我有一个客户,他在两栋楼里有两个网络,他们想访问彼此的资源。现在站点 B 通过 T1 线路上的 VPN 连接到站点 A。他们想摆脱 T1,转而使用我们当地的有线电视提供商,该提供商提供 50mb 下行 5mb 上行套餐。站点 B 的 IP 方案是 192.168.1.x,站点 A 的方案是 192.168.0.x。我们有 2 个 Watchguard XTM 25,准备用它们来固定 VPN。
总而言之,我已经准备好连接两个网络的所有部件,我向社区提出的问题是,我需要注意什么,我是否需要在防火墙上设置任何特定路由以允许流量从 .0 网络移动到 .1 网络,反之亦然。
不幸的是,这是我第一次做这样的事情,而且我有点孤军奋战!
答案1
这里的许多设置细节都特定于您的 Watchguard 盒子。我从未使用过这些设备,所以我会泛泛而谈。我还假设您已经弄清楚了如何在 Watchguard(从现在开始我将称之为“路由器”)之间配置站点到站点的 VPN 隧道。
- 需要在路由器之间建立站点到站点的 VPN 隧道
- 需要在站点 A 的路由器上设置静态路由,以便将发往 192.168.1.0/24 的流量通过 VPN 路由到站点 B
- 需要在站点 B 的路由器上设置静态路由,以便将发往 192.168.0.0/24 的流量通过 VPN 路由到站点 A
- 站点之间的防火墙规则应使用“默认拒绝”策略设置,这要求您明确指定站点之间开放的 IP 地址和端口的访问列表。例如,如果站点 A 用户只需要访问站点 B 中的文件服务器和打印机,则应设置仅允许交通,并且没有其他流量。这样可以限制附带损害,如果工作站偶然感染了病毒,病毒将无法通过 VPN 传播到另一个站点的系统。
- 您可能需要某种监控机制来在隧道断开时提醒您
当您配置 VPN 隧道时,路由器可能会自动设置步骤 2 和 3。
请注意,此更改后,站点内网络性能可能会受到很大影响。的确,有线连接的可用带宽高于 T1。但是,您的延迟可能会增加一个数量级(这对于 CIFS 等协议来说是一个大问题,因为它们非常繁琐,在高延迟连接中会受到很大影响),并且 WAN 的可靠性将大大下降。即使这些是“商务级”有线互联网连接,它们也属于与 T1 不同的服务类别。