だから、私は確立されたIPSecサイト間トンネルを持っています。
サイトAにはSonicWallがあり、サイトBにはEdgeRouterがあります。
最初のトンネルは、サイトAのNATされたIPからサイトBのNATされたIPで構成されます。
すべてが期待どおりに機能します。
次に、サイトBがアクセスする必要があるパブリックIP範囲がありますが、リクエストはサイトAからのように見える必要があります。このトンネルを設定すると、ゲートウェイでトラフィックがドロップするのがわかります。
これらのIPのいずれにもアクセスできません。 lan to lanの同じ構成で正常に機能するという事実のため、NAT問題である可能性があります-しかし、確信が持てず、さらに診断する方法がわかりません。
自信がなかったので、これは赤ニシンかもしれません... VPN> WAN/WAN> VPNに「すべて許可」ルールを設定し、個々のIPにフィルタリングして、サイトBからpingを実行してみました。 。ドロップされたパケットが表示されます。
誰かがここで何かアドバイスを提供できますか?
私が投稿した古い質問に戻るには:
答えは...新しいルーターを入手!
私はこれにあまりにも多くの時間を浪費しました...[〜#〜]多くの[〜#〜]既成のルーター、ただ対処できないことがわかりました。ソニックウォールとジュニパーは失敗したほんの数例です。
問題は、WANとLANを定義する必要があり、IPSEC/VPNインターフェースがWANに接続されている場合、少しのクロスオーバーがあるか、通常とは異なる設定が必要な場合です。 、失敗するだけで、正しくルーティングできません。
結局、VyattaとEdgeOS(Vyattaのフォーク)がこのセットアップを見事に処理していることがわかりました。転送するサブネット、トンネルをオンにするインターフェイスを指定するだけで、期待どおりに機能します。
私があなたの質問を理解したら、あなたはこれをやろうとしている:
Server A - Router A - VPN - Router B - Site B
VPN経由でサーバーA(パブリックIP)にアクセスできるようにするにはサイトBが必要ですが、サイトAから送信されたように見える送信元アドレスが必要ですか?
ルーターBのVPNを通過するには、サーバーAに向かうトラフィックを指定する必要があります。ルーターAでは、VPNを通過するためのリターントラフィックを指定する必要があります。次に、ルーターAで、NATルールを構成して、サイトBからサーバーAに向かうトラフィックのSRCIPをサーバーAが指定するIPアドレスに変更する必要があります。受け入れる。
だから、あなたはトンネルを介してインターネット上の特定の範囲にリクエストをルーティングする必要がありますか?その範囲に静的ルートを追加できますか?
回避策として、サイトAにプロキシサーバーをセットアップし、サイトBのマシンに特定のサイトでプロキシサーバーを使用させる。
もっと簡単に考えてください!