリを追加して、サブネットのVPNゲートウェイを指すようにすることです。ただし、これは、静的ルーティングを実行できない組み込みデバイスでは機能しません。
私は何が間違っているのですか?
問題のIP /サブネットは次のとおりです(公開アドレスはプライバシー保護のために偽造されています)。
LAN:192.168.0.0 VPNクライアント:192.168.1.0
LANゲートウェイ:192.168.0.1(WAN:1.1.1.1)VPNゲートウェイ:192.168.0.2(WAN:1.1.1.2)
LAN Gatwayには、192.168.1.0-> 192.168.0.2のルートがあります。
各PCが192.168.1.0-> 192.168.0.2の静的ルートを持っていることで部分的に成功しています。
編集:
VPNゲートウェイはNetgearProSafe VPNファイアウォール FVS338 であり、メインゲートウェイはActiontec MI424-WR (Verizon FiOSの場合)です。
Vpnサブネットへのすべてのトラフィックをvpnゲートウェイに向けるメインゲートウェイへのルートがあるのと同じように、メインサブネットへのすべてのトラフィックをメインゲートウェイに向けるvpnゲートウェイ内のルートが必要です。
これは私自身が抱えていた大まかな問題なので、ここにあなたが始めるためのいくつかの情報があります。
ActiontecMI424-WRユーザーガイドwww.fiberfaq.com/admin/attachments/actiontec_mi424wr_manual.pdf
これは、それを機能させると主張した誰かのブログへのURLですが、スクリーンショットが欠落しているため、フォローするのが少し難しいです。
blogs.freebsdish.org/tmclaugh/2008/12/01/verizon-fios-actiontec-mi424wr-and-multiple-subnets/
私はそれを実際のリンクとして投稿しますが、ServerFaultは私を新しいユーザーとして気に入らないので、今は1つのリンクしか投稿できません。
基本的に、彼の主張は、ファイアウォールフィルタリングルールがそのリターントラフィックの一部をブロックしているということであり、あなたが説明することはまさに私が見たものです。トラフィックはプライベートネットワークから出て、目的のサーバーに到達し、Actiontecルーターであるゲートウェイを介して応答することで現物で応答します。その後、ゲートウェイから何も返されませんでした。
ファイアウォールフィルタリングルールをかなり試しましたが、ユーザーガイドのドキュメントでは何が何であるかが完全に明確でなく、フィルタリングルールにデフォルトで何が含まれているのかが説明されていないため、イライラしました。最もオープンな設定でさえ、それらは所定の位置にあり、一部のトラフィックを妨げているように見えました。間違えた場合は、ルーターから完全にロックアウトされる可能性があり(トラフィックがフィルタリングされているため)、ルーターを再び機能させるには、出荷時設定にリセットする必要があります。
結局、私がうまくいくことがわかった解決策は、Actiontecルーターをブリッジモードに設定することでした。これを行うには、Actiontecルーターにログインし、[マイネットワーク]に移動して、左側の[ネットワーク接続]を選択します。次に、画面の下部にある[詳細設定]ボタンをクリックして、Actiontecのすべてのネットワークインターフェイスを表示します。
自分のルーターがIPアドレスを取得できるように、ActiontecルーターからIPアドレスを解放する必要があります。そうでなければ、それは機能しません。これを行うには、同軸ケーブルとイーサネットケーブルのどちらを使用してセットアップしているかに応じて、適切な[ブロードバンド接続]リンクをクリックします。 (私のルーターでは、両方が接続されていますが、イーサネットのみが使用されています。ほとんどの場合、FIOSは代わりに同軸ケーブルを使用していることを理解しています)。
画面の下部にある[設定]をクリックすると、IPアドレスを解放するオプションが表示されます。これを行ってから、インターネットプロトコルを「IPアドレスなし」に変更します。 [適用]をクリックし、必要に応じて変更を受け入れます。
IPアドレスが解放されたので、ルーターをブリッジに変更する必要があります。接続の下で、「ネットワーク(自宅/オフィス)」を選択し、「設定」をクリックします。画面の上部に「ブリッジ」という単語が表示され、その下にいくつかのネットワークインターフェイスが表示されます。ネットワークインターフェイスの左側には、いくつかのチェックボックスがあります。使用している適切なブロードバンド接続(同軸またはイーサネット)の横にあるものをチェックし、STP]列のチェックボックスもオンにします。[適用]をクリックし、必要に応じて同意して、メインセクションに戻ります。 。
まだ行っていない場合は、ワイヤレスアクセスポイントを無効にします。また、ファイアウォール設定に移動し、最小限のセキュリティで可能な限り無効にします。その理由は、使用する実際のルーターは、Actiontecではなく、すべてを処理するルーターでなければならないためです。
それについてです。これをブリッジとして使用しなければならないのは本当に残念ですが、うまくいきました。それを完全に回避する別の方法を見つけるかもしれませんが、私はかなり長い間この問題を抱えており、これがトラフィックを適切にルーティングするために私が見つけた最初の方法でした。ファイアウォールフィルタリングルールはおそらく機能しますが、それらは本当に苦痛であり、ドキュメントはあまり役に立ちません。