我在我们的主站点(站点 A)和远程站点(站点 B)之间配置了站点到站点 VPN。
站点 A 是 10.60.0.0/16 站点 B 是 192.168.99.0/24
站点 B 中的防火墙是运行 ScreenOS 6.3 的 Juniper SSG,我正在使用基于路由的 VPN。
该隧道运行完美,您可以从站点 A 通过隧道到达 192.168.99.0,并且从站点 B 您可以通过隧道到达 10.60.0.0。
然而,我们希望如果您在站点 B 并且想要访问互联网,它会通过站点 A 的防火墙,并且现在 Juniper 0.0.0.0 上的下一跳是 ISP 路由器。
我的理解是,在 Juniper 上,我可以在我们主站点上为 /32 公共 IP 设置一条路由,VPN 隧道通过 ethernet0/0(SSG 的外部接口)连接到 ISP 路由器,然后修改 0.0.0.0 路由以通过 tunnel.1(VPN 隧道)使用我们主站点的防火墙。
不确定我是否解释得很好,但我的理解正确吗?
答案1
就是这样。我已经使用 JunOS/SRX 设备这样做了一段时间,也用于海外的贸易展。由于许多内容提供商(如 hulu)将内容限制在美国,因此重定向网关允许我们在办公室进行演示。由于额外的往返时间,速度可能会慢一点,但至少可以正常工作。一旦建立了基于路由的隧道,它就像“set route remote-ip/32 int untrust gateway defgw; unset route 0.0.0.0/0; set route 0.0.0.0/0 int tunnel.1”一样简单。您一定要确保您是通过 VPN 登录的,否则您将无法访问该盒子,并且有人必须对其进行电源循环(或本地登录)。