我们有一个带有几个 VLAN 的 UDMP :10.92.10.0/24,,10.92.41.0/2410.92.42.0/24
我们添加了一个 Wireguard 服务器,它使用192.168.4.0/24,并且运行良好(客户端可以连接并访问其允许的网络上的资源)
然后,我们添加了 IPSec 站点到站点(基于路由)并使用另一端的第三方设备(Sophos)进行访问10.92.0.0/24,这也可以正常工作(UDMP VLAN 上的用户可以通过 VPN 访问资源)。
问题是,通过 Wireguard 连接的用户无法访问站点到站点 VPN 上的资源(因此当用户192.168.4.100尝试访问时10.92.0.21)——所有流量都会超时。
我们尝试过的方法:
- 检查了防火墙规则,但没有任何内容(应该)与上述情况相匹配,因此应该允许。
- 添加了一条静态路由,用于
10.92.0.0/24通过 IPSec 接口进行路由 - 在 Sophos 上添加
192.168.4.0/24为远程网络,但没有任何作用。
但是,一旦在 Sophos 上添加远程网络,我们就会注意到隧道不会出现,这促使我们进行一些挖掘。UI 文档指出,所有本地网络都呈现给站点到站点 VPN,但 Wireguard VPN 网络并非如此(设置->网络中的所有其他网络都配置为 vpn 隧道的本地端,如 /etc/ipsec.d/tunnels 中所示)。
有人可以验证这个理论吗,或者至少建议我们如何手动添加额外的隧道进行测试?