使用 Juniper SSG 5 设置路由条目 - LAN 到 LAN VPN

使用 Juniper SSG 5 设置路由条目 - LAN 到 LAN VPN

我有两部分:
我昨天设置了一个 LAN 到 LAN VPN(按照这篇 Juniper 知识库文章),它几乎可以正常工作,所以我找到了另一个指导并完成了为静态 IP 地址创建路由条目的过程,之后一切都正常工作。今天早上,我起床时,它不再起作用了。

进一步检查设置后,我发现我的路由条目看起来不太正确。在站点 A 的防火墙上,我使用了以下设置:

  • 站点 B 的静态 IP(假设是 12.345.67.89),这是我可以 ping 通的 IP 地址
  • 子网掩码 30
  • 网关站点 A 的静态 IP(987.654.​​32.10)
  • 接口 e0/0

尽管站点 A 的子网不同,但我还是为站点 B 撤销了这些设置。

问题是,这些路线IP/网络掩码条目,在站点 A 设置中,站点 B 的静态 IP 为 12.345.67.87。同样,站点 B 的设置将站点 A 的静态 IP 读为:987.654.​​32.08。简而言之,问题是 IP 地址的最后两位数字比我最初输入的数字少 2。

  1. IP 地址显示如此不同是正常的吗?
  2. 有人能解释为什么我的 VPN 不再起作用吗?

笔记
仅使用 Juniper KB 文章,我就能创建一个几乎可以正常工作的 VPN,其中两个防火墙都报告了活动隧道。此外,我的 DHCP 服务器(Windows 计算机)显示了站点 B 上的工作站的条目,但我无法 ping 它们,它们也无法浏览互联网、ping 我或访问它们的网络驱动器(托管在站点 A)。

两个站点均使用 Juniper SSG5 防火墙

提前感谢你的帮助!

编辑-提供更多信息

从站点 A 上的任何计算机,我都可以 ping 站点 B 上的两个私有 IP 地址:172.16.100.50(站点 B 防火墙上 bgroup0 的接口 IP 地址)和 172.16.100.53(站点 B 办公室似乎无法物理定位的工作站)。

从站点 B 上的任何计算机 ping 站点 A 上的私有 IP 地址(172.16.10.12)都不会得到回复。

当通过 PuTTY 登录任一防火墙时,我无法 ping 通任何 LAN IP 地址(例如,从站点 A ping 到站点 B 172.16.100.56,从站点 B ping 到站点 A 172.16.10.12),但我可以 ping 通每个设备的静态 WAN IP 地址。

我引用的第二篇文章建议我还需要为静态 IP WAN 地址创建路由,这些就是我在 OP 中引用的地址。我使用的网络掩码是从每个站点的 ISP 获得的。站点 A 的网络掩码是 29,站点 B 的网络掩码是 30

答案1

前几天我不是回答过你关于这个问题吗?问题被删除了吗?

您创建的 CIDR 条目会因为掩码而这样设置。

如果您放置 /30 的掩码,那么从技术上讲,第一个(尽管第二个八位字节无效)应该类似于:

12.0.67.88 - 12.0.67.91,其中 .88 作为路由/网络、.89 和 .90 为有效主机、.91 为广播地址。

您需要确保您的子网和路由条目遵循正确的子网划分。

VPN 设置简介:

  1. 使用两个 WAN 地址、ike 设置等设置隧道。
  2. 设置路由 - 每一端都应该有到远端 LAN 子网的路由,网关是隧道
  3. 应该设置策略以允许流量从本地 LAN 子网到远程 LAN 子网,反之亦然......这应该由 FW 完成。

编辑:

好的,看完图表后我发现:

对于隧道本身:

  • 看起来不错。您实际上不需要代理 ID 设置(至少看起来您有一些本地和远程 IP 范围的设置),但如果您需要,那也没问题。

对于政策:

  • 您应该有两套策略,一套用于“信任到不信任”,另一套用于“不信任到信任”的双向策略。您应该在两个防火墙上为 2 个 LAN 设置策略元素。例如“佛罗里达 LAN”= 172.16.100.0/24 和“密歇根 LAN”= 172.16.10.0/24。
  • 然后,密歇根一侧的策略应为“信任到不信任”,源 = “密歇根 LAN”,目标 “佛罗里达 LAN”,服务 = 任何,操作 = 隧道,隧道 = “佛罗里达 VPN”,选中“匹配双向策略”复选框。这应该在密歇根 SSG5 上创建一个信任到不信任和一个不信任到信任策略以建立隧道。您需要在佛罗里达一侧创建相同的内容,这次源为“佛罗里达 LAN”,目标为“密歇根 LAN”,但策略类型相同(操作 = 隧道,隧道 = 密歇根 VPN)

对于路线:

密歇根 SSG5(注意:我假设您只有一个 WAN 链接,并且当前默认路由 0.0.0.0 指向网关 108.245.51.86):

  • trust-vr 应该有一个条目,以便本地 LAN 知道如何到达它。确保那里有一个“172.16.10.0/24,网关为 172.16.10.1”,或者至少有一个“C”(表示已连接),用于 172.16.10.0/24 的协议条目。

佛罗里达 SSG5(与密歇根 SSG5 注释相同)

  • trust-vr 应该有一个条目,以便本地 LAN 知道如何到达它。确保那里有一个“172.16.100.0/24,网关为 172.16.100.50”,或者至少有一个“C”(表示已连接)在协议条目中,用于该 172.16.100.0/24。

综上所述...

  1. 您的 WAN ISP 连接不需要静态路由条目。

  2. 我认为您的主要问题归结于您的佛罗里达 LAN 子网是 172.16.100.0/24,但您的 bgroup1 ip 是 172.16.100.50,位于该子网的中间,理想的情况是将其设置为 172.16.100.1,而不是 .50。在两边,确保工作站的默认网关正确。对于密歇根一侧,它们应全部设置为 172.16.10.1,在佛罗里达一侧,它们应设置为 172.16.100.50。

假设所有 SSG5 vpn、策略和路由条目都是正确的,我敢肯定问题就出在那里,即计算机上的默认网关。

相关内容