通过站点到站点 IPsec 隧道路由互联网流量

通过站点到站点 IPsec 隧道路由互联网流量

我们正在尝试复制https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel#Set_up_the_IPsec_tunnel_Phase_2

网络图

我们正在使用 2 个 Fortinet Fortigate 防火墙。我们之前在两个站点之间有一个正常运行的 ipsec vpn,但仅限于 LAN 到 LAN。即站点 A LAN 到站点 B LAN,反之亦然。我们曾尝试修改 IPsec 隧道以承载 WAN 绑定流量,但它似乎仍然直接穿过站点 A WAN。

我们的配置:

12.34.56.0/24 是站点 B 的 IP 块

地点 A(分支机构):

阶段2: 本地:172.20.10.0/24 远程:0.0.0.0/0.0.0.0

政策:

  • 内部 --> siteB,源全部,目标,全部
  • SiteB --> 内部,源全部,目标,全部

站点 B(数据中心)

阶段2: 本地:0.0.0.0/0.0.0.0 远程:172.20.10.0/24

政策:

  • 内部 --> siteA,源全部,目标,全部
  • SiteA --> WAN,源全部,目标,全部,NAT 动态 IP 池 12.34.56.1

除了图中所示的出站流量之外,我们还希望将来自同一个 IP 或多个 IP 的入站流量定向回站点 A。例如,如果站点 A 托管一个网页并且有人访问 12.34.56.1,它将被定向到站点 A 服务器。

答案1

使用 traceroute 或 mtr 找出数据包偏离预期路径的位置。然后转到将数据包发送错误方向的路由器并检查其路由表。然后修复(或创建)应该将流量发送到隧道的路由表条目。

相关内容