Estamos tentando determinar como rotear o tráfego de nossa sub-rede de trabalho do escritório 1, através da sub-rede do servidor do escritório 1, através do túnel IPSec, até a sub-rede do servidor do escritório 2.
Queremos que a sub-rede de trabalho do escritório 2 passe pela sub-rede do servidor do escritório 2 para chegar à sub-rede do servidor do escritório 1.
A imagem anexada demonstra que atualmente as sub-redes do servidor são capazes de se comunicar através do túnel IPSec.
O desafio é que os sistemas nas sub-redes de trabalho podem se comunicar perfeitamente com a sub-rede do servidor, mas não podem se comunicar com os servidores da outra sub-rede do escritório.
Qualquer sugestão seria muito útil.
Tabela de roteamento
1 0.0.0.0 0.0.0.0 x.x.x.x WAN 0
2 X.X.X.X 255.255.255.0 0.0.0.0 WAN 0
3 10.10.1.0 255.255.255.0 0.0.0.0 office_srv2 0
4 192.168.1.0 255.255.255.0 0.0.0.0 office_wrk2 0
x.x.x.x = public ip of office 1 router with ipsec endpoint
Cada roteador precisa ter uma rota para todas as sub-redes necessárias.
Pelo que pude perceber na tabela de roteamento do roteador Office1 (?) que você postou, está faltando uma rota para 192.168.1.0/24 através do túnel - ambas as rotas devem usar o mesmo túnel/interface/gateway. Sem essa rota explícita, os pacotes seguem a rota padrão, até a Internet.
Da mesma forma, o roteador Office2 requer rotas explícitas para 192.168.6.0/24 e 192.168.7.0/24 através do túnel.
Você pode configurar rotas estáticas ou usar um protocolo de roteamento como OSPF entre seus roteadores (se compatível).
Como você está usando o IPsec, certifique-se de que as SAs permitam o tráfego entre essas sub-redes.
Você precisa configurar uma rota estática no roteador do office2 que tem como destino o office1 com o gateway VPN.
E o mesmo no roteador do office1
Eu configuraria um túnel direto entre as sub-redes de trabalho, porque você deseja evitar salto duplo
Editar: E em termos de segurança, eu não recomendaria abrir uma sub-rede inteira do escritório para uma sub-rede do servidor. Acho que uma solução melhor seria instalar um cliente VPN para os usuários que precisam de acesso ao servidor e permitir apenas que as pessoas que precisam de acesso ao servidor se conectem às sub-redes do servidor usando uma VPN.