到目前为止,我已经阅读了几种可能的解决方案,但我很难将我的具体情况应用到我找到的答案中。
我有一个“中心辐射型”VPN,在多个地点和总部之间运行,在中心使用 TZ-200,在远程使用 TZ-105。中心网络为 192.168.27.0/24,辐射为 192.168.1.0/24 至 192.168.10.0/24。
我在 192.168.2.0/24 建立了一个远程办公室,并希望能够像以前从中心访问一样访问此位置的所有分支上的主机。到目前为止,我尝试了 vpn 组、目标网络、路由语句和 NAT 转换,但都没有奏效,我不知道我到底错在哪里。感谢您的任何指导。
答案1
您可以采用两种方法。
要实现 100% 路由设置(不涉及 NAT),请执行以下操作:
- 在远程办公室的防火墙(具有 192.168.2.0/24 网络的防火墙)上,创建一个 VPN 隧道,其中本地局域网定义为 192.168.2.0/24,远程局域网定义为 192.168.0.0/16
- 在中心防火墙上,创建一个 VPN(到您的远程办公室),将本地局域网定义为 192.168.0.0/16,将远程局域网定义为 192.168.2.0/24
- 在中心防火墙上,转到防火墙规则并创建从 VPN 区域到 VPN 区域的规则,以 192.168.2.0/24 作为源,以 192.168.0.0/16 作为目标。
更简单的解决方案是在中央集线器上使用 NAT。要使此解决方案有效,只需为所有远程办公室创建普通 VPN。然后:
- 编辑 192.168.2.0/24 网络的 VPN,并选中“应用 NAT 规则”
- 在 NAT 面板中,创建一个以 192.168.2.0/24 作为源地址、以“LAN IP 地址”或“X0 IP”作为转换地址的 NAT。
就这样。