我想在两个站点之间设置 VPN IPSec 隧道,比如说巴黎和图卢兹。隧道运行良好,两侧 VPN 网关路由器上的状态显示隧道已启动且正常。问题是我在中间有一个 V4 内部盒,流量在一侧通过 VPN,而在另一侧被迫通过互联网。
您可能已经发现附件是我的架构草图(我在这里没有足够的声誉来发布图片),解释如下。
- 在巴黎这边我们有一个思科 ASA5512路由器,具有连接到巴黎 ISP 的公共接口
交换机 L3 连接到思科路由器,思科路由器上连接巴黎的局域网,思科路由器有一个私有接口连接到交换机并与一个 VLAN 相关联。
在图卢兹我们有一个Ubiquiti UniFi 安全网关路由器
- 这台 Ubiquiti 路由器有一个私有接口连接到互联网盒(属于图卢兹的 ISP),另一个私有接口连接到图卢兹的 LAN。
因此图卢兹一侧隧道的公网 IP 地址就是互联网盒的公网 IP 地址。
- 图卢兹的路由器使用互联网盒的私有 IP 作为其默认网关
- 巴黎的路由器直接使用巴黎 ISP 的公共 IP 地址作为其默认网关,因为它与 ISP 公开连接
问题是:
- 从图卢兹的一台主机,我可以 ping 和 rpc 巴黎的一台主机,traceroute 命令显示数据包通过了 vpn 隧道
- 当我尝试从巴黎局域网的一台主机访问隧道另一端图卢兹的一台主机时,数据包被巴黎的路由器强制通过互联网,因此它通过公共接口将数据包发送到 ISP,而 ISP 不知道如何到达目的地,因为它是私有网络地址(192.168.11.0/24),所以数据包传输因超时而结束
- 如果我在巴黎路由器上指定一条静态路由,告诉他将发往网络 192.168.11.0/24 的数据包发送到图卢兹互联网盒的公共 IP,它不知道如何到达那里并阻止
那么,在这个配置中,我如何才能让从巴黎路由器到网络 192.168.11.0/24 的数据包通过 vpn 隧道?