我在两个路由器之间使用 IPsec 设置了站点到站点的 VPN。
- 路由器 1(DLink DSR-250V2)控制 11.11.11.0/24 子网。
- 路由器 2 控制 192.168.1.0/24 子网。
隧道本身运行良好。一个子网中的设备可以访问另一个子网中的设备。
我需要在路由器 1 上为路由器 2 网络上的设备创建 IP 别名。例如,假设我有一台 IP 为 192.168.1.10 的设备,我想在路由器 1 上配置某种规则,这样当它将流量发送到 11.11.11.10 时,流量会被拦截并通过 VPN 转发到 192.168.1.10。
一般来说,我需要配置什么才能使其工作?根据我的阅读,建议在路由器 1 上使用 NAT 规则来转换地址。在尝试在 DSR-250V2 上添加 SNAT 和 DNAT 规则后,我没有成功。我只能为 WAN 接口配置这些规则,似乎根本无法触及 IPsec 隧道。
任何建议都值得感激。
答案1
要使某个地址“存在于”子网中,必须有某个东西来响应该地址的 ARP 查询。如果您希望路由器处理该地址,则路由器必须应答ARP。1
因此,这意味着 a) 192.168.1.x 端的路由器必须支持代理 ARP,或者 b) 必须在其 LAN 接口上将该地址指定为其辅助地址。最好是前者,但由于目标是 NAT,因此两者都可以。
一旦 ARP 为该地址工作,第二步就是 DNAT(即“端口转发”,但从内向外定向除外)。DNAT 规则应该在局域网接口,不在 WAN 上。
如果你的路由器不让你做上述任何一件事,那么你就不能只用路由器来做这件事。你可能需要设置一个
1(路由器连接整个网络/子网;它们不是连接子网内主机的东西,它们不会自动看到所有子网流量——它们只能看到通向那里的 ARP 或路由表。)