这是我的问题:
我已经设置了 VPN IPsec LAN2LAN(或 site2site),其参数如下:
本地子网:10.178.51.64/27
远程子网:10.174.0.0/16
vpn 隧道正确启动,但问题是我无法 ping 或向远程子网机器发送任何数据。
这是因为我的“真实”子网是 192.168.1.0/24,但我的合作伙伴希望我连接到指定的子网。我无法更改我的子网,我可以使用我的路由器(NETGEAR ProSafe VPN 防火墙 FVS338)实现此连接吗?
提前致谢
答案1
为了使站点到站点 VPN 隧道正常工作,您通常有两种选择来设置隧道。
首先,基于路由。在两个 WAN 接口之间创建隧道,然后在防火墙中设置路由,路由内容为“要到达此 LAN 子网,请通过隧道出去”。通常,您仍需要在每一端指定策略,但两个子网之间只需指定 ALLOW 策略。
第二种是基于策略的。您在两个 WAN 接口之间创建隧道,但不是设置新路由,而是设置策略并告诉策略在为这两个子网发送流量时跨您创建的新 VPN 隧道进行隧道传输。
尽管如此,如果您指定了本地和远程子网,那么这些本地和远程子网必须是要路由/使用的实际子网(在您的情况下为 192.168.1.0/24),否则您将必须在您这边使用 NAT 进行一些转换,将问题中的子网(10.x)更改为内部的 192.x,基本上是双 NAT,这很棘手。
我的建议是与您的合作伙伴联系并解释这一点,并找出他们为什么不希望您使用 192.168.1.0/24 作为子网。也许他们在该范围内有另一个本地子网,等等。
不过,在最佳实践中,您确实不应该使用该子网。使用不同的私有 LAN 子网...当涉及到拆分隧道等时,该子网只会给您带来人们家庭网络的麻烦。
答案2
您的答案实际上取决于每一侧的网络设备类型以及远程子网的实际类型。
您的隧道“逻辑”应如下(无论网络供应商是谁):
- 两个路由器 WAN IP 之间建立隧道
- 隧道的两端均配置了隧道,以便了解隧道之间要路由的本地 LAN 子网和远程 LAN 子网。通常这不是 WAN IP 子网,而是路由器/防火墙内的 LAN 子网。这可以通过各种方法完成,例如路由或基于策略的路由或简单的隧道策略。这完全取决于您的攻击方法,实际上也取决于您使用的网络硬件。
故障排除可以包括从两侧进行 ping 操作以及在实际路由器/防火墙上运行调试命令以查看流量在何处停止,以及确保隧道本身启动(同样,命令取决于所使用的硬件和 IKE 选择)。
如果您完全迷茫,我建议您发布网络图以及双方使用的硬件。这将有助于这里的某个人回答这个问题。但是,如果您有网络供应商的支持并且需要尽快进行此操作,我建议您联系他们并让他们与您联系并指导您完成设置。
答案3
感谢 TheCleaner 的回答,这非常好,但我想发布我自己的答案,因为我解决了这个问题,并且我想分享这个解决方案。
前言:vpn 是通过策略来设置的。
我的防火墙不是 Cisco 的,而是 Netgear(太烂了 :) 顺便说一句,使用这种半专业路由器设置 vpn lan2lan IPSEC 可能非常麻烦。正如
我所说的,我的合作伙伴告诉我的:您必须使用子网 10.178.51.64/27 进入隧道,这是强制性的,我无法为您提供任何帮助。
好吧,NETGEAR ProSafe VPN 防火墙 FVS338 的唯一解决方案是将您的 LAN 子网设置为与 vpn 策略的本地子网相同。
所以我只需将我的 LAN 设置为 10.178.51.64,掩码为 255.255.255.0,它就可以完美运行。
如果我有像思科这样的专业路由器,我可以设置一些规则来转换一些子网的 IP,正如我的合作伙伴告诉我的那样。例如:192.168.1.2 -> 10.178.51.65
不幸的是,我的路由器/防火墙无法做到这一点,所以解决这个问题的唯一机会是更改我的 LAN 子网。