我有两部分:
我昨天设置了一个 LAN 到 LAN VPN(按照这篇 Juniper 知识库文章),它几乎可以正常工作,所以我找到了另一个指导并完成了为静态 IP 地址创建路由条目的过程,之后一切都正常工作。今天早上,我起床时,它不再起作用了。
进一步检查设置后,我发现我的路由条目看起来不太正确。在站点 A 的防火墙上,我使用了以下设置:
- 站点 B 的静态 IP(假设是 12.345.67.89),这是我可以 ping 通的 IP 地址
- 子网掩码 30
- 网关站点 A 的静态 IP(987.654.32.10)
- 接口 e0/0
尽管站点 A 的子网不同,但我还是为站点 B 撤销了这些设置。
问题是,这些路线IP/网络掩码条目,在站点 A 设置中,站点 B 的静态 IP 为 12.345.67.87。同样,站点 B 的设置将站点 A 的静态 IP 读为:987.654.32.08。简而言之,问题是 IP 地址的最后两位数字比我最初输入的数字少 2。
- IP 地址显示如此不同是正常的吗?
- 有人能解释为什么我的 VPN 不再起作用吗?
笔记
仅使用 Juniper KB 文章,我就能创建一个几乎可以正常工作的 VPN,其中两个防火墙都报告了活动隧道。此外,我的 DHCP 服务器(Windows 计算机)显示了站点 B 上的工作站的条目,但我无法 ping 它们,它们也无法浏览互联网、ping 我或访问它们的网络驱动器(托管在站点 A)。
两个站点均使用 Juniper SSG5 防火墙
提前感谢你的帮助!
编辑-提供更多信息
从站点 A 上的任何计算机,我都可以 ping 站点 B 上的两个私有 IP 地址:172.16.100.50(站点 B 防火墙上 bgroup0 的接口 IP 地址)和 172.16.100.53(站点 B 办公室似乎无法物理定位的工作站)。
从站点 B 上的任何计算机 ping 站点 A 上的私有 IP 地址(172.16.10.12)都不会得到回复。
当通过 PuTTY 登录任一防火墙时,我无法 ping 通任何 LAN IP 地址(例如,从站点 A ping 到站点 B 172.16.100.56,从站点 B ping 到站点 A 172.16.10.12),但我可以 ping 通每个设备的静态 WAN IP 地址。
我引用的第二篇文章建议我还需要为静态 IP WAN 地址创建路由,这些就是我在 OP 中引用的地址。我使用的网络掩码是从每个站点的 ISP 获得的。站点 A 的网络掩码是 29,站点 B 的网络掩码是 30
答案1
前几天我不是回答过你关于这个问题吗?问题被删除了吗?
您创建的 CIDR 条目会因为掩码而这样设置。
如果您放置 /30 的掩码,那么从技术上讲,第一个(尽管第二个八位字节无效)应该类似于:
12.0.67.88 - 12.0.67.91,其中 .88 作为路由/网络、.89 和 .90 为有效主机、.91 为广播地址。
您需要确保您的子网和路由条目遵循正确的子网划分。
VPN 设置简介:
- 使用两个 WAN 地址、ike 设置等设置隧道。
- 设置路由 - 每一端都应该有到远端 LAN 子网的路由,网关是隧道
- 应该设置策略以允许流量从本地 LAN 子网到远程 LAN 子网,反之亦然......这应该由 FW 完成。
编辑:
好的,看完图表后我发现:
对于隧道本身:
- 看起来不错。您实际上不需要代理 ID 设置(至少看起来您有一些本地和远程 IP 范围的设置),但如果您需要,那也没问题。
对于政策:
- 您应该有两套策略,一套用于“信任到不信任”,另一套用于“不信任到信任”的双向策略。您应该在两个防火墙上为 2 个 LAN 设置策略元素。例如“佛罗里达 LAN”= 172.16.100.0/24 和“密歇根 LAN”= 172.16.10.0/24。
- 然后,密歇根一侧的策略应为“信任到不信任”,源 = “密歇根 LAN”,目标 “佛罗里达 LAN”,服务 = 任何,操作 = 隧道,隧道 = “佛罗里达 VPN”,选中“匹配双向策略”复选框。这应该在密歇根 SSG5 上创建一个信任到不信任和一个不信任到信任策略以建立隧道。您需要在佛罗里达一侧创建相同的内容,这次源为“佛罗里达 LAN”,目标为“密歇根 LAN”,但策略类型相同(操作 = 隧道,隧道 = 密歇根 VPN)
对于路线:
密歇根 SSG5(注意:我假设您只有一个 WAN 链接,并且当前默认路由 0.0.0.0 指向网关 108.245.51.86):
- trust-vr 应该有一个条目,以便本地 LAN 知道如何到达它。确保那里有一个“172.16.10.0/24,网关为 172.16.10.1”,或者至少有一个“C”(表示已连接),用于 172.16.10.0/24 的协议条目。
佛罗里达 SSG5(与密歇根 SSG5 注释相同)
- trust-vr 应该有一个条目,以便本地 LAN 知道如何到达它。确保那里有一个“172.16.100.0/24,网关为 172.16.100.50”,或者至少有一个“C”(表示已连接)在协议条目中,用于该 172.16.100.0/24。
综上所述...
您的 WAN ISP 连接不需要静态路由条目。
我认为您的主要问题归结于您的佛罗里达 LAN 子网是 172.16.100.0/24,但您的 bgroup1 ip 是 172.16.100.50,位于该子网的中间,理想的情况是将其设置为 172.16.100.1,而不是 .50。在两边,确保工作站的默认网关正确。对于密歇根一侧,它们应全部设置为 172.16.10.1,在佛罗里达一侧,它们应设置为 172.16.100.50。
假设所有 SSG5 vpn、策略和路由条目都是正确的,我敢肯定问题就出在那里,即计算机上的默认网关。