我们在办公室 1 有一个公司网络,以 Forefront TMG 为网关。办公室 1 的内部网络 IP 范围是 192.168.0.0/24。
我们有一个配备 Mikrotik 路由器的分支机构 2(如果您不了解 Mikrotik 的具体内容,您可以将其视为由 iptables 驱动的 Linux 防火墙)。 办公室 2 的 IP 范围是 192.168.88.0/24。 192.168.88.1 是网关的 IP。
我已经建立了站点到站点的 VPN 连接,其中只有 Mikrotik 利用其 PPTP 客户端连接到 TMG 上的办公室 1 VPN 网关。
TMG 使用路由关系与办公室 2 范围内的计算机进行通信。
如果在 Mikrotik 上的 PPTP 客户端配置中选中“添加默认路由”,则所有流量都会通过 TMG 流向互联网和办公室 1 网络。办公室 1 的计算机也可以访问办公室 2 的网络,一切运行良好。
但是这会产生开销,我们不希望办公室 2 的所有互联网流量都流经办公室 1 中的 TMG。我们只需要通过 VPN 路由办公室 1 的 IP,而其他所有内容都通过办公室 2 中的互联网上行链路。
因此,我禁用了 PPTP 客户端配置中的“添加默认路由”复选标记,并使用 Mikrotik 防火墙中的 Mingle 设置向所有以办公室 1 网络为目标的流量添加路由标记。在 Mikrotik 的路由表中,我基本上添加了一条路由,该路由表示:所有带有办公室 1 标记的流量都通过 VPN 网关。
这几乎满足了我的要求。办公室 2 通过 VPN 网关连接到办公室 1 的 IP,其他请求通过本地 Internet 上行链路。但是,在未选中“添加默认路由”的情况下,此设置中唯一不起作用的是,办公室 1 的计算机既无法访问 VPN 的 Mikrotik IP,也无法访问办公室 2 网络中的任何 IP。Mikrotik 基本上不会路由来自办公室 1 的流量。我也尝试了几种基于路由标记的方法(路由),但都无法让我让办公室 1 访问办公室 2。只有选中“添加默认路由”,我才能双向连接。
请帮忙提示一下我的设置中“添加默认路由”有什么特殊之处,因为我基本上是手动添加相同的,这只能使一半的通信设置正常工作。
答案1
您需要在每个路由器上创建静态路由,以便它们知道如何到达每个办公室的网络。
在 Office 1 路由器上:
为目标网络 192.168.88.0/24 创建路由,网关为 VPN 的 IP 或接口。(我不知道 TMG 是什么,也不知道它如何引用静态路由,但无论路由器供应商是谁,概念都是相同的)。
由于您提到了一些“路由关系”(我猜这是一个特定于供应商的术语),您可能不需要在 TMG 路由器上添加任何路由。
在办公室 2 路由器上:您可以通过 Winbox( )或通过 cli
创建静态路由。IP > Router> Add
/ip route add dst-address=192.168.0.0/24 gateway=pptp-interface
现在办公室 2 路由器知道如何到达 192.168.0.0/24(通过 VPN),同样,办公室 1 路由器应该知道如何到达 192.168.88.0/24。
另外,我认为您不需要任何 mangle 规则。这一切都可以在没有任何 iptables(MikroTik 术语中的 IP>防火墙)的情况下完成,因为它只是两个网络之间的静态路由。