Назад | Перейти на главную страницу

Пинг из подсети через IPSec

Я создал распределенную сеть, как показано на рисунке ниже. Подсеть x.15.x - это удаленная подсеть, подключенная к внутренней локальной сети через IPsec VPN. Межсетевой экран имеет 3 интерфейса, один из которых подключен к сети, один подключен к подсети x.2.x и один подключен к подсети x.3.x.

  1. Когда я пингую 192.168.3.25 с 192.168.2.10, я получаю ответ.
  2. Когда я пытаюсь пинговать 192.168.3.25 на его внешний IP-адрес из 192.168.15.50, я получаю ответ.

Тем не мение;

  1. Когда я пытаюсь пропинговать его от клиента через IPsec-соединение (например, 192.168.15.50), я получаю истекло время запроса.

Мне не хватает принципа работы в сети IPsec? Как я могу заставить его отправлять данные в подсеть x.3.x?

Брандмауэр - это pfSense, а серверы - Windows Server 2008 R2. Туннель - это туннель IPsec через Интернет.

Скорее всего, это проблема маршрутизации.

Межсетевой экран должен направлять трафик для подсети x.15.y в туннель, и он должен направлять трафик, выходящий из туннеля, в соответствующие подсети (это должно происходить автоматически, поскольку эти подсети подключаются напрямую.

Кроме того, маршрутизатор на другой стороне должен направлять трафик для сетей x.2.y и x.3.y в туннель.

На данный момент похоже, что маршрутизатор в сети x.15.y этого не делает. Тайм-аут возникает из-за того, что маршрутизатор на стороне x.15.7 не имеет определенного маршрута и поэтому пытается отправить пакеты по маршруту по умолчанию (то есть в общедоступный Интернет, где они не маршрутизируются и поэтому теряются).

Я подозреваю, что, поскольку две сети находятся на разных интерфейсах брандмауэра, подсеть x.2.x и подсеть x.3.x потребуют отдельных IPSec VPN для подсети x.15.x на другой стороне.

Ответ на комментарий OP: Итак, если я перенесу подсеть x.3.x на ту же сетевую карту, может ли это сработать?

Может, но я точно не знаю. Если вы монтируете оба интерфейсных IP-адреса на одном сетевом адаптере, вам, вероятно, потребуется два туннеля. Но если вы увеличите размер подсети x.2.x, уменьшив маску подсети на 1 бит (255.255.255.0).254.0), вы можете поместить устройства x.3.x в физическую сеть x.2.x. Он должен работать, пока вы можете обновить VPN, чтобы маска подсети была меньше. Вероятно, будут другие соображения, такие как DHCP и шлюз по умолчанию для устройств x.3.x. Я подозреваю, что строительство второго туннеля будет чище.