我需要一些帮助来让我了解 IPsec 隧道。在这里我将解释我当前的设置。
站点 A <-------IPSEC------> 站点 B (HUB) <------IPSEC------> 站点 C 10.1.1.1/24 10.2.2.1/24 10.3.3.1/24
从站点 A 到站点 B 以及从站点 B 到站点 C 的隧道运行正常。但是站点 A 无法直接到达站点 C,反之亦然。
在站点 A 上,第 2 阶段条目:本地:LAN 子网 Nat / Binat:无远程:网络(10.2.2.1/24)
在站点 C 上,第 2 阶段条目:本地:LAN 子网 Nat / Binat:无远程:网络(10.2.2.1/24)
在站点 B 上有 2 个 IPSec 隧道:
站点 A 第 2 阶段进入:本地:LAN 子网 Nat:无远程:网络 (10.1.1.1/24)
站点 C 第 2 阶段入口:本地:LAN 子网 Nat:无远程:网络 (10.3.3.1/24)
注意:仅供参考,我们无权访问站点 C。因此,任何调整都只能在站点 A 和站点 B 上进行。
如果您需要任何其他信息,请告知我。提前谢谢您。
答案1
如果无法访问站点 C,则无法通过隧道引导发往站点 A 的流量。这需要在站点 C 进行路由和 SA 更改。
因此,唯一的解决方案是在站点 B 进行双重一对一 NAT,以便将站点 A 的 IP 地址空间“映射”到站点 B,将站点 C 的地址空间“映射”到站点 B。
让我们举个例子。假设Computer C
想要与Site C
进行通信。计算机 A 的 IP 地址为 10.1.1.10,计算机 C 的 IP 地址为 10.3.3.10。站点 A 只知道站点 B 的 IP 地址,站点 C 只知道站点 B 的地址。因此,您需要双向一对一 NAT。Computer A
Site A
从视觉上看,使用来自每个网络的示例 IP 看起来是这样的:
首先,计算机 C 将其数据发送到 10.2.2.10,而不是 10.1.1.10。站点 B 对流量进行 NAT,计算机 A 看到来自 10.2.2.11 的流量:
- [10.3.3.10]->IPSEC->[10.2.2.10]SNAT/DNAT[10.2.2.11]->IPSEC->[10.1.1.10]
其次,计算机 A 将返回数据发送到 10.2.2.11,然后站点 B 对其进行 NAT,以便 10.3.3.10 可以看到从 10.2.2.10 返回的流量:
- [10.1.1.10]->IPSEC->[10.2.2.11]SNAT/DNAT[10.2.2.10]->IPSEC->[10.3.3.10]
本质上,站点 C 认为计算机 A 位于 10.2.2.10,而站点 A 认为计算机 C 位于 10.2.2.11。