Ping da sub-rede sobre o IPSec

Navegue suas respostas
1

Eu configurei uma rede distribuída como na figura abaixo. A sub-rede x.15.x é uma sub-rede remota, conectada à LAN interna via VPN IPsec. O Firewall possui 3 interfaces, uma conectada à rede, uma conectada à sub-rede x.2.x e uma conectada à sub-rede x.3.x.

  1. Quando faço ping 192.168.3.25 de 192.168.2.10 Eu recebo uma resposta.
  2. Quando eu tento e pingue 192.168.3.25 em é o endereço IP externo de 192.168.15.50 Eu recebo uma resposta.

No entanto,

  1. Quando tento fazer ping de um cliente na conexão IPsec (por exemplo, 192.168.15.50) Eu recebo uma solicitação expirada .

Eu estou sentindo falta de um diretor de rede IPsec? Como posso obtê-lo para enviar dados para a sub-rede x.3.x?

O firewall é um pfSense e os servidores são o Windows Server 2008 R2. O túnel é um túnel IPsec pela internet.

    
por Darbio 18.04.2011 / 02:08

2 respostas

1

Eu suspeito que, como as duas redes estão em interfaces diferentes no firewall, a sub-rede x.2.x e a sub-rede x.3.x exigirão VPNs IPSec separadas para a sub-rede x.15.x na outra lado.

Resposta ao comentário do OP: Então, se eu migrar a sub-rede x.3.x para a mesma NIC, isso poderia funcionar?

Pode, mas não tenho certeza. Se você montar os dois IPs de interface no mesmo NIC, provavelmente precisará ter dois túneis. Mas se você aumentar o tamanho da sub-rede x.2.x tornando a máscara de sub-rede um pouco menor (255.255. 254 .0), você poderá colocar os dispositivos x.3.x no x .2.x rede física Deve funcionar desde que você possa atualizar a VPN para ter a menor máscara de sub-rede. Provavelmente haverá outras considerações, como o DHCP e o gateway padrão para os dispositivos x.3.x. Eu suspeito que construir um segundo túnel será mais limpo.

    
por 18.04.2011 / 02:18
2

Este é provavelmente um problema de roteamento.

O firewall deve rotear o tráfego para a sub-rede x.15.y no túnel e deve rotear o tráfego que sai do túnel para as sub-redes relevantes (isso deve acontecer automaticamente, já que essas sub-redes estão conectadas diretamente.

Além disso, o roteador do outro lado deve rotear o tráfego para as redes x.2.y e x.3.y no túnel.

No momento, parece que o roteador na rede x.15.y não faz isso. O tempo limite ocorre porque o roteador no lado x.15.7 não tem uma rota específica e, portanto, tenta enviar os pacotes pela rota padrão (ou seja, para a Internet pública, onde eles não são roteáveis e, portanto, se perdem).

    
por 18.04.2011 / 10:54

Tags

Atualizando SAN antiga, aumento de desempenho esperado? caminhos do arquivo archive tar gzipado