这涉及 3 个防火墙和 2 个 VPN 连接和路由。
主站点 A 具有本地地址范围192.168.101.0/24
远程站点 B 具有本地地址范围192.168.102.0/24
远程站点 C 具有本地地址范围192.168.100.0/24
要明确的是,站点 A 有一个通向站点 B 的 VPN,还有另一个通向站点 C 的 VPN。
A 可以访问站点 B 和 C,没有问题。B
可以访问站点 A,但不能访问站点 C
C 可以访问站点 A,但不能访问站点 B
我可以从站点 B 到站点 C 建立 VPN,但这不是我想要的。
我在站点 C,想要访问站点 B 上的 FW。
所有防火墙都是Zywall USG系列。VPN是IPSec。
我知道这至少涉及路线。任何帮助都将不胜感激。
答案1
您可以这样做,但使用第二条隧道通常更容易。
从根本上来说,要实现这一点,您需要以下内容:
- 站点 C 防火墙上站点 B 子网的路由,与到达站点 A 所用的网关地址相同。
- 站点 B 防火墙上站点 C 子网的路由,与到达站点 A 所用的网关地址相同。
- 站点 B 上的出站防火墙规则使用 VPN 接口,允许访问站点 C 子网。仅在限制出站流量时才需要这样做。
- 站点 C 上的出站防火墙规则使用 VPN 接口,允许访问站点 B 子网。仅在限制出站流量时才需要这样做。
- 防火墙 A 上的规则允许子网 B 访问 C。
- 防火墙 C 上的规则允许子网 C 访问 B。