这是我第一次在这里发帖所以请温柔。标题描述了我的问题,我将概述设置:
我在相距 100 英里的两个办公室建立了一个站点到站点的双向 VPN 隧道。站点 A 运行 Watchguard Firebox x20e,站点 B 运行 Cisco ASA 5500(或类似设备)。
我已经成功地在它们两者之间建立了隧道,这样当您在任一内部网络中时,您都可以 ping 并访问相反的网络。
但是,当我完全在异地(例如,从家里)通过 VPN 连接到其中任何一个时,我看不到对面的网络,但我能够看到我通过 VPN 连接到的内部网络而没有问题。
问题可能是两件事......可能两者兼而有之。
路由问题: 如果您的 vpn 子网与您通过 VPN 连接的站点不同,您需要告诉站点 b 的设备将流量路由回该子网的站点 a。
防火墙问题: 就像需要允许流量的路由一样。
您必须设置路由器以允许来自 VPN 子网的流量通过隧道。
VPN 到站点 A,打开命令提示符并键入:
tracert -d 192.168.0.2
您会看到流量通过它试图到达站点 B 的所有路由器的列表(这需要一段时间才能建立起来)。第一跳应该是 192.168.10.1,即站点 A 的路由器。如果第一跳是到您的 PC 通常的默认网关,那么您需要修改 PC 上的路由规则。如果第一跳是 192.168.10.1 但剩余的跳超时,那么您需要修改路由器配置。
扩展一点(如果您已经知道这些内容,请耐心等待!),假设您的 PC 具有 IP 地址 192.168.16.2 和默认网关 192.168.16.1(您可以键入 ipconfig 来获取此信息)。当您 ping 任何不是 192.168.16.xxx 的地址时,流量将被路由到您的网关 192.168.1.1。
当您连接 VPN 时,您可能会获得第二个 IP 地址 192.168.10.something;实际上,VPN 创建了第二个网卡。如果您 ping 192.168.10.1(即站点 A 路由器),这现在是一个本地地址,因此不涉及网关,站点 A 路由器应该回复。现在 ping 192.168.0.1(站点 B 路由器)。此地址不在您的真实 NIC (192.168.16.xxx) 或 VPN 虚拟 NIC (192.168.10.xxx) 的本地网络中,因此数据包将转到默认网关 192.168.16.1。默认网关大概是您的 ADSL 路由器,因此数据包会消失在 Internet 中并丢失。因此,您无法 ping 站点 B。
现在,一些 VPN 在您连接时会更改默认网关。在这种情况下,默认网关将是 192.168.10.something,因此当您 ping 192.168.0.xxx 时,数据包应该流经 VPN,您应该能够 ping 站点 B。
我似乎有点咆哮,但关键是,tracert 会迅速告诉您对站点 B 的 ping 到哪里,并为您提供有关问题所在的线索。
JR