web-dev-qa-db-ja.com

IPSEC VPNを介してパブリックIP範囲をルーティングするにはどうすればよいですか?

だから、私は確立されたIPSecサイト間トンネルを持っています。

サイトAにはSonicWallがあり、サイトBにはEdgeRouterがあります。

最初のトンネルは、サイトAのNATされたIPからサイトBのNATされたIPで構成されます。

すべてが期待どおりに機能します。

次に、サイトBがアクセスする必要があるパブリックIP範囲がありますが、リクエストはサイトAからのように見える必要があります。このトンネルを設定すると、ゲートウェイでトラフィックがドロップするのがわかります。

これらのIPのいずれにもアクセスできません。 lan to lanの同じ構成で正常に機能するという事実のため、NAT問題である可能性があります-しかし、確信が持てず、さらに診断する方法がわかりません。

自信がなかったので、これは赤ニシンかもしれません... VPN> WAN/WAN> VPNに「すべて許可」ルールを設定し、個々のIPにフィルタリングして、サイトBからpingを実行してみました。 。ドロップされたパケットが表示されます。

誰かがここで何かアドバイスを提供できますか?

5
William Hilsum

私が投稿した古い質問に戻るには:

答えは...新しいルーターを入手!

私はこれにあまりにも多くの時間を浪費しました...[〜#〜]多くの[〜#〜]既成のルーター、ただ対処できないことがわかりました。ソニックウォールとジュニパーは失敗したほんの数例です。

問題は、WANとLANを定義する必要があり、IPSEC/VPNインターフェースがWANに接続されている場合、少しのクロスオーバーがあるか、通常とは異なる設定が必要な場合です。 、失敗するだけで、正しくルーティングできません。

結局、VyattaとEdgeOS(Vyattaのフォーク)がこのセットアップを見事に処理していることがわかりました。転送するサブネット、トンネルをオンにするインターフェイスを指定するだけで、期待どおりに機能します。

1
William Hilsum

私があなたの質問を理解したら、あなたはこれをやろうとしている:

Server A - Router A - VPN - Router B - Site B

VPN経由でサーバーA(パブリックIP)にアクセスできるようにするにはサイトBが必要ですが、サイトAから送信されたように見える送信元アドレスが必要ですか?

ルーターBのVPNを通過するには、サーバーAに向かうトラフィックを指定する必要があります。ルーターAでは、VPNを通過するためのリターントラフィックを指定する必要があります。次に、ルーターAで、NATルールを構成して、サイトBからサーバーAに向かうトラフィックのSRCIPをサーバーAが指定するIPアドレスに変更する必要があります。受け入れる。

2
emynd

だから、あなたはトンネルを介してインターネット上の特定の範囲にリクエストをルーティングする必要がありますか?その範囲に静的ルートを追加できますか?

回避策として、サイトAにプロキシサーバーをセットアップし、サイトBのマシンに特定のサイトでプロキシサーバーを使用させる。

もっと簡単に考えてください!

2
MikeyB