web-dev-qa-db-ja.com

2つのネットワークを接続するVPNの異なるIPスキーム

2つの建物に2つのネットワークを持つクライアントがいて、お互いのリソースにアクセスしたいと考えています。現在、サイトBはT1回線を介してVPN経由でサイトAに接続しています。彼らはT1を取り除き、50mbダウン5mbアップパッケージを提供する地元のケーブルプロバイダーに行きたいと思っています。サイトBのIPスキームは192.168.1.xで、サイトAのスキームは192.168.0.xです。 2つのWatchguardXTM 25があり、それらを使用してVPNを固定する準備ができています。

要約すると、2つのネットワークを接続する準備がすべて整っています。コミュニティへの質問は、何に注意する必要があるか、トラフィックが.0ネットワークからに移動できるようにするためにファイアウォール上に特定のルートが必要かどうかです。 .1ネットワークおよびその逆。

残念ながら、このようなことをするのはこれが初めてで、私はちょっと自分でやっています!

1
msindle

ここで設定する方法の詳細の多くは、Watchguardボックスに固有のものです。私はこれらのデバイスを使ったことがないので、一般的に話します。また、ウォッチガード間にサイト間VPNトンネルを構成する方法を理解していることも前提としています(これ以降、これを「ルーター」と呼びます)。

  1. ルーター間にサイト間VPNトンネルを確立する必要があります
  2. VPNを介して192.168.1.0/24宛てのトラフィックをサイトBにルーティングするには、サイトAのルーターに静的ルートを設定する必要があります。
  3. VPNを介して192.168.0.0/24宛てのトラフィックをサイトAにルーティングするには、サイトBのルーターに静的ルートを設定する必要があります。
  4. サイト間のファイアウォールルールは、「デフォルトの拒否」ポリシーを使用して設定する必要があります。このポリシーでは、サイト間で開いているIPアドレスとポートのアクセスリストを明示的に指定する必要があります。たとえば、サイトAのユーザーがサイトBのファイルサーバーとプリンターにのみアクセスする必要がある場合は、そのトラフィックのみを許可し、他のトラフィックは許可しないファイアウォールルールを設定する必要があります。これにより、ワークステーションがウイルスに感染した場合に巻き添え被害が制限され、VPNを介して他のサイトのシステムに拡散できなくなります。
  5. トンネルが落ちた場合に警告する何らかの監視メカニズムが必要になる可能性があります

手順2と3は、VPNトンネルを構成するときに、ルーターによって自動的に設定される可能性があります。

この変更後、サイト内ネットワークのパフォーマンスが大幅に低下する可能性があることに注意してください。確かに、ケーブル接続の利用可能な帯域幅はT1よりも高くなっています。ただし、遅延は桁違いに増加する可能性があり(CIFSのように、非常にチャットが多く、高遅延接続で大きな問題が発生するプロトコルにとっては非常に大きな問題です)、WANの信頼性は大幅に低下します。これらが「ビジネスクラス」のケーブルインターネット接続であっても、T1とは異なるサービスクラスです。

2
EEAA