所以,我有一个已建立的 IPSec 站点到站点隧道。
站点 A 有一个 SonicWall,站点 B 有一个 EdgeRouter。
第一条隧道由站点 A 的 NATed ips 到站点 B 的 NATed ips 组成。
一切都按预期工作。
接下来,我有一个站点 B 需要访问的公共 IP 范围,但是,请求需要看起来像是来自站点 A。当我设置此隧道时,我只能看到网关处的流量下降。
我无法访问任何这些 ip。由于它在 lan 到 lan 的相同配置中工作正常,我相信这可能是一个 NAT 问题 - 但我不确定,也不知道如何进一步诊断。
这可能是一个转移注意力的问题,因为我不是很自信……我尝试在 VPN>WAN/WAN>VPN 上设置“允许所有”规则,然后过滤到单个 IP,然后从站点 B ping 通它。 . 我看到丢包了。
任何人都可以在这里提供任何建议吗?
如果我理解你的问题,你正在尝试这样做:
Server A - Router A - VPN - Router B - Site B
您需要站点 B 能够通过 VPN 访问服务器 A(这是一个公共 IP),但您需要源地址看起来像是来自站点 A?
您需要指定去往服务器 A 的流量通过路由器 B 上的 VPN。在路由器 A 上,您需要指定返回流量通过 VPN。接下来,在路由器 A 上,您需要配置 NAT 规则,以将来自站点 B 并前往服务器 A 的流量的 SRC IP 更改为服务器 A 将接受的 IP 地址。
那么,你只需要通过隧道将请求路由到互联网上的某个范围?您可以为该范围添加静态路由吗?
解决方法是在站点 A 设置代理服务器,并让站点 B 的计算机将其用于某些站点。
想的简单些!
回到我发布的一个老问题:
答案是……买个新路由器!
我在这上面浪费了太多时间......事实证明,许多现成的路由器无法应对。Sonicwall 和 Juniper 只是失败的几个。
问题是,你必须定义你的 WAN 和 LAN,并且 IPSEC/VPN 接口连接到 WAN,然后,如果有一点交叉或者你需要一个不同寻常的设置,它就会失败并且无法路由适当地。
最后,我发现 Vyatta 和 EdgeOS(来自 Vyatta 的分支)出色地处理了这个设置,你只需说明要转发哪些子网,隧道应该在哪个接口上——它就会按预期工作。