我的中央办公室和远程办公室通过站点到站点 ipsec vpn 相互连接。我们使用 Fortigate 防火墙,一切运行正常。另一方面,只有中央办公室也通过 ipsec vpn 连接到另一家公司的网络。在这种情况下,一切也都很好,中央办公室的员工可以毫无问题地访问另一家公司的资源。现在,我希望在我们远程办公室工作的员工可以通过中央办公室访问另一家公司的网络,而无需创建新的 vpn 隧道。
我该怎么做?提前感谢您的回答。
答案1
IPSec 隧道通常不仅特定于目标 IP 地址,还特定于源 IP 地址。有些人将它们视为两端带有漏斗的管道,数据包可以顺着漏斗流到另一端;就像所有简化一样,这有时可能毫无用处,这就是这种情况。
如果您有能力在 IPSec 端点对来自远程办公室的流量执行 SNAT,这样对于隧道和远程公司的网络来说,流量看起来就像来自您的中央办公室一样,那么就有可能将该流量路由到隧道并获得响应。否则,如果不添加覆盖远程办公室 IP 地址范围的额外隧道,这很可能是不可能的。在后一种情况下,您可能需要检查远程公司网络是否也能正确路由这个新的网络块。