Como faço para rotear um intervalo de IP público sobre uma VPN IPSEC?

5

Portanto, tenho um túnel IPSec Site to Site estabelecido.

O site A tem um SonicWall, o site B tem um EdgeRouter.

O primeiro túnel consiste nos ips NATs do Site A para os ips NATs do Site B.

Tudo funciona como esperado.

Em seguida, tenho um intervalo de IP público que o Site B precisa acessar, mas as solicitações precisam parecer que vieram do Site A. Quando configuro este túnel, posso ver apenas o tráfego cair no gateway. / p>

Não consigo acessar nenhum desses ips. Devido ao fato de que ele funciona bem na mesma configuração de lan para lan, acredito que possa ser um problema NAT - mas não tenho certeza, nem sei como diagnosticar ainda mais.

Isso pode ser um problema, pois eu não estava muito confiante ... Eu tentei colocar as regras de "permitir tudo" na VPN & WAN / WAN > VPN, filtrar para um IP individual e, em seguida, fazer o ping do site B ... vejo pacotes descartados.

Alguém pode oferecer algum conselho aqui?

    
por William Hilsum 03.06.2013 / 03:44

3 respostas

1

Para voltar a uma pergunta antiga que publiquei:

A resposta é ... Obter um novo roteador!

Eu perdi tempo demais nisso ... Acontece que MUITOS roteadores de prateleira, simplesmente não conseguem lidar. Sonicwall e Juniper são apenas alguns que falharam.

O problema é que você tem que definir sua WAN e LAN, e as interfaces IPSEC / VPN estão conectadas à WAN, então, se houver um pouco de crossover ou você precisar de uma configuração fora do comum, ele simplesmente falha e pode siga corretamente.

No final, eu descobri que o Vyatta e o EdgeOS (fork do Vyatta) lidam com essa configuração de forma brilhante, você simplesmente indica quais sub-redes deve encaminhar, em que interface o túnel deve estar - e funciona como esperado.

    
por 13.12.2014 / 11:17
2

Se eu entendi sua pergunta, você está tentando fazer isso:

Server A - Router A - VPN - Router B - Site B

Você precisa do Site B para poder acessar o Servidor A (que é um IP público) pela VPN, mas precisa do endereço de origem para parecer que está vindo do Site A?

Você precisará especificar o tráfego que vai para o Servidor A para passar pela VPN no Roteador B. No Roteador A, você precisará especificar o tráfego de retorno para passar pela VPN. Em seguida, no roteador A, você precisará configurar a regra NAT, para alterar o IP do SRC do tráfego proveniente do site B e ir para o servidor A para um endereço IP que o servidor A aceitará.

    
por 03.06.2013 / 04:36
2

Então, você só precisa encaminhar solicitações para um determinado intervalo na Internet através do túnel? Você pode adicionar uma rota estática para esse intervalo?

Como solução alternativa, configure um servidor proxy no Site A e faça com que as máquinas no Site B usem isso para determinados sites.

Pense mais simples!

    
por 03.06.2013 / 06:44