Назад | Перейти на главную страницу

Соединение двух сетей VPN с разными IP-схемами

У меня есть клиент с двумя сетями в двух зданиях, и они хотят получить доступ к ресурсам друг друга. Прямо сейчас сайт B подключается к сайту A через VPN по линии T1. Они хотят избавиться от T1 и обратиться к нашему местному кабельному провайдеру, который предлагает пакет на 50 Мбайт и 5 Мбайт вверх. Схема IP сайта B - 192.168.1.x, а схема сайта A - 192.168.0.x. У нас есть 2 Watchguard XTM 25, и мы готовы использовать их для поддержки VPN.

Таким образом, у меня есть все части, готовые для соединения двух сетей, мой вопрос к сообществу: что мне нужно остерегаться, и нужны ли мне какие-либо конкретные маршруты на межсетевых экранах, чтобы разрешить трафику перемещаться из сети .0 в сеть .1 и наоборот.

К сожалению, я впервые делаю что-то подобное, и я вроде как сам по себе!

Многие детали того, как настроить здесь, относятся к вашей коробке Watchguard. Я никогда не работал с этими устройствами, поэтому скажу в общих чертах. Я также предполагаю, что вы выяснили, как настроить VPN-туннель типа «сеть-сеть» между Watchguards (которые я буду называть здесь «маршрутизаторами»).

  1. Между маршрутизаторами должен быть установлен VPN-туннель типа "сеть-сеть".
  2. На маршрутизаторе сайта A необходимо настроить статический маршрут для маршрутизации трафика, предназначенного для 192.168.1.0/24, через VPN на сайт B.
  3. На маршрутизаторе сайта B необходимо установить статический маршрут для маршрутизации трафика, предназначенного для 192.168.0.0/24, через VPN на сайт A
  4. Правила брандмауэра между сайтами должны быть настроены с использованием политики запрета по умолчанию, которая требует, чтобы вы явно указали списки доступа для того, какие IP-адреса и порты открыты между сайтами. Например, если пользователям сайта A нужен только доступ к файловому серверу и принтеру на сайте B, следует ввести правила брандмауэра, разрешающие только этот трафик, и никакого другого трафика. Это ограничивает сопутствующий ущерб, если, возможно, рабочая станция заразится вирусом, он не сможет распространиться через VPN на системы на другом сайте.
  5. Вероятно, вам нужен какой-то механизм мониторинга, чтобы предупреждать вас, если туннель обрывается.

Шаги 2 и 3, скорее всего, будут автоматически настроены маршрутизатором при настройке VPN-туннеля.

Имейте в виду, что после этого изменения производительность внутрисайтовой сети, скорее всего, сильно пострадает. Это правда, доступная пропускная способность кабельных соединений выше, чем у T1. Однако ваша задержка, вероятно, увеличится на порядок (что очень важно для таких протоколов, как CIFS, которые очень болтливы и сильно страдают от высокоскоростных подключений), а надежность WAN значительно снизится. Даже если это кабельные интернет-соединения «бизнес-класса», они относятся к другому классу обслуживания, чем T1.